Hallo zusammen.
Unser tägliches Miteinander wird immer mehr kommunikativ durch Mails und Messengerdienste gestaltet. Die permanente unmittelbare Zustellung von Informationen an die gewünschten Personen (nimmt schon Züge der Echtzeit an sich) an jedem Ort der Welt hat den Siegeszug von Mail und Messengerdienste ermöglicht. Wer verschickt noch Briefe, sofern es sich nicht um Behörden handelt (oder ein handschriftlicher Liebesbrief an seine Holde. Da kann keine Mail anstinken )?

So rasant diese technischen Möglichkeiten wuchsen und immer noch wachsen, umso mehr wird der Schutzwert der eigenen Daten vernachlässigt. 2013 wie auch das noch junge Jahr 2014 zeigt uns zu deutlich, dass Staaten wie auch große Wirtschaftszweige keinerlei Interesse am Datenschutz hegen. NSA, Facebook, unserer eigener Staat usw., alle sind sie an unsere Daten interessiert. Umso wichtiger ist es, wichtige Daten vor dritte zu schützen.

Sensible Informationen in Papierform bewahren wir in einer sicheren Umgebung auf, damit dritte diese nicht einsehen können. Wenn wir diese versenden packen wir das Papier in einem Umschlag. Wie verhält es sich denn aber mit den Emails? Eine unverschlüsselte Email ist wie das Versenden einer Postkarte. Jeder kann diese im Netz lesen. Ausnahmslos alle! Passwörter, intime Dinge, sensible persönliche Daten und was die Menschen sonst noch alles in die Mails schreiben, alles wird für jeden sichtbar durchs Netz transportiert. Würde einer von euch jeden Menschen auf der Straße ein sensibles Papierdokument zum Lesen anbieten? Keiner. Mit einer Mail geschieht aber genau dieses. Je mehr Daten von uns ins Internet gelangen, umso mehr sind wir angreifbar. Die Konsequenzen können Katastrophal sein. Bewerbungen werden abgelehnt, Versicherungen lehnen einen ab usw. Des Weiteren kann man schnell Betrügern aufsitzen. Wer sagt denn, dass die Mail bzgl. der Reparaturkosten meines Autos von der KFZ Werkstatt echt ist? Immer mehr Menschen sind online, sodass die Asis entsprechend auch diesen Markt immer mehr abgreifen werden.

Man kann Vorsorge treffen, in dem man seine Mails signiert und jene, die sensible Daten beinhalten, verschlüsselt. Genau darum soll es hier gehen. Das verschlüsseln und entschlüsseln von Mails. Die Einrichtung einer Verschlüsselung ist gar nicht so schwer, wie manch einer vielleicht glaubt. Ich werde versuchen, das Thema so einfach wie möglich zu erklären, sodass auch Laien damit zurechtkommen. Wer auf die Erklärungen keine Lust hat, kann weiter unten ab dem Beginn der Einrichtung weiterlesen. Empfehlen würde ich aber ein lesen der Erklärungen. Lasst euch von den Text nicht abschrecken. Das Einrichten geht relativ zügig und einfach von der Hand

Welche Verschlüsselungsart soll verwendet werden?
Der eine oder andere hat von diversen Mail-Verschlüsselungstechniken gehört. Im Privatsektor sind PGP und S/MIME die gängigsten. In unserem Fall werde ich nur auf S/MIME eingehen. Des Weiteren werde ich die Browser Firefox, Internet Explorer und den Mailclient Thunderbird verwenden, da diese vermutlich die breiteste Verbreitung erfahren haben.

Ein bisschen Theorie muss sein
Unsere Verschlüsselung basiert auf einem privaten und einem öffentlichen Schlüssel (PKI – Public Key Infrastructure), wobei der öffentliche Schlüssel von einer Instanz (CA) per Zertifikat beglaubigt werden muss (dazu später mehr). Diese beiden Schlüssel sorgen dafür, dass die Mailkommunikation für dritte nicht einsehbar ist.
Damit man sich unter der Verwendung der Schlüssel etwas vorstellen kann, hier ein kurzes Szenario: Mary möchte Bob per Mail etwas Vertrauliches mitteilen. Dazu hat Bob(!) sich einen privaten und einen öffentlichen Schlüssel besorgt. Den öffentlichen Schlüssel gibt er Mary. Mit diesem öffentlichen Schlüssel von Bob verschlüsselt Mary nun ihre Mail und sendet diese an Bob. Diese Mail kann nun nur noch mit einem einzigen Schlüssel entschlüsselt werden und zwar mit dem privaten Schlüssel von Bob (war ja naheliegend Möchte nun Bob nun antworten und soll auch diese Antwort geheim sein, so muss Mary sich einen privaten und einen öffentlichen Schlüssel besorgen und den öffentlichen Bob geben.
Das bedeutet auf einen Nenner gebracht: Mit dem öffentlichen Schlüssel verschlüsselt man die Mail und mit dem privaten Schlüssel entschlüsselt man diese wieder (sicherlich kann man auch den umgekehrten Weg wählen, wodurch wiederrum die Authentizität des Versenders beglaubigt wird).

Was hat es mit der CA und dem ominösen Zertifikat auf sich?
Woher weiß Mary, dass der von Bob an Mary übergebene öffentliche Schlüssel auch wirklich dem Bob gehört (schließlich lässt sich mit dem Schlüssel auch Missbrauch betreiben)? Beglaubigt wird die Echtheit durch ein Zertifikat, welches von öffentlichen Einrichtungen vergeben wird. Diese Einrichtungen nennt man Certificate Authorities (CA). Diese vergeben das Schlüsselpaar und das Zertifikat, welches die Echtheit des Schlüsselpaares beglaubigt, also wer der wahre Besitzer des Schlüsselpaares ist.

Wie wird die Authentizität des zukünftigen Schlüsselbesitzers festgestellt?
Damit der wahre Besitzer für die zu generierenden Schlüssel festgestellt werden kann, unterliegt die Authentizitätsprüfung diversen Abstufungen (Klassen). Die Klasse 1 ist die niedrigste Stufe. Hierbei dient die Mailadresse bei der Beantragung des Schlüsselpaares als Authentifikation. Man erhält einen Freischaltcode an diese gesendet, welcher dann auf der Webseite des CA eingegeben werden muss. Somit weiß die CA, dass Du einen Zugriff auf das Postfach hast, für welches die Schlüssel beantragt wurden. Es wird also quasi nur die Mailadresse beglaubigt. Unter Bekannten sollte dieses aber ausreichen. Das Zertifikat ist 1 Jahr lang gültig. In den höheren Stufen werden z.B. über das PostIdent-Verfahren die Personalien festgemacht. Zusätzlich muss eine Jahresgebühr entrichtet werden. Für den privaten Gebrauch also eher ein Overkill. Wir selber werden hier die Klasse 1 verwenden.

Beantragung des Schlüsselpaares und dessen Zertifikat
Es finden sich verschiedene CA im Internet. Bei der Auswahl sollte man beachten, ob die Klasse 1 PKI nicht diversen Einschränkungen unterlegen bzw. kostenpflichtig ist. In unserem Fall werde ich den Anbieter http://www.startssl.com/?lang=de verwenden. Die Schlüssel sind umsonst und unterliegen nur der Beschränkung, dass das Zertifikat 1 Jahr lang gültig ist. Es hindert euch aber nicht daran, die Schlüssel weiterhin zu verwenden (was aber blödsinnig wäre, da man ja umsonst ein neues Schlüsselpaar generieren lassen kann).
Los geht´s

1. Geht auf die Webseite. Dort klickt ihr auf StartSSL Free(Class 1)
2. Klickt unten im Text auf die dick markierte Textstelle Control Panel
3. Wählt das Panel Sign-Up aus
4. Gebt eure Daten ein und sendet diese ab. Euch wird dann ein Verificationcode zugemailt, welches ihr eingeben müsst (eventuell landet die Mail im Spamordner. Achtet darauf!)
5. Gibt den Verificationcode auf die Webseite ein und klickt auf Continue
6. Es findet erneut ein Check von denen statt. Dieses kann ein bisschen dauern. Ihr bekommt im Anschluss erneut eine Mail. In dieser findet sich erneut ein Passwort und ein Bestätigungslink. Klickt auf diesem und gibt das Passwort ein.
7. Es erscheint eine Abfrage bzgl. der Qualität der zu erstellenden Schlüssel. Der Browser wird veranlasst, den Schlüssel zu generieren. Die Voreinstellung (Hochgradig) könnt ihr so übernehmen. Klickt auf Generieren
8. Nach der Schlüsselgenerierung wird der Button Install angezeigt. Ja, auf diesen müsst ihr klicken Dadurch werden die generierten Schlüssel und das Zertifikat installiert
9. Es erscheint die Meldung:
   
   Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.
10. Klickt im Webbrowser auf Finish

Exportieren des Schlüsselpaars und des Zertifikats auf die Festplatte
Somit befinden sich auf unserem Rechner nun das Schlüsselpaar und das Zertifikat. Nun müssen wir nur noch das Schlüsselpaar und das Zertifikat in unserem Mailclient (hier als Beispiel der Thunderbird) importieren. Dazu müssen wir zuerst diese aus dem Webbrowser auf die Festplatte exportieren

Firefox:

• Über Einstellungen – Reiter Erweitert – Tab Zertifikat – Zertifikate anzeigen – Tab Ihre Zertifikate – Das betreffende Zertifikat auswählen und auf Sichern klicken
  
  Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.
• Vergebt einen Namen für die Dateien und hangelt euch zum Wunschspeicherort durch.
• Ihr werdet nun nach einem Passwort gefragt. Verwendet bitte hier ein kräftiges Passwort. Dieses schützt eure Schlüssel. Beim erfolgreichen abspeichern erhält ihr eine positive Meldung.

Internet Explorer:

• Menü Extras (bzg. das Zahnrädchen rechts oben) – Internetoptionen – Tab Inhalte – Zertifikate – Wählt als Grund Sichere E-Mail aus – Tab Eigene Zertifikate
  
  Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.
• Markiert den betreffenden Eintrag – Exportieren… - Weiter
• Setzt den Punkt bei Ja, privaten Schlüssel exportieren - Weiter
• Vorgegebene Einstellungen übernehmen – Weiter
• Ihr werdet nun nach einem Passwort gefragt. Verwendet bitte hier ein kräftiges Passwort. Dieses schützt eure Schlüssel. – Weiter
• Gebt den Speicherpfad an

Importieren des Schlüsselpaares in Thunderbird
Wir müssen nun die Daten in unseren Mailclient importieren. Meine Beschreibung bezieht sich auf den Open Source und IMHO besten Free Mailclient Thunderbird.

• Menü Extras – Konten Einstellungen – S/MIME-Sicherheit
  
  Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.
• Button Zertifikate verwalten… anklicken
• Wählt den Tab Ihre Zertifikate. Klickt nun auf den Button Importieren. Im erscheinenden Fenster müsst ihr nun die von euch exportierte Datei auswählen. Achtet darauf, dass als Filter Alle Dateien (*.*) ausgewählt ist. Wählt die Datei aus – Öffnen- Passwortabfrage beantworten und die positive Meldung erhoffen - OK klicken
  
  Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.

Thunderbird konfigurieren
Somit befinden sich das Schlüsselpaar und das Zertifikat in Thunderbird. Wir müssen es nur noch aktivieren. Dafür gehen wir wieder in die Konten-Einstellungen.

• Als erstes kümmern wir uns um die digitale Signatur. Zur Erinnerung. Die Signatur beinhaltet deinen öffentlichen Schlüssel und das Zertifikat, mit dem der Empfänger euch eine verschlüsselte Mail senden kann. Mit Hilfe des Buttons Auswählen fügt ihr den öffentlichen Schlüssel der digitalen Signatur hinzu. Zusätzlich könnt ihr einstellen, ob bei einem Versenden einer Mail immer automatisch eure digitale Signatur der Mail beigefügt werden soll (Nachrichten digital unterschreiben (als Standard)). So verbreitet ihr euren öffentlichen Schlüssel von ganz alleine
  
  Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.


• Als nächstes wählen wir den öffentlichen Schlüssel zum Verschlüsseln aus. Mit Hilfe des Buttons Auswählen könnt ihr den Schlüssel wählen, mit welchem ihr die Mail verschlüsseln wollt (also jenen öffentlichen Schlüssel des Empfängers!)
  
  Dieses Bild ist für Gäste unsichtbar. Bitte melde dich an (oder registriere dich) um es zu sehen.

Somit ist nun Thunderbird konfiguriert. Wie ihr jetzt händisch signiert und verschlüsselt zeigt der nächste Abschnitt

Versenden einer Mail mit Signatur
Solltet ihr nicht die Nachrichten digital unterschreiben (als Standard) aktiviert haben, so müsst ihr der Mail per Hand die Signatur hinzufügen. Dafür wählt ihr in der neuen Mail den folgenden Menüpunkt aus…

Sollte dabei eine Fehlermeldung aufpoppen, so habt ihr wahrscheinlich noch nicht euren öffentlichen Schlüssel ausgewählt. Geht dazu in die Konten-Einstellungen und wählt diesen aus (siehe vorherigen Abschnitt).

Versenden und verschlüsseln einer Mail
Wollt ihr eine Mail verschlüsselt senden, so müsst ihr den öffentlichen Schlüssel des Empfängers auswählen. Geht dazu in die Konten-Einstellungen und wählt diesen aus (siehe vorherigen Abschnitt). Im Anschluss wählt ihr in der neuen Mail den folgenden Menüpunkt aus…

Wichtig! Wenn ihr den öffentlichen Schlüssel des Empfängers nicht besitzt, verweigert Thunderbird das Versenden.

Besitzt ihr nicht den öffentlichen Schlüssel des Empfängers, so lasst euch von diesem einfach eine Mail mit seiner digitalen Signatur zukommen. Der öffentliche Schlüssel wird von Thunderbird automatisch importiert.

Hier noch ein Hinweis.

Der Heise-Verlag hat gerade ein Sonderheft bezüglich der Email-Sicherheit heute (28.02.2014) veröffentlicht. Ich kann jedem dieses Heft empfehlen.

Kaufen kann man dieses im Zeitschriftenhandel oder bestellen.

http://shop.heise.de/katalog/ct-wissen-sichere-e-mail