Adacor - IT Security

E-Mails sicher verschlüsseln mit TLS, S/MIME oder GnuPG

23. September 2020 von Michael Seefried

Verschlüsseln Sie Ihre E-Mails immer dann, wenn Sie sensible Daten wie Kontoinformationen, Zugangspasswörter oder Geschäftsgeheimnisse digital übertragen wollen. Diese Informationen sind für Hacker interessant und die Schäden, die entstehen können, wenn Kriminelle Ihr E-Mail-Konto übernehmen, sich Zugang zu Ihrem Konto fürs Onlinebanking verschaffen oder Ihre digitale Identität kapern, können enorm sein. Aber welche Verschlüsselungsverfahren bieten beim E-Mail-Versand den besten Schutz?

Die hohe Zahl an Hacking-Attacken oder der verstärkte Einsatz von Abhörmethoden diverser Geheimdienste zeigen, wie wichtig es für Internetnutzende ist, sich um ihre Datensicherheit im Netz zu kümmern. So sollten am besten alle Nachrichten mit vertraulichen Informationen (z. B. sensible Unterlagen für den Steuerberater oder Kontodaten zur gemeinsamen Organisation von Geschenken) grundsätzlich verschlüsselt werden. Damit wird vermieden, dass Angreifer diese Informationen für gezielte Angriffe wie Social Engineering oder Social Hacking missbrauchen. Der Versand einer E-Mail ist vergleichbar mit dem einer Postkarte: Jeder, den die Nachricht passiert, kann mitlesen und den Inhalt verändern. Deshalb verdienen vertrauliche Nachrichten besonderen Schutz. Beim Postversand übernimmt diese Aufgabe der Briefumschlag, beim E-Mail-Verkehr die Verschlüsselung. Je nach Inhalt ist zu überlegen, welche Verschlüsselungsverfahren am meisten Sinn macht: die Transportschichtsicherheit (Transport Layer Security – TLS) oder die Verschlüsselung des gesamten E-Mail-Inhalts (End-to-end).

Bei Unternehmen ist die Sache klar: Ob Kunden-Login, Verschwiegenheitserklärung, Angebot oder strategische Pläne, in der Praxis werden täglich vertrauliche Informationen per E-Mail übertragen. Deshalb nutzen viele Firmen eine Verschlüsselungslösung, in der Regel in Form einer End-to-end-Verschlüssung wie S/MIME und GnuPG.

Adacor Cloud Adoption Framework

Mit dem Cloud Adoption Framework brechen wir IT-Projekte in überschaubare Arbeitspakete auf.

Mehr als 50 Tools, Vorlagen und geführte Workshops

In 5 Min verschafft Ihnen Adacor CEO Andreas Bachmann mit seinem Video einen Überblick

Jetzt informieren

TLS ist das Verfahren für die Transportschichtsicherheit

Sicher mailenBeim Einsatz des Verschlüsselungsprotokolls TLS wird die Kommunikation auf dem Weg zwischen zwei Servern zum Zeitpunkt der Übertragung (Tunnelverschlüsselung) codiert. Neben dem eigentlichen Mail-Inhalt werden auch Metadaten wie Absender, Empfänger und Betreff verschlüsselt übertragen. Funktional betrachtet schiebt sich TLS als eigene Schicht zwischen das Übertragungssteuerungsprotokoll (TCP: Transmission Control Protocol) und die Anwendungs- und Darstellungsprotokolle. Ob SMTP (Simple Mail Transport Protocol), POP3 (Post Office Protokoll, Version 3) oder IMAP (Internet Message Access Protocol), TLS ist mit allen E-Mail-Protokollen vereinbar.

Mit dem Ziel die Sicherheit ihrer E-Mail-Nutzenden zu erhöhen, lassen viele deutsche Mail-Anbieter wie T-Online, GMX oder Web.de nur noch über TLS verschlüsselte Verbindungen für den Abruf und Versand von E-Mails zu.

Mit TLS wird die E-Mail also „nur“ auf dem Weg zwischen dem Client des Nutzers und dem Mail-Server sowie auf dem Weg zurück verschlüsselt. Das bedeutet im Umkehrschluss, dass die Nachrichten auf den Servern unverschlüsselt bleiben, da diese nicht mit TLS verschlüsselt sind. Das Gleiche gilt für unverschlüsselte Verbindungen. Das ist beispielsweise der Fall, wenn man von einem GMX-Account eine E-Mail an einen Empfänger schickt, dessen Provider nicht mit TLS verschlüsselt. Hier bietet die Verschlüsselung des gesamten E-Mail-Verkehrs den besten Rundum-Schutz.

End-to-end-Verschlüsselung macht E-Mail zur Geheimnachricht

Durch die Verschlüsselung der kompletten E-Mail können nur noch der Absender und der Empfänger den Inhalt lesen, nicht aber unbefugte Dritte. Unterschieden werden drei Verfahren: die symmetrische, asymmetrische und hybride Verschlüsselung.

  1. Symmetrische Verschlüsselung (Secret-Key-Methode)
    Es gibt einen Schlüssel für die Ver- und Entschlüsselung. Die Schlüsselverwaltung funktioniert einfach, schnell und ist bei ausreichender Schlüssellänge sehr sicher. Es sollte gewährleistet sein, dass der geheime Schlüssel (Secret Key) nicht in falsche Hände gelangen kann. Ein Nachteil ist die umständliche Schlüsselübergabe, die dazu führt, dass das Verfahren bei mehreren Beteiligten schnell aufwändig wird.
  2. Asymmetrische Verschlüsselung (Public-Key-Methode)
    Es gibt zwei Schlüssel – jeweils einen für die Ver- und Entschlüsselung. Das Schlüsselpaar besteht aus einem öffentlichen und privaten Schlüssel und die Decodierung erfolgt durch einen privaten Schlüssel (Secret Key). Das Verfahren zeichnet sich durch hohe Sicherheit aus. Die Schlüsselverteilung funktioniert einfach und da weniger Schlüssel nötig sind als beim symmetrischen Verfahren, ist der Aufwand beim Geheimhalten des Schlüssels niedriger. Die asymmetrische Verschlüsselung besticht durch hohe Schnelligkeit, allerdings sind der Rechenaufwand hoch und eine zusätzliche Authentifizierung notwendig.
  3. Hybride Verschlüsselung
    Die Kombination aus symmetrischer und asymmetrische Verschlüsselung arbeitet mit der Erzeugung eines zufälligen, digitalen Schlüssels (Session Key oder Sitzungsschlüssel). Mit diesem Session Key werden die zu schützenden Inhalte symmetrisch verschlüsselt. Anschließend wir der Session Key asymmetrisch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Die Entschlüsselung der Daten erfolgt mit dem decodierten Session Key. Die Hybride Verschlüsselung löst das Problem der Schlüsselverteilung des asymmetrischen Verfahrens und erhält gleichzeitig die hohe Schnelligkeit der symmetrischen Verschlüsselung.

Fazit: Hybride Verschlüsselung hat sich durchgesetzt

Wer privat E-Mails mit allgemeinen Inhalten versendet, dessen Kommunikation ist beim Einsatz eines deutschen Anbieters in der Regel mit einem TLS-Protokoll ausreichend geschützt. Ob privat oder beruflich, beim Versand vertraulicher Daten wie Kontoinformationen, Zugangspasswörter oder Geschäftsgeheimnisse bietet die Verschlüsselung der gesamten E-Mail den besten Schutz vor Zugriffen unberechtigter Dritter.

Für die Verschlüsselung von E-Mails haben sich in der Praxis die hybriden Verfahren durchgesetzt. Am meisten verbreitet sind die beiden Hybrid-Systeme S/MIME (Secure/Multipurpose Internet Mail Extensions) und GnuPG (GNU Privacy Guard). Beide Verfahren nutzen eine Public-Key-Infrastruktur und werden für client- und server-basierte Lösungen eingesetzt. S/MIME und GnuPG funktionieren nach dem gleichen Prinzip, sind aber aufgrund einiger Unterschiede nicht miteinander kompatibel. Die größte Abweichung liegt in der Methode zur Authentifizierung: Bei S/MIME bestätigt eine vertrauenswürdige Zertifizierungsstelle die Echtheit der öffentlichen Schlüssel der Kommunikationsteilnehmenden per Zertifikat. Im Gegensatz dazu gewährleisten bei GnuPG die anderen Nutzenden die Schlüsselidentitäten (Web of Trust). Ein Plus von S/MIME für Privatnutzer ist, dass die meisten E-Mail-Programme S/MIME unterstützen, während GnuPG nachträglich in den E-Mail-Client eingebunden werden muss. Dafür erfreut sich GnuPG im Firmenumfeld großer Beliebtheit. Das liegt an der Flexibilität und Praxistauglichkeit der freien Open-Source-Lösung und dem einfachen Aufbau der Public-Key-Infrastruktur (PKI).

Bei Adacor nutzen wir für die interne E-Mail-Verschlüsselung eine GnuPG-basierte Lösung. Diese kommt zum tragen, wenn die Mitarbeitenden vertrauliche Nachrichten und Dateien per E-Mail austauschen. Bei der externen E-Mail-Kommunikation mit Kunden oder Partnern nutzen wir ebenfalls die im E-Mail-Programm integrierte Lösung – vorausgesetzt der Empfänger kann die Nachricht mit einem Verschlüsselungsprogramm decodieren. Für den elektronischen Nachrichtenaustausch mit den Kommunikationspartnern, die ohne Verschlüsselung arbeiten oder deren Verschlüsselungsmethode nicht mit unserer kompatibel ist, haben wir mit dem Transfer Secure Tool ein eigenes Verschlüsselungstool entwickelt.

Managed Security: Rundum bestens geschützt

Die bewährten Sicherheitslösungen von Adacor schützen Ihre Daten und Systeme zuverlässig. Auf die Umsetzung von regulatorischen Anforderungen, Compliance-Vorgaben und Sicherheitsrichtlinien können Sie sich dabei verlassen. Erfahren Sie jetzt mehr!

Verwandte Artikel