Basic HTML-Version
53
10 / 13 personalmagazin
Bei Fragen wenden Sie sich bit te an
GPG erfordern ein extra Verschlüsse-
lungsprogramm, etwa die kostenlosen
Zusätze „Enigmail“. Unter Windows las-
sen sich E-Mails mit der freien Software
„GPG 4 Win“ nach den beiden PKI-Vari-
anten verschlüsseln.
Verteilte Schlüssel
Wer Mails nach dem PKI-Verfahren ver-
schlüsseln will, benötigt einen eigenen
privaten Schlüssel („Private Key“), den
nur er selbst kennt, sowie einen öffent-
lichen Schlüssel („Public Key“), den er
mit seinen Mailpartnern, also den po-
tenziellen Mailempfängern, teilt. Eine
oft zitierte Analogie für den Ablauf: Der
Absender verschlüsselt seine Nachricht
mit dem öffentlichen Schlüssel des Emp-
fängers und verschickt die so entstande-
ne unleserliche Zeichenfolge per Mail.
In dieses Schloss passt nun nur der pri-
vate Schlüssel des Empfängers, der die
Nachricht so wieder lesbar macht.
Wer S/MIME nutzen will, benötigt im
Gegensatz zum PGP-Verfahren neben
dem Schlüsselpaar auch noch ein Zerti-
fikat zur Bestätigung der Echtheit des öf-
fentlichen Schlüssels, das am besten von
einer Zertifizierungsstelle erworbenwer-
den sollte. Dabei gibt es kostenlose sowie
kostenpflichtige Zertifikatsangebote, die
unterschiedlich rigorose Überprüfungen
beinhalten – von der Verifikation der E-
Mail-Adresse bis hin zu persönlicher
Überprüfung der Originaldokumente.
Die S/MIME-kompatiblen E-Mail-Clients
verifizieren selbsttätig das Zertifikat und
ermöglichen dann die Verschlüsselung.
Bei PGP können alle Schlüssel mit frei-
er Software selbst erzeugt werden und ein
Signaturelement, das von einem Mitglied
eines Netzwerks von Vertrauenspersonen
– einem sogenannten „Web of Trust“ –
stammt, ersetzt das öffentliche Zertifikat.
Ein Nachteil dieser Methoden ist, dass
sie nur funktionieren, wenn auch der
Empfänger ein Zertifikat besitzt oder
einem „Web of Trust“ angehört. Dies
ist nicht trivial, denn derzeit nutzt nur
eine verschwindende Minderheit der
Unternehmen und Privatpersonen ein
Zertifikat, wie Trend-Micro-Experte Udo
Schneider erklärt.
Von Server zu Server
Die genannten Verschlüsselungsprozes-
se laufen auf den Rechnern der beteilig-
ten Personen ab. Dies hat für die Unter-
nehmen den gravierenden Nachteil, dass
ein Mitarbeiter kündigen und seinen
privaten Schlüssel mitnehmen könnte.
Dann sind seine Mails verloren. Als Aus-
weg empfiehlt sich die unternehmens-
weite zentrale Verschlüsselung über die
IT-Abteilung. Die Administratoren legen
dazu eine Liste von Zertifikaten für die
E-Mail-Adressen autorisierter Mitar-
beiter an. Die Mails werden dann zwi-
schen den Servern der beteiligten Un-
ternehmen verschlüsselt ausgetauscht.
Alternativ kann eine Passwort-basierte
Verschlüsselung genutzt werden: Mails
werden vom Empfänger-Server über ein
Passwort des Empfängers verschlüsselt
gesendet und von ihm mit dem Passwort
wieder entschlüsselt.
De-Mail und E-Postbrief
Seit Kurzem gibt es in Deutschland zwei
eigenständige Verfahren zum verschlüs-
selten Austausch von digitaler Post:
De-Mail und E-Postbrief. Bei De-Mail
handelt es sich um ein eigenständiges,
von üblichen Mails komplett getrenntes
Mail-System. Dabei legt der Kunde ein
Konto an, wobei er sich ausweisen muss
(bei Unternehmen durch einen Auszug
aus dem Handelsregister). Die De-Mail
wird zwar beim Versand verschlüsselt
und trifft auch verschlüsselt beim Emp-
fänger ein. Eine echte „End to End“-
Verschlüsselung ist damit aber nicht
gegeben, denn auf dem Versandweg wird
die Nachricht nach gesetzlicher Vor-
schrift entschlüsselt, um Schaddateien
aufzuspüren. Zudem ist De-Mail kosten-
pflichtig mit bis zu einem Euro für eine
rechtssichere Versendung. Da der Mail-
Austausch auch nur zwischen De-Mail-
Kunden funktioniert, ist die Attraktivität
des Systems bisher gering.
Das gilt auch für das Konkurrenzmo-
dell, den E-Postbrief der Deutschen Post,
das preislich noch etwas höher liegt bei
etwa 1,60 Euro. Teilnehmer können sich
hierfür online registrieren und per Post-
Ident-Verfahren identifizieren.
Verschlüsselungs
strategien
Client-basiert
Ver- und Entschlüsselung erfolgen am Arbeitsrechner über den E-Mail-Client.
Server-basiert
Ver- und Entschlüsselung erfolgen auf den Servern der IT-Abteilung.
Verschlüsselungs
infrastrukturen
PKI („Public Key“-Infrastruktur)
Zertifizierungsstelle oder Netz von Vertrauenspersonen sichert Echtheit; Basis:
geheimer privater/bekannter öffentlicher Schlüssel (Client-/Server-basiert).
Passwort-Verschlüsselung
Mail wird mit Empfängerpasswort verschlüsselt (Server-basiert).
PKI-Standards
S/MIME
Geheimer und öffentlicher Schlüssel; Zertifizierungsstelle sichert Echtheit; in
vielen E-Mail-Programmen schon integriert.
PGP oder GPG
Geheimer und öffentlicher Schlüssel; Vertrauenspersonen („Web of Trust“)
sichern Echtheit. Schlüssel werden mit Zusatzprogrammen erzeugt.
Alternativen zur
E-Mail
De-Mail
Separates Mail-System mit unterbrochener Verschlüsselung; kostenpflichtig.
E-Postbrief
Separates Mail-System mit „End to End“-Verschlüsselung; kostenpflichtig.
wege zur E-Mail-verschlüsselung
Für die Verschlüsselung von vertraulichen E-Mails gibt es verschiedene Alternativen, die
Unternehmen gegeneinander abwägen sollten.
Dr. Hans-Dieter Radecke
ist freier
Journalist in Tiefenbach bei Landshut.