Sichere E-Mailkommunikation

Nach Artikel 10 (1) des Grundgesetzes der Bundesrepublik Deutschland haben jede deutsche Bürgerin und jeder deutsche Bürger das Recht auf Wahrung des Brief-, Post- und Fernmeldegeheimnisses (vgl. [1]). Um dieses Grundrecht im Internet ausüben zu können, benötigt man grundlegende Kenntnisse zum Schutz der eigenen E-Mailkommunikation. Hier finden Sie eine Anleitung, wie Sie in wenigen Schritten Ihre E-Mailkommunikation (kostenlos) schützen können. Weitere Hintergründe zum Sinn und Zweck der Verschlüsselung stellt Prof. Rudolf Bayer (TU München) in seinem Positionspapier provokant und nachvollziehbar dar (vgl. [3]). Auf dieser Seite finden Sie außerdem meine öffentlichen Schlüssel, damit Sie mir verschlüsselte E-Mails senden und von mir signierte E-Mails auf Gültigkeit prüfen können.

Meine öffentlichen Schlüssel

Nutzen Sie die folgenden öffentlichen Schlüssel für die jeweilige E-Mailadresse, um mir mit OpenPGP verschlüsselte E-Mails zu senden oder die Gültigkeit meiner E-Mailsignatur zu prüfen. Wenn Sie noch nicht wissen, wie das geht, lesen Sie die Anleitung weiter unten auf dieser Seite.

E-Mailadresse Download Schlüssel-ID Fingerabdruck
Zum Schutz gegen SPAM ist diese E-Mailadresse als Bild dargestellt. Laden Sie die Bilder auf dieser Website, um die Adresse sehen zu können. [Download...] 0x4E8B3713 BEDF 8139 DFAF 7950 CEFE 7BBC 8B59 8E02 4E8B 3713
Zum Schutz gegen SPAM ist diese E-Mailadresse als Bild dargestellt. Laden Sie die Bilder auf dieser Website, um die Adresse sehen zu können. [Download...] 0xBE98EBCE C6A6 7C2C 3B76 F521 A438 A0E7 F926 8DB5 BE98 EBCE
Zum Schutz gegen SPAM ist diese E-Mailadresse als Bild dargestellt. Laden Sie die Bilder auf dieser Website, um die Adresse sehen zu können. [Download...] 0xD820F9E4 818E C1F9 A1B8 64EE 2E33 F7AF 4EF4 EDBA D820 F9E4
Zum Schutz gegen SPAM ist diese E-Mailadresse als Bild dargestellt. Laden Sie die Bilder auf dieser Website, um die Adresse sehen zu können. [Download...] 0xCE730FE9 540F 5AAA 194A 6CC3 57C7 560B B62C 3F76 CE73 0FE9

Nach oben

Sichere E-Mailkommunikation in wenigen Schritten

In wenigen Schritten können Sie Ihr Grundrecht auf Wahrung des Brief-, Post- und Fernmeldegeheimnisses (vgl. [1]) auch im Internet ausüben. Die Tatsache, dass Sie nichts zu verbergen haben, steht nicht im Widerspruch zur Ausübung Ihres Grundrechts.

Warum ist es sinnvoll?

Diese Anleitung schlägt die Verwendung von Open Source-Software, insbesondere OpenPGP vor, um die E-Mailkommunikation zu schützen. Es gibt Hinweise darauf, dass in kommerzielle Produkte systematisch Hintertüren eingebaut wurden (vgl. [2], [9]) und Vermutungen, dass Geheimdienste mit Ausgabestellen von Zertifikaten (Trustcenter) zusammenarbeiten (vgl. [2], [3]). Nicht nur deshalb ist Open Source-Software, mindestens bei den Anwendungsprogrammen, eine wichtige Alternative. Sie wird von einer engagierten Community entwickelt und unterliegt dem Vier-Augen-Prinzip. Es ist deshalb weniger wahrscheinlich, dass eine Hintertür in Open Source eingebaut werden kann oder eine eingebaute Hintertür längere Zeit unbemerkt bleibt. Dennoch gibt es selbst bei sicherheitskritischen Open Source-Komponenten derartige Hintertüren (beispielsweise OpenSSL, vgl. [11]).

Eine konsequente Umstellung auf Open Source-Software, ausgehend vom Betriebssystem bis zu den Anwendungsprogrammen, wird neuerdings verstärkt auch aus Sicherheitsgründen propagiert (vgl. [4]). Aber auch Open Source-Komponenten können Hintertüren und Fehler aufweisen.

Wenn Sie vor diesem Hintergrund nicht auf das Windows- oder MacOS-Betriebssystem verzichten können oder wollen, finden Sie nachfolgend eine Anleitung für die sichere E-Mailkommunikation.

Wie funktioniert es?

Ihre E-Mailkommunikation ist sicher, wenn:

  • außer dem Empfänger niemand Ihre Nachricht lesen kann,
  • die Nachricht nicht unbemerkt verändert werden kann und
  • der Empfänger weiß, dass die Nachricht wirklich von Ihnen gesendet wurde.

Das kann erreicht werden, indem Sie mit Hilfe einer Verschlüsselungssoftware ein Schlüsselpaar erzeugen. Das Paar besteht aus einem öffentlichen und einem privaten Schlüssel. Den öffentlichen Schlüssel können Sie an Ihre Kommunikationspartner verteilen (z.B. auf Ihrer Website zum Download anbieten oder als Mail-Anhang versenden). Der private Schlüssel ist nur für Ihren persönlichen Gerbrauch bestimmt. Die Schlüssel werden so benutzt:

  • Auf eine Nachricht wird der private Schlüssel angewandt, damit der Empfänger diese mit dem öffentlichen Schlüssel entschlüsseln. Dann weiß er, dass die Nachricht wirklich vom Absender kommt und nicht verändert wurde, weil der private Schlüssel nur dem Absender zugänglich ist. (Dies wird als Signieren von Nachrichten bezeichnet.)
  • Auf eine Nachricht wird der öffentliche Schlüssel angewandt, damit nur der Empfänger sie mit seinem privaten Schlüssel entschlüsseln kann. Der Absender kann sicher sein, dass die Nachricht vertraulich bleibt. (Dies wird als Verschlüsseln der Nachricht bezeichnet.)

Verfügen Absender und Empfänger über Schlüsselpaare, ist die sichere E-Mailkommunikation möglich:

  • Der Absender einer Nachricht benutzt den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Außerdem benutzt er seinen eigenen privaten Schlüssel, um die Nachricht zu signieren.
  • Der Empfänger dieser Nachricht kann den öffentlichen Schlüssel des Absenders benutzen, um die Signatur der Nachricht zu prüfen und sicherzugehen, dass die Nachricht tatsächlich von diesem Absender stammt und während des Transports nicht verändert wurde. Seinen eigenen privaten Schlüssel kann er benutzen, um die Nachricht zu entschlüsseln und weiß deshalb, dass nur er die Nachricht gelesen hat.

Damit ist das Ziel einer sichere E-Mailkommunikation erreicht. Außer dem Empfänger kann niemand die Nachricht einsehen oder unbemerkt verändern und der Absender ist zuverlässig bekannt. Die dazu notwendigen Funktionen stellen E-Mailprogramme bereit, so dass die Erzeugung, Verwaltung und Benutzung des privaten und öffentlichen Schlüssels einfach ist.

Wie kann ich es benutzen?

Auf der Seite von PRISM-Break (in [4]) finden Sie Open Source-Software, die Sie für die E-Mailverschlüsselung verwenden können. Anleitungen, wie Sie die Installation auf Ihrem Rechner vornehmen können, finden Sie an mehreren Stellen, beispielsweise hier:

Ich kann das nicht allein...

Wenn Sie Hilfe bei der Installation und Einrichtung brauchen, können Sie an einer kostenlosen Veranstaltung oder Schulung der Cryptoparty-Bewegung teilnehmen. Eine Übersicht über Termine in Ihrer Nähe finden Sie hier (in [8]).

Nach oben

Quellen

[1] Grundgesetz für die Bundesrepublik Deutschland in der im Bundesgesetzblatt Teil III, Gliederungsnummer 100-1, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 1 des Gesetzes vom 11. Juli 2012 (BGBl. I S. 1478) geändert worden ist
http://www.gesetze-im-internet.de/gg/art_10.html

[2] ZEIT ONLINE: Selbst SSL-Verschlüsselung ist nicht vor NSA-Spionage sicher, 6. September 2013
http://www.zeit.de/digital/datenschutz/2013-09/nsa-gchq-private-internet-verschluesselung

[3] Positionspapier von Prof. Rudolf Bayer, TU München
http://www.gi.de/fileadmin/redaktion/Download/E-Mail_Verschl%C3%BCsselung-GI2013.pdf

[4] Peng Zhong: PRISM Break
https://prism-break.org

[5] Website zur Open Source-Software "Gpg4win"
http://www.gpg4win.de

[6] Website zum E-Mailprogramm Thunderbird
http://www.mozilla.org/de/thunderbird/

[7] Website zum Add-on Enigmail für Thunderbird
http://www.enigmail.net

[8] Website zur CryptoParty
https://www.cryptoparty.in/location#europe

[9] Tom Simonite: Die Krypto-Strategie der NSA ist keine Überraschung. in: Technology Review (Heise online), 13.09.2013
http://www.heise.de/tr/artikel/Die-Krypto-Strategie-der-NSA-ist-keine-Ueberraschung-1955013.html

[10] BSI: Keine Unterstützung ausländischer Nachrichtendienste. Presseerklärung, Bonn, 26.07.2013.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Keine_Unterstuetzung_auslaendischer_Nachrichtendienste_26072013.html

[11] Heise Security: OpenSSL mit kaputter Hintertür, News, 26.12.2013 18:19
http://heise.de/-2072370

Nach oben