S/MIME und PGP in der Praxis

Sichere Mails für alle?

24.04.2012
Uli Ries ist freier Journalist in München.
So praktisch die E-Mail auch ist, so leicht ist sie für Betrügereien zu missbrauchen. Abseits von rechtsverbindlichen Versandmethoden gibt es deshalb weitere Lösungen, um E-Mails auf sicherem und vertraulichem Wege zu verschicken.
Je nach Bedürfnis gibt es verschiedene Lösungen für die Signatur und Verschlüsselung von E-Mails.
Je nach Bedürfnis gibt es verschiedene Lösungen für die Signatur und Verschlüsselung von E-Mails.
Foto: stock.xchng, kostenlos

Damit Sender und Empfänger einer E-Mail nicht Opfer eines Lauschangriffs oder von betrügerischen Phishing-Attacken werden, lassen sich elektronische Nachrichten verschlüsseln und/oder digital signieren. Die Signatur ist notwendig, um den Absender zweifelsfrei zu identifizieren. Die Verschlüsselung, um Lauscher und Datendiebe auszubremsen. Beides klappt zwar mit allen gängigen E-Mail-Clients und -Dienstleistern, in manchen Fällen aber eher schlecht als recht. Wir bieten einen Überblick.

Das Verschlüsseln und Signieren von E-Mails ist auch für technisch weniger versierte Zeitgenossen machbar, bringt jedoch einen gewissen Implementierungs- und Verwaltungsaufwand mit sich. Dennoch sind die Verfahren in den vergangenen Jahren deutlich einfacher und verständlicher geworden.

Schreib mal wieder... eine Postkarte!

Nach wie vor dürfte der Großteil aller E-Mails, die mit Empfängern außerhalb der eigenen Unternehmensorganisation ausgetauscht werden, dennoch unverschlüsselt im Klartext auf die Reise gehen (analog einer Postkarte). Schließlich ist es zunächst einmal unabdingbar, dass Sender und Empfänger die gleiche Art der Verschlüsselung einsetzen. Und das über Unternehmensgrenzen hinweg durchgängig sicherzustellen, ist fast unmöglich.

Immerhin werden zumindest innerhalb eines sicherheitsbewussten Unternehmens alle E-Mails dank der vorherrschenden und zumeist gut administrierten Microsoft Exchange- und IBM Domino-Infrastrukturen in der Regel automatisch verschlüsselt. Die Server erledigen alles Notwendige, der Anwender bekommt vom Verschlüsseln nichts mit.

Die fehlende Codierung beim Austausch mit dem "Rest der Welt" hat hingegen noch weitere Gründe als der bereits aufgeführte. Zum einen sind die in Frage kommenden Verfahren (S/MIME und PGP, siehe Kasten) zueinander nicht kompatibel. Zum anderen dürfte die Komplexität, die durch die zum Signieren und Verschlüsseln notwendigen Zertifikate (S/MIME) beziehungsweise Schlüssel (PGP) heraufbeschworen wird, viele IT-Verantwortliche zurückschrecken lassen. Die Furcht ist unberechtigt, ist der Umgang mit den Zertifikaten oder Schlüsseln in der Praxis doch längst nicht mehr so komplex wie noch vor einigen Jahren.