E-Mails verschlüsseln

Seitdem dank Edward Snowden bekannt wurde, dass amerikanische und britische Geheimdienste wie die National Security Agency (NSA) und die Government Communications Headquarters (GCHQ) unsere E-Mails und Datenströme auslesen, speichern und auswerten (und uns niemand davor schützt), suchen Privatleute und Unternehmen nach Möglichkeiten, die Vertraulichkeit ihrer Internetkommunikation irgendwie selbst zu gewährleisten. Als eine Möglichkeit, Kriminellen und Geheimdiensten das Spionieren und Überwachen zu erschweren, wird E-Mail-Verschlüsselung empfohlen. Aber wie geht das und bringt das überhaupt was?

Implementierung von E-Mail-Verschlüsselung

Die, die in größeren Unternehmen arbeiten, müssen sich über die Einrichtung von Verschlüsselungsfunktionen wenig Gedanken machen. Der Administrator kriegt den Auftrag, richtet die Verschlüsselung zentral ein, es gibt ein Rundschreiben mit einer Anleitung und fertig. Aber was macht man als Privatperson oder Freiberufler? Hier werden einige Möglichkeiten vorgestellt, die theoretisch geeignet sind.

E-Mails verschlüsseln mit PGP

Ein Programm, das derzeit überall zur Verschlüsselung empfohlen wird, heißt Pretty Good Privacy (PGP). Mit PGP kann man eine Nachricht signieren, verschlüsseln oder beides. Die Signatur bescheinigt, dass die Nachricht wirklich von dem angegebenen Absender ist (Authentizität) und nach der Signierung nicht verändert wurde (Integrität). Bei der Verschlüsselung werden Nachricht und - falls vorhanden - die Signatur - komprimiert verschlüsselt.

PGP basiert auf einer Public-Key-Infrastruktur (PKI). Das bedeutet: Mithilfe einer PGP-Software erzeugt man für seine E-Mail-Adresse einen öffentlichen und einen privaten Schlüssel. Hat man mehrere E-Mail-Adressen, muss man das für jede einzelne tun. Den öffentlichen Schlüssel muss man vorher den Leuten schicken, von denen man verschlüsselte Post haben will, den privaten Schlüssel hält man geheim. Und umgekehrt schicken einem die ihren öffentlichen Schlüssel, die verschlüsselte E-Mails bekommen möchten.

Eine kommerzielle Version von PGP wird von Symantec, einer amerikanischen Firma, als Symantec Desktop Email Encryption angeboten. Gnu Privacy Guard (GnuPG) ist eine freie PGP-Software, die es als Gpg4win auch für Windows gibt. (Links alle unten)

E-Mails verschlüsseln bei Microsoft Outlook (Office 2010)

Bei Microsoft Outlook (Office 2010) findet man die Signierungs- und Verschlüsselungsfunktionen in einem geöffneten Nachrichtenfenster, wenn man den Reiter Optionen anklickt, dann im Feld Verlauf (die Feldnamen stehen im unteren Bereich der Felder im Menüband) auf den kleinen Pfeil rechts unten klickt und so die weiteren Optionen öffnet. Es erscheint ein Fenster Eigenschaften. Hinter dem Button Sicherheitseinstellungen... verbirgt sich ein Fenster Sicherheitseigenschaften, in welchem man die Sicherheitseigenschaften angeben kann (z. B. Nachrichten und Anlagen verschlüsseln, die Nachricht digital signieren etc.).

Allerdings funktioniert das Verschlüsseln und Signieren laut Microsoft Online-Hilfe nur, wenn man eine digitale ID von VeriSign hat. Der entsprechende Dienst von Verisign gehört inzwischen dem amerikanischen Unternehmen Symantec. Die digitale ID für sichere E-Mail heißt nun Symantec Digital ID for Secure Email. Eine Testversion kann man 25 Tage lang kostenlos ausprobieren. Ansonsten kostet sie pro Jahr 22,95 US-Dollar.

E-Mails verschlüsseln in Mozilla Thunderbird

Wer Mozilla Thunderbird als E-Mail-Programm benutzt, kann seine E-Mails mit der Verschlüsselungssoftware Gnu Privacy Guard und der Erweiterung Enigmail verschlüsseln. Anleitungen gibt es überall im Internet (siehe auch die Links unten).

Elektronischer Dokumentenaustausch mit regify

Von regify, einem Unternehmen mit Sitz in Luxemburg, gibt es einen Service namens regimail (registered electronic mail). Als potenzieller Anwender registriert man sich bei einem der regify-Provider und nutzt den Service über das Webportal des Providers oder lädt sich die regify-Client-Software herunter. Die Software gibt es als Addins für Microsoft Outlook, Lotus Notes und Thunderbird auf Windows, als eigenständige Software für Windows, MacOS und Linux sowie als App für iPhone/iPad, Android- und BlackBerry-Geräte. Die Schlüsselverwaltung für die regify-Nachrichten liegt bei einem regify-Clearing-Service. regimail funktioniert mit jeder normalen E-Mail-Adresse. Für Privatanwender gibt es kostenlos regimail Private - der Service erlaubt bis zu 10 nicht kommerzielle Versendungen pro Monat, bei denen man eine Werbeeinblendung in Kauf nehmen muss.

Schreiben, verschlüsseln und als Anhang versenden, z. B. mit Crypditor

Anstatt eine E-Mail direkt in Outlook oder einem anderen E-Mail-Programm zu schreiben, kann man sie auch in einer Datei verfassen, diese abspeichern, verschlüsseln und als Anhang einer E-Mail versenden. Den Schlüssel zum Entschlüsseln sollte man dem Empfänger dann aber über andere Wege zukommen lassen. Crypditor ist ein kostenloser Texteditor mit Verschlüsselung von ProtectCom, einem Münchner Unternehmen, das hauptsächlich Produkte zur PC- und Netzwerküberwachung anbietet. Der Editor speichert die Information in der Programmdatei selbst. Diese kann verschickt oder auf einen USB-Stick gespeichert werden und ist nur mit dem Passwort lesbar.

Anonymität wahren

Beim Versenden einer E-Mail sind normalerweise Absender und Empfänger über die IP-Adresse erkennbar. Verhindern kann man das durch die Nutzung eines Anonymisierungsnetzwerks wie Tor (steht für "The onion router") oder eines PrivacyDongle-USB-Sticks.

Und hilft E-Mail-Verschlüsselung tatsächlich?

Die Verschlüsselung von E-Mails ist meiner Einschätzung nach nur scheinbar sicher. Selbst verschlüsselte E-Mails sind vermutlich weniger sicher als Postkarten, weil Postkarten, soweit man weiß, bisher von Kriminellen oder Geheimdiensten in Deutschland noch nicht in großem Maßstab digitalisiert und als Big Data ausgewertet werden.

Warum ich die E-Mail-Verschlüsselung für nur scheinbar sicher halte:

• Man kann davon ausgehen, dass Verschlüsselungen, die jetzt als sicher gelten, spätestens in ein paar Jahren geknackt werden können. Wahrscheinlich lenkt man durch die Verschlüsselung erst recht die Aufmerksamkeit von Kriminellen und Geheimdiensten auf sich.
• Amerikanische Behörden können außerdem amerikanische Unternehmen unter Druck setzen, damit diese die Schlüssel, die sie verwalten, herausgeben. Einige Serviceanbieter haben aus diesem Grund ihre Dienste bereits eingestellt, um nicht in so eine Lage gebracht werden zu können.
• Andere Unternehmen sollen Snowden zufolge der NSA sowieso direkten Zugriff auf das Backend, also auf das System selbst, gegeben haben und mit ihr freiwillig oder gezwungenermaßen kooperieren. Beispielsweise sollen Windows-Betriebssysteme schon seit Windows 98 von der NSA mit speziellen Zugriffsystemen versehen worden sein.
• Im Grunde genommen weiß man bei keiner Software, auch nicht der Verschlüsselungssoftware und auch bei keinem (Sicherheits-) Update, was man sich wirklich auf den Rechner holt und ob vielleicht ein Trojaner (Schnüffelprogramm) dabei ist. 
• Trojaner lesen mit, bevor überhaupt verschlüsselt wird.

Ich kann nicht beurteilen, welche Auswirkungen die immerhin bekannte Mitarbeit der NSA an der Internetstandardisierung, an einer Sicherheitserweiterung des Linux-Kernels und den Sicherheitsfunktionen von Google's Android-System hat, und ob dadurch Verschlüsselung zur Gewährleistung von Privatsphäre sowieso zwecklos geworden ist.

Wenn es um Leben oder Tod, um Existenz oder Pleite geht, sollte man sich meiner Einschätzung nach lieber nicht auf E-Mail-Verschlüsselung verlassen.

Die Frage ist, was bleibt: persönliche Botengänge?


PS:
Von manchen Experten und Journalisten (so auch im Artikel "Der Jedermann-Code") wird Verschlüsselung empfohlen, um Kriminellen, Industriespionen und Geheimdiensten das Ausspionieren bzw. Überwachen schwer zu machen, in der Hoffnung, die sähen dann ein, dass es sich nicht lohnt, ständig das ganze Internet zu belauschen.
Das halte ich ehrlich gesagt für naiv - und für freundliche Werbung für die interviewten Kryptografen. Meiner Meinung nach wird es die Spione und Überwacher (bzw. deren Entwickler) nur anspornen, sich zu verbessern. Man sollte sich als Anwender lieber bewusst sein, dass alles, was man im Internet, oder in Anwesenheit eines mit Strom versorgten Rechners (der gelegentlich Kontakt zu anderen Rechnern oder Datenträgern hat), oder in Anwesenheit eines Smartphones im Raum tut, ausspioniert werden kann.
Ich glaube, dass es internationale Vereinbarungen geben muss und dass gleichzeitig durch Hardware-/Software-Strukturmaßnahmen dafür gesorgt werden muss, dass Internetunternehmen anderer Länder deutsche/europäische Daten in Deutschland/Europa routen und auf Servern speichern müssen (wo das für die Dienstleistung notwendig ist) und unsere Daten nach unseren Gesetzen behandelt werden müssen. Mag sein, dass das auch naiv ist, aber ich sehe keine andere Möglichkeit, damit das Internet nicht zu dem Überwachungsmonstrum wird, das sich möglicherweise manche von Anfang an gewünscht haben - was wir vor lauter blindem Idealismus nur zu dumm waren zu erkennen.

Quellen und Interessantes 

• Pretty Good Privacy, PGP (Wikipedia)  
• GNU Privacy Guard (gnupg.org) 
• GnuPG für Windows (Gpg4win)  
• E-Mails verschlüsseln mit Windows und Thunderbird (akademie.de)
• Digitale ID (Symantec Verisign)  
• Crypditor (ProtectCom)  
• Tor Project (torproject.org) 
• PrivacyDongle (Digitalcourage) 
• Regimail (Regify)  
• Die halbsichere E-Mail made in Germany (ZEIT ONLINE)   
• Kurze Anleitung zu Überwachungsfeindlichem Verhalten (ude.de)  
• PGP-Erfinder: "Ich dachte nicht, dass es so schlimm kommen würde" (heise online)  
• Peinlicher Fehler deckt die Unterwanderung von Windows durch die NSA auf (Telepolis)  
• Schutz gegen Internet-Spione: So verschlüsseln sie Ihre E-Mails (F. Lindenberg und C. Stöcker, Spiegel Online)  
• Das Ende des Internets (Blog "Text und Kommunikation")  
• Demokratie verraten und verkauft? (Blog "tinto bloggt")  
• Streit um Auftritt von Pofalla (Süddeutsche.de)  
• NSA-Affäre: Wie die NSA gesicherte Verbindungen aushebelt (ZEIT ONLINE)  
• Cyber-Angriffe: So gefährdet die NSA die Internetsicherheit (Spiegel online)  
• Die digitale Tarnkappe - eine Bauanleitung (Peter Welchering, Medienmagazin journalist, August 2013) 
• Der Jedermann-Code (Thomas Fischermann, DIE ZEIT N°19, September 2013)

Twitter auf Webseite einbinden

Wäre es nicht schön, wenn Ihre Homepage- oder Blogbesucher Ihre Tweets beziehungsweise öffentliche Tweets Ihrer Wahl direkt auf einer Website - beispielsweise auf Ihrer Homepage, im Blog oder auf einer anderen Webseite Ihrer Domains - lesen könnten? Kein Problem, Twitter bietet Widgets, mit denen man eine Twitter-Box auf der Website integrieren kann.

Nachtrag:
Twitter hat die Nutzeroberfläche und die Konfigurierung verändert, weshalb ich eine neue Anleitung erstellt habe, siehe Twitter-Tweets in eine Webseite einbauen.

Die Twitter-Box lässt sich nach Wunsch konfigurieren und kann
in jede Webseite eingebaut werden. Ich nutze sie auf meiner
Portalseite tinto.de, um dort meine neuesten Tweets anzuzeigen.

Anzeige


Eigentlich gibt es die Möglichkeit, eine Twitter-Box mit öffentlichen Tweets in die Website einzubinden, schon seit Langem, doch war die Funktion etwas versteckt. Jetzt wurde der Widget-Code von Twitter umgestellt, der Widget-Konfigurator erweitert und leichter auffindbar gemacht.

Twitter auf Website einbinden - Anleitung

So generieren Sie Ihr Widget:

1. Gehen Sie auf die Twitter-Homepage  
2. Loggen Sie sich mit ID und Passwort ein.
3. Klicken Sie auf Ihr Porträtbild in der Symbolleiste oben rechts und wählen Sie in der Dropdown-Liste Einstellungen und Datenschutz. 
4. Auf der Seite Account wählen Sie in der Navigation auf der linken Seite Widgets. 
5. Klicken Sie auf Neu erstellen. 
6. Nun öffnet sich der Widgets-Konfigurator.
   
   

   

   Widgets-Konfigurator für die Konfigurierung einer Benutzer-Timeline

7. Über die Reiter unterhalb von Wähle eine Timeline-Quelle können Sie aussuchen, welche Art von Tweets Ihre Twitter-Box zeigen soll: 
• Benutzer Timeline
  Tweets eines öffentlichen Accounts
• Gefällt mir
  Tweets, die Sie als Favoriten gekennzeichnet haben 
• Liste
  Tweets einer Liste, die Sie zuvor angelegt und denen Sie öffentliche Twitter-Accounts zugeordnet haben
• Suchen
  Tweets, die mit einem definierten Hashtag-Begriff, z. B. #garten, gekennzeichnet wurden 
• Sammlung
  Tweent einer Sammlung, die Sie zuvor angelegt haben.
8. Die Konfigurierung ist weitgehend selbsterklärend.
   
   Beispiel Benutzer-Timeline: 
1. Wählen Sie den Reiter Benutzer Timeline. 
2. Auf der linken Seite können Sie Ihr Widget nun konfigurieren, auf der rechten Seite wird währenddessen eine Vorschau angezeigt. 
3. Bei Nutzername können Sie Ihren eigenen oder einen anderen öffentlichen Twitter-Account angeben. 
4. Bei Optionen können Sie wählen, ob Antworten auf Tweets auch eingeblendet und ob Bilder angezeigt werden sollen. 
5. Bei Höhe geben Sie einen Wert von mindestens 200 ein, wenn Sie nicht den vorgegebenen Wert von 600 px beibehalten wollen. Die Breite muss nicht angegeben werden, da Twitter die Breite der Box automatisch an die Umgebung anpasst - sie ist jedoch mindestens 180 px breit. 
6. Bei Thema können Sie zwischen Hell und Dunkel wählen. 
7. Bei Linkfarbe können Sie eine Farbe auswählen, nachdem Sie in das Feld geklickt haben, und diese speichern. 
8. Twitter für mich nicht anpassen aktivieren Sie mit einem Häkchen, wenn Sie nicht möchten, dass Ihnen Twitter Tweets einblendet aufgrund von Informationen, die der Dienst über Ihre Interessen und Verhalten gespeichert hat. 
9. Klicken Sie auf Widget erstellen oder später beim Bearbeiten Änderungen speichern.
   Die Eingaben werden nun auf einem Twitter-Server gespeichert und rechts unten im Code-Feld Ihr Widget-Code eingeblendet. 
10. Kopieren Sie den Code und fügen Sie ihn an der Stelle, an der Sie Twitter in die Website einbinden wollen, in den HTML-Code Ihrer Website/Homepage oder Ihres Blogs ein.
    
    Tipp:
    Zusätzliche Anpassungsmöglichkeiten ("Client Side Options") werden auf der Seite für Twitter Entwickler beschrieben (Englisch).

Twitter auf Website einbinden - Anwendungsbeispiele

Ich habe eine Twitter-Box mit meinen letzten Tweets auf meiner tinto.de-Einstiegsseite und im Media Newsroom von evaschumann.biz eingebunden. Ob das auch bei Ihnen Sinn macht, hängt von der persönlichen Nutzung und vom Kommunikationskonzept ab.

Anzeige


Ich verwende die verschiedenen Social-Media-Plattformen zu unterschiedlichen Zwecken:

• Zum Diskutieren bevorzuge ich die Kommentarfunktionen von Blogs sowie die Kommunikationsmöglichkeiten bei Facebook und Googleplus.
• In meiner Twitter-Timeline stelle ich vorwiegend neue Blogartikel und Informationswebseiten aus meinem eigenen "Internetreich" vor. Nur manchmal teile ich auch besonders Interessantes aus meinem Netzwerk auf Twitter - allerdings nur dann, wenn ich meine, dass diese Tweets nicht nur meine Twitter-Follower, sondern auch meine Webseiten-/Blogbesucher interessieren könnten, denn wie bereits erwähnt: Ich habe Twitter auf meiner tinto.de-Einstiegsseite und im Social Media Newsroom von evaschumann.biz eingebunden. So haben auch meine Webseiten- und Blogbesucher eine komfortable Möglichkeit, sich anhand der letzten Tweets über Neues in meinen Internetprojekten zu informieren.

Nutzt/nutzen Sie die Kommentarfunktion und fügt eure/Ihre Erfahrungen hinzu. Wenn der Blogbeitrag euch/Sie inspiriert hat, abonniert/abonnieren Sie den Feed oder per E-Mail.

Das könnte Sie auch interessieren:

• Parfüms & Co. blind, ohne Ausprobieren, online kaufen? So fiel mein Selbsttest aus. (Verbrauchermeinung)
• Der Corporate Blog als Teil der Unternehmensstrategie
• Letzte Blogartikel, Foren- und Social-Media-Beiträge als Linklisten in eine Website einbinden
• Bezahlte Blogartikel - Sponsor Posts und Sponsored Posts

Sie suchen Werbeplatz in diesem Blog oder eine Technische Redakteurin/Autorin/Texterin zu Software-, Informatik- oder Internetthemen für Ihre Website, ein Buchprojekt, ein Kundenmagazin o. Ä.? Schreiben Sie mir!

Anzeige