Verschlüsselungsverfahren im Überblick

Sicher mailen dank bewährter Verschlüsselungsverfahren wie TLS, S/MIMI und GnuPG.

E-Mail-Verschlüsselung lohnt sich, wenn man sensible Daten wie Kontoinformationen, Zugangspasswörter oder Geschäftsgeheimnisse digital übertragen möchte. Geraten solche vertraulichen Inhalte in die Hände von Netzbetrügern, könnten diese beispielsweise die Kontrolle über das Mail-Konto ihres Opfers übernehmen, sich Zugang zu Online-Bank- und -Shop-Accounts verschaffen oder eine komplette digitale Identität auf sich übertragen.

Mit welchen Fallstricken man beim E-Mail-Versand rechnen muss und welche Verschlüsselungsverfahren den besten Schutz bieten, zeigt der folgende Beitrag.

Sicher mailenDie weltweiten Abhörskandale diverser Geheimdienste haben ebenso wie die enorme Anzahl an Hacking-Attacken im letzten Jahr dazu geführt, dass viele Nutzer sich bewusster um ihre Sicherheit im Netz kümmern. Aktuell scheuen immer noch viele Privatnutzer und Unternehmen das Thema „E-Mail-Verschlüsselung“ und versenden ihre digitalen Nachrichten lieber ungeschützt. Dabei ist der Versand einer E-Mail vergleichbar mit dem einer Postkarte: Jeder, den die Nachricht passiert, kann mitlesen und den Inhalt verändern. Aufgrund dessen verdienen vertrauliche Nachrichten besonderen Schutz. Beim Postversand übernimmt diese Aufgabe der Briefumschlag, beim E-Mail-Verkehr die Verschlüsselung.

Ob eine Verschlüsselungslösung sinnvoll oder nötig ist, hängt speziell im privaten Bereich vom individuellen Nutzerverhalten ab. Falls man dort ausschließlich belanglose E-Mails verschickt, und auch sonst darauf achtet, dass im Internet keine vertraulichen Informationen über einen stehen, dann wird sich wahrscheinlich kein Hacker oder Geheimdienst für einen interessieren. Bei den meisten Nutzern ist es jedoch ein Leichtes, ein genaues Profil über sie zu erstellen: Geburtstagsdatum, Beruf und Firma stehen in Facebook und in die E-Mail für die Sammelaktion eines Hochzeitsgeschenks schickt man schnell mal seine Kontoverbindung an zwanzig Empfänger. Das sind alles Informationen, die ein gewiefter Angreifer missbrauchen könnte. Die Frage, ob man jetzt als Privatmann oder –frau E-Mail-Verschlüsselung braucht, muss daher grundsätzlich jeder für sich selbst beantworten. Bei Unternehmen hingegen ist die Sache klar: Von Kunden-Logins, über Verschwiegenheitserklärungen und Angebote, bis zu geheimen strategischen Plänen werden in der Praxis tagtäglich vertrauliche Informationen per E-Mail übertragen. Deshalb empfiehlt sich für Firmen grundsätzlich eine Verschlüsselungslösung. Diese orientiert sich daran, was und wie verschlüsselt werden soll: TLS codiert die Verbindung zum E-Mail-Anbieter und zurück. S/MIME und GnuPG verschlüsseln die gesamte E-Mail.

TLS ist das Verschlüsselungsverfahren für die Verbindungssicherheit

E-Mail wird GeheimnachrichtDas TLS-Protokoll (Transport Layer Security, zu deutsch: Transportschichtsicherheit) geriet im April 2014 in die Schlagzeilen, als der Heartbleed Bug, ein äußerst gravierender Programmierfehler, die Verschlüsselung, Schlüssel und Daten der mit der freien Software für TLS (OpenSSL) gesicherten Verbindungen im Internet gefährdete. Auch für die E-Mail-Kommunikation mit TLS wurde Alarm geschlagen, denn der Bug erlaubte es Angreifern, bestimmte Speicherbereiche auszulesen, in denen sich mitunter auch Schlüssel, Passwörter sowie andere vertrauliche Daten befunden haben. Der Fehler konnte zwar behoben werden, aber niemand weiß, wie viele Daten in der Zwischenzeit unfreiwillig ihren Besitzer gewechselt haben. Dennoch ist TLS als sicheres Verschlüsselungsverfahren anzusehen, speziell wenn es um die sichere Kommunikation zwischen zwei Nutzern bzw. Unternehmen geht. Voraussetzung dafür ist, dass ein Zertifikat einer öffentlichen Zertifizierungsstelle die Identität des Postausgangsservers bzw. dessen Betreibers auf Echtheit geprüft hat.

Beim Einsatz der TLS-Verschlüsselung wird die gesamte Kommunikation auf dem Weg zwischen zwei Servern zum Zeitpunkt der Übertragung (Tunnelverschlüsselung) codiert. D. h., dass neben dem eigentlichen Mail-Inhalt, auch Metadaten wie Absender, Empfänger und Betreff verschlüsselt übertragen werden. Funktional betrachtet, schiebt sich TLS als eigene Schicht zwischen das Übertragungssteuerungsprotokoll (TCP: Transmission Control Protocol) und die Anwendungs- und Darstellungsprotokolle. Ob SMTP (Simple Mail Transport Protocol), POP3 (Post Office Protokoll, Version 3) oder IMAP (Internet Message Access Protocol), TLS ist mit allen E-Mail-Protokollen vereinbar.

Mit dem Ziel die Sicherheit ihrer E-Mail-Nutzer zu erhöhen, lassen die vier deutschen Mail-Anbieter T-Online, GMX, Web.de und Freenet seit dem 1. April 2014 nur noch über TLS verschlüsselte Verbindungen für den Abruf und Versand von E-Mails zu.

Image

Hybrid Cloud treibt den Wandel in der IT

In der 32. Ausgabe des Magazins Behind The Scene (BTS) dreht sich alles um den Wandel in der IT.

Jetzt das PDF kostenfrei downloaden

Mit TLS wird die E-Mail also „nur“ auf ihrem Weg zwischen dem Client des Nutzers und dem Mail-Server sowie auf dem Weg zurück verschlüsselt. Das bedeutet im Umkehrschluss, dass die Nachrichten auf den Servern unverschlüsselt bleiben, da diese nicht mit TLS verschlüsselt sind. Das Gleiche gilt für unverschlüsselte Verbindungen. Das ist z. B. der Fall, wenn man von einem GMX-Account eine E-Mail an einen Empfänger schickt, dessen Provider nicht mit TLS verschlüsselt. Will man hier einen Rundum-Schutz erreichen, ist man mit der Verschlüsselung des gesamten E-Mail-Verkehrs am besten bedient.

End-to-end-Verschlüsselung: die E-Mail wird zur Geheimnachricht

Durch die Verschlüsselung der kompletten E-Mail können nur noch der Absender und der Empfänger den Inhalt lesen, nicht aber unbefugte Dritte. Die folgende Tabelle zeigt eine Übersicht der symmetrischen, asymmetrischen und hybriden Verschlüsselung.

Verschlüsselungsverfahren im Überblick

Verfahren Symmetrische Verschlüsselung (Secret-Key-Methode) Asymmetrische Verschlüsselung (Public-Key-Methode) Hybride Verschlüsselung
Merkmale
  • Ein Schlüssel für Ver- und Entschlüsselung
  • Zwei Schlüssel für Ver- und Entschlüsselung
  • Schlüsselpaar besteht aus öffentlichen und privatem Schlüssel
  • Decodierung erfolgt durch privaten Schlüssel (Secret Key)
  • Kombiniert symmetrische und asymmetrische Verschlüsselung
  • Erzeugung eines zufälligen, digitalen Schlüssel (Session Key) für Ver- und Entschlüsselung
  • Symmetrische Codierung des Mailinhalts mit dem Session Key
  • Asymmetrische Codierung des Session Key mit dem öffentlichen Schlüssel
  • Versand der verschlüsselten Daten mit dem öffentlichen Schlüssel des Empfängers
  • Asymmetrische Codierung des Session Key mit dem privaten Schlüssel des Empfängers
  • Entschlüsselung der Inhalte mit dem decodierten Session Key
Vorteile
  • Einfache Schlüsselverwaltung
  • Schnell
  • Sicher bei ausreichender Schlüssellänge
  • Sicher
  • Weniger Schlüssel nötig als beim symmetrischen Verfahren
  • Weniger Aufwand beim Geheimhalten des Schlüssels
  • Einfache Schlüsselverteilung
  • Kombiniert die Vorteile von symmetrischer und asymmetrischer Verschlüsselung
Nachteile
  • Secret Key darf nicht in die falschen Hände gelangen
  • Umständliche Schlüsselübergabe
  • Sehr aufwändig bei mehreren Beteiligten
  • Hoher Rechenaufwand
  • Zusätzliche Authentifizierung
  • keine

S/MIME oder GnuPG: Wer die Wahl hat, hat die Qual

Für die Verschlüsselung von E-Mails haben sich in der Praxis die hybriden Verfahren durchgesetzt. Aufgrund des hohen Verbreitungsgrades beschränkt sich der Artikel auf die Vorstellung der zwei gängigsten Hybridsysteme: S/MIME (Secure/Multipurpose Internet Mail Extensions) und GnuPG (GNU Privacy Guard).

Beide Verfahren nutzen eine Public-Key-Infrastruktur und werden sowohl für client- als auch server-basierte Lösungen verwendet. Zwar funktionieren S/MIME und GnuPG nach dem gleichen Prinzip der hybriden Verschlüsselung, einige Unterschiede machen die Systeme jedoch inkompatibel. Die größte Abweichung liegt in der Methode zur Authentifizierung: Bei S/MIME bestätigt eine vertrauenswürdige Zertifizierungsstelle die Echtheit der öffentlichen Schlüssel der Kommunikationsteilnehmer per Zertifikat. Im Gegensatz dazu gewährleisten bei GnuPG die anderen Nutzer die Schlüsselidentitäten (Web of Trust).

Ob S/MIME oder GnuPG, letztlich bietet keines der beiden Verschlüsselungsverfahren mehr Vorteile als das andere. Ein großer Vorteil von S/MIME für Privatnutzer ist, dass die Software in den meisten E-Mail-Programmen schon vorinstalliert ist, während GnuPG nachträglich in den E-Mail-Client eingebunden werden muss. Dafür erfreut sich GnuPG im Firmenumfeld großer Beliebtheit. Das liegt zum einen an der Flexibilität und Praxistauglichkeit der freien Open-Source-Lösung, zum anderen am einfachen Aufbau der PKI.

Übrigens nutzt auch die ADACOR für die E-Mail-Verschlüsselung eine GnuPG-basierte Lösung. Intern kommunizieren die Mitarbeiter seit jeher sicher miteinander und verschlüsseln Nachrichten und Dateien bei der Übertragung per E-Mail. Das Problem der unverschlüsselten E-Mail-Kommunikation stellte sich bisher nur beim elektronischen Nachrichtenaustausch mit Kunden und Partnern ohne PGP-Verschlüsselung.

, , , ,


Weitere Artikel zum Thema lesen

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Hosting, IT Security, IT-News

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Alexander Wichmann berichtet von Besuch des Seminars bei Hackattack.

weiter lesen

Health goes mobile: Datenschutz für mHealth

Biz & Trends, IT Security

Health goes mobile: Datenschutz für mHealth

Welche Kategorien von Health Apps gibt es? Kommt jetzt die App aufs Rezept?

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.