Millionen E-Mails werden täglich über das Internet übertragen. Bei der Übertragung Ihrer E-Mails werden diese über unterschiedliche Knotenpunkte im Internet übertragen, bis sie letztendlich den Nachrichtenempfänger erreichen. Auf diesem Weg können Ihre E-Mails potentiell mitgelesen oder manipuliert werden.
Bei der Organon Informationssysteme GmbH fällt uns immer wieder auf, dass die Möglichkeiten E-Mails sicher zu senden und zu empfangen von vielen Unternehmen nicht richtig und teils überhaupt nicht genutzt werden. Insbesondere werden unter Mitarbeitern teilweise Zugangsdaten wie Benutzername, Passwörter und Eintrittspunkte fahrlässigerweise und unbedacht im Klartext über E-Mail oder soziale Messengerdienste ausgetauscht.
Zugangsdaten im Klartext versenden kann fatale Folgen für die IT-Sicherheit Ihres Unternehmens haben!
Wir zeigen Ihnen, wie Sie Ihre Mitarbeiter und Ihr Unternehmen mit sicherer E-Mail-Kommunikation ausstatten und wie Sie Hackern und Wirtschaftsspionage erfolgreich den Kampf ansagen. Sie können bei Interesse die lange Version lesen oder direkt zu unseren Empfehlungen springen.
Grundsätzlich gibt es bei der E-Mail Verschlüsselung zwei unterschiedliche Verfahren, die Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung mit PGP bzw. GPG (quelloffen) oder S/MIME.
Bei der Transportverschlüsselung wird während des Versands einer E-Mail eine Verbindung von Ihrem Client-Programm mit dem Server Ihres E-Mail-Providers aufgebaut. Dies erfolgt meist über das TLS (Transport Layer Security)-Protokoll oder über STARTTLS. Die Daten sind dann während der Übertragung zunächst verschlüsselt. Auf dem Weg zum Empfänger der E-Mail werden Ihre Daten über viele verschiedene Stationen im Internet weitergereicht. Leider können durch fehlerhaft konfigurierte Server (einzelne Stationen oder Server des Providers), die Datenströme zwischen den einzelnen Stationen oder die Server selbst, Ihre E-Mails entschlüsselt im Klartext vorhalten. Außerdem können Hacker durch gezielte Man-in-the-Middle-Angriffe auf diese Server, bei erfolgreichem Angriff Ihre E-Mails abfangen, verändern oder an Dritte weiterreichen.
Bei der Ende-zu-Ende-Verschlüsselung werden Ihre E-Mails einzeln verschlüsselt und erst dann über die Transportwege weitergereicht, sodass die E-Mails auf dem Weg und in jeder Station verschlüsselt vorliegen. Eine eventuelle Schwachstelle (also z.B. ein fehlerhaft konfigurierter Server) stellt somit nur noch eine infinitesimal kleine Gefahr für das potentielle Mitlesen Ihrer E-Mails dar. Nur der Verfasser und der Empfänger können die E-Mail im Klartext lesen, sofern der entsprechende Schlüssel dem jeweiligen Kommunikationspartner vorliegt.
Bei der Verschlüsselung von E-Mails haben sich drei Verfahren etabliert, das asymmetrische, das symmetrische und das hybride Verschlüsselungsverfahren. Alle drei Verschlüsselungsverfahren nutzen den Austausch von Schlüsseln. Dabei gibt es jedoch wesentliche Unterschiede:
Beim asymmetrischen Verschlüsselungsverfahren wird beim Sender und Empfänger jeweils ein Schlüsselpaar erzeugt, bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel.
Achtung! Der private Schlüssel sollte niemals von einer andern Person eingesehen werden können und sicher verwahrt werden!
Der öffentliche Schlüssel wird allen Kommunikationspartnern zur Verfügung gestellt und kann z.B. auf einen öffentlichen Schlüsselserver hochgeladen oder per Anhang in Ihrer E-Mail versendet werden.
Um nun eine Nachricht verschlüsselt zu versenden, wird die zu versendende Nachricht vom Sender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und kann nur von diesem mit seinem eigenen privaten Schlüssel entschlüsselt werden.
Tipp: Achten Sie darauf, dass Sie Ihren privaten Schlüssel nicht verlieren oder versehentlich für ungültig erklären. Bei seinem Verlust oder Ungültigkeit können Sie Nachrichten die mit dem passenden öffentlichen Schlüssel verschlüsselt wurden nicht mehr lesen.
Beim symmetrischen Verschlüsselungsverfahren wird nur ein Schlüssel zum Ver- und Entschlüsseln einer Nachricht verwendet. Dieser Schlüssel muss vor der eigentlichen Kommunikation unter den Kommunikationspartnern ausgetauscht und sicher verwahrt werden. Das symmetrische Verschlüsselungsverfahren ist beim Versand größerer Datenmengen schneller. Allerdings ist es durch den vorherigen synchronen Schlüsselaustausch bei Kommunikationstechniken wie der E-Mail problematisch, hinsichtlich der Sicherheit und der potentiell großen Nutzergruppe.
Das hybride Verschlüsselungsverfahren kombiniert das symmetrische und das asymmetrische Verschlüsselungsverfahren, sodass die jeweiligen Vorteile erhalten bleiben:
- schnelle symmetrische Verschlüsselung großer Datenmengen
- sichere Schlüsselübertragung durch asymmetrische Verschlüsselung
Bei der Übertragung einer E-Mail wird zunächst eine Prüfsumme erzeugt, mit der die Nutzdaten der E-Mail symmetrisch verschlüsselt werden, da so auch größere Datenmengen schnell verschlüsselt werden können. Anschließend wird die Prüfsumme mit dem öffentlichen Schlüssel des Empfängers asymmetrisch Verschlüsselt. Die asymmetrische Verschlüsselung benötigt mehr Rechenzeit. Daher wird nur die relativ kleine Prüfsumme asymmetrisch verschlüsselt, was gleichzeitig eine sichere Schlüsselübertragung von Sender und Empfänger gewährleistet. Die asymmetrisch verschlüsselte Prüfsumme und die symmetrisch verschlüsselten Nutzdaten werden nun versendet. Der Empfänger entschlüsselt die Prüfsumme asymmetrisch mit seinem privaten Schlüssel. Mit der entschlüsselten Prüfsumme werden die Nutzdaten der E-Mail symmetrisch entschlüsselt – der Empfänger kann die E-Mail nun lesen.
Um die Integrität und Authentizität zu wahren (sprich sicherzustellen, dass die E-Mail auf Ihrem Weg durch das Netz nicht verfälscht wurde und nachzuweisen, dass die E-Mail auch wirklich von der Person stammt, von der sie versendet wurde), wird beim asynchronen Verschlüsselungsverfahren zum einen eine eindeutige Prüfsumme der Nachricht erstellt und zum anderen die damit erzeugte digitale Signatur mit der E-Mail-Adresse des Absenders formell und nachweislich verknüpft. Die Erstellung der Prüfsumme erfolgt individuell für jede Nachricht und wird mit dem privaten Schlüssel des Absenders verschlüsselt, der E-Mail als Signatur angehängt. Beim Empfänger wird die übermittelte Signatur mit dem öffentlichen Schlüssel des Absenders entschlüsselt. Somit erhält der Empfänger die Prüfsumme, die mit einer zuvor selbst berechneten Prüfsumme verglichen wird. Stimmen die beiden Prüfsummen überein, ist die Integrität der E-Mail sichergestellt.
OpenPGP ist ein standardisiertes Datenformat, dass das hybride Verschlüsselungsverfahren nutzt um die Daten zu verschlüsseln und zu signieren. Es kann in zwei unterschiedliche Modi versetzt werden, um die Nachricht in das bei E-Mails zulässige ASCII-Format umzuwandeln, dem PGP/INLINE und dem PGP/MIME. Während PGP/INLINE nur die Verschlüsselung von einfachen Text-E-Mails unterstützt, ist PGP/MIME state-of-the-art und unterstützt die Verschlüsselung von HTML-E-Mails und deren Anhänge. Es stehen unterschiedlich starke Schlüssel zur Verfügung, 2048- bis 4096-Bit Länge. GPG verwendet nur lizenzfreie Algorithmen zum Verschlüsseln der E-Mails, wie z.B. die auf dem Public-Key Cryptography Standard basierenden RSA-Verfahren, DSA, AES, Elgamal, IDEA, CAST(5/128), Blowfish sowie Camellia und Elliptic Curve Cryptography (ECDSA und ECDH). Die Kombination RSA zum Verschlüsseln und RSA zum Signieren ist bei den meisten Programmen die OpenPGP implementieren als Standard vorausgewählt.
Tipp: Da es relativ einfach ist öffentliche Schlüssel unter falschem Name auf einen öffentlichen Schlüsselserver hochzuladen, ist der Vergleich des Fingerabdrucks essentiell für die Verhinderung von Identitätsmanipulationen.
Beim Fingerabdruck handelt es sich um eine Prüfsumme der Schlüsseldaten (öffentlicher Hauptschlüssel und Zeitstempel) der in hexadezimaler Form (zum Beispiel „63BC 6AC4 D64C C4BA 1F86 B73A 23FE 6BCE“) vorliegt und sollte über einen separaten und sicheren Kommunikationsweg, zum Beispiel über Telefon oder in einem direkten Gespräch abgeglichen werden.
Die Secure/Multipurpose Internet Mail Extensions (S/MIME) ist bei gängigen E-Mail-Clients wie Outlook und Thunderbird von Haus aus implementiert und nutzt ebenfalls die Kombination von privaten und öffentlichen Schlüsselpaaren zur Ver- und Entschlüsselung von E-Mails und deren Signaturüberprüfung. Zur Sicherstellung von Authentizität nutzt S/MIME ein Zertifikatssystem, bei dem externe Zertifizierungsstellen die Echtheit des Absenders beglaubigen. Dabei werden von den Zertifizierungsstellen (CA von Certified Authorithy) Zertifikate mit unterschiedlichem Glaubwürdigkeitsgrad (meist gegen unterschiedlich hohe Gebühren) ausgegeben. Der Glaubwürdigkeitsgrad (1-4) ist abhängig von der Methode, wie sich die zu zertifizierende Person gegenüber der CA verifiziert.
In Stufe 1 wird nur die E-Mail-Adresse von der CA beglaubigt und wird als Teil in das Zertifikat übernommen. In Stufe 2, zusätzlich zur E-Mail-Adresse, der Name der Person und ggf. der Firmen- oder Organisationsname. In Stufe 3 weitere Dokumente wie z.B. Ausweiskopien, Handelsregisterauszug, etc. In Stufe 4 muss der Antragssteller sich persönlich oder mit dem Post-Ident-Verfahren identifizieren. E-Mail-Clients erkennen Zertifikate einer CA nur an, wenn sie diese CA kennen und als vertrauenswürdig einstufen. Bestimmte CAs können auf den unterschiedlichen E-Mail-Clients und den jeweiligen Programm-Versionen unbekannt oder als nicht vertrauenswürdig eingestuft werden. Die Überprüfung des Zertifikats schlägt dann fehl. S/MIME eignet sich, wenn Sie zum Beispiel als Behörde eine qualifizierte Signatur durch das deutsche Signaturgesetz SigG benötigen.
OpenPGP und S/MIME nutzen dieselben kryptographischen Techniken, was es den Nutzern, zumindest theoretisch erlaubt, die Schlüssel zwischen den Systemen zu wechseln. Dennoch sind die Systeme nicht kompatibel. Die Unterschiede der Systeme liegen in der Handhabung der Schlüssel, dem Zertifikate-Management und im Format der E-Mails und Signaturen. OpenPGP bietet dem Anwender die Möglichkeit frei zu entscheiden, wem er bei der Zertifizierung von Dritt-Schlüsseln vertraut und wie stark das Vertrauen ist. Er bekommt mit dieser Freiheit allerdings auch die Verantwortung zugeschrieben und muss sich entscheiden die Schlüssel aller Kontakte direkt zu verifizieren oder einzelne Zertifikate zu autorisieren, andere Schlüssel alleine oder gemeinsam mit anderen Schlüsseln für gültig zu erklären. S/MIME hingegen kann die vom Betriebssystem vorinstallierten Root-Zertifikate diverser CAs nutzen, um Schlüssel, die von diesen Root-Zertifikaten signiert wurden, automatisch zu vertrauen. Komfortabel wird dann bei Nutzung dieser Schlüssel ohne Nachfrage akzeptiert. Dies birgt allerdings den Nachteil, dass man eventuell gerade dieser CA gar nicht sein Vertrauen schenken möchte und sich mit dieser CA, mit seiner digitalen Identität, in eine ungewollte Abhängigkeit begibt.
Die meisten modernen E-Mail-Clients haben S/MIME standardmäßig implementiert. OpenPGP kann nur über Add-ons oder Plugins implementiert werden, was bei Softwareupdates vom Mail-Client oder dem Addon selbst ggf. zu Schwierigkeiten führen kann.
Um mit möglichst vielen Kommunikationspartnern verschlüsselt kommunizieren zu können, kann man OpenPGP und S/MIME in einigen E-Mail-Clients parallel nutzen und je nach Empfänger den jeweiligen genutzten Standard auswählen.
Tipp: Insbesondere in Zeiten von vermehrtem Home-Office und mobilem Arbeiten ist eine Client-basierte E-Mail-Verschlüsselung für viele Unternehmen praktikabler als die Server-basierte Verschlüsselung.
Wärend die privaten Schlüssel auf den Client-PCs Ihrer Mitarbeiter möglicherweise eine Schwachstelle darstellen, stellt die zentralisierte Server-Variante eine eher konzentrierte Problematik dar. Auch muss bei der Server-basierten E-Mail-Verschlüsselung ggf. zusätzliches Personal für die Administration eingesetzt werden.
- Nutzen Sie die Client-basierte OpenPGP-Variante mit PGP/MIME wenn Sie dem SigG nicht unterliegen.
- Nutzen Sie den AES-Algorithmus mit 256 Bit für die symmetrische Verschlüsselung Ihrer Nutzdaten und RSA mit einem 2048- bis 4096-Bit-Schlüssel für die asymmetrische Verschlüsselung der Prüfsumme.
- Wägen Sie ab bei der Schlüssellänge zur Verschlüsselung der Prüfsumme: 4096-Bit ist am sichersten, kann jedoch Ihre Anwendungen verlangsamen, 2048-bit ist immer noch sehr sicher, dafür allerdings schneller.
- Gleichen Sie Ihren und den Fingerabdruck Ihres Kommunikationspartners über einen anderen sicheren Kommunikationsweg (Telefon oder direktes Gespräch) ab.
- Bitte beachten Sie, dass E-Mail-Header wie Betreff, Absende- und Empfangsadresse unabhängig von der Transportebene nicht verschlüsselt werden. Für eine zusätzliche „Sicherheits“-Barriere wählen Sie daher den Betreff Ihrer E-Mail mit Bedacht.
Im Folgenden wird die Implementierung auf den unterschiedlichen Systemen dargestellt und ein Ausblick für den künftigen Umgang mit sicherer E-Mail-Kommunikation im Quantum-Zeitalter herangezogen.
Wie Sie die Verschlüsselung Ihrer E-Mails mit Thunderbird auf einem Windows-Rechner schnell und einfach einrichten, erfahren sie hier.
Für die Verschlüsselung von E-Mails bei Nutzung von Outlook empfehlen wir das Programm gpg4win. Dieses Programm stellt die nötige Infrastruktur auf Windows Rechnern zur Verfügung. Außerdem benötigen Sie ein Plugin für die komfortable Integration in Outlook (GpgOL), sowie ein Programm zum Verwalten Ihrer Schlüssel (Kleopatra). Beide Komponenten sind im Installer von gpg4win enthalten und sollten mit installiert werden.
Für die korrekte Verschlüsselung von E-Mails auf dem Mac, mit dem Apple Mail-Programm, hat sich die GPG Suite als sehr gut etabliert. Sie integriert die Schlüssel und digitale Signaturen nahtlos in die Oberfläche von Mail und kostet derzeit (Mai.2024) 23.80€ pro Jahr.
Canary Mail ist ein E-Mail-Client für Mac und iOS und implementiert den OpenPGP-Standard. Verschlüsselung und Entschlüsselung werden nahtlos in der App abgewickelt. Benutzer können Schlüssel über den integrierten Schlüsselmanager generieren und verwalten sowie auf SKS- und Keybase-Servern nach Schlüsseln suchen oder vorhandene Schlüssel importieren. Die App kostet derzeit (Dez. 2024) 49$ (macOS) bzw. 49$ (iOS).
In der Linux-Welt ist OpenPGP der meist genutzte Standard und wird implementiert durch das Programm GnuPG. Das Thunderbird Add-on Enigmail erweitert Thunderbird bis Version 78 um die OpenPGP-Verschlüsselung und -Authentifizierung Ihrer E-Mails und bietet automatische Verschlüsselung, Entschlüsselung sowie Funktionen zur Schlüsselverwaltung. Ab Version 78 werden die PGP-Keys von Thunderbird selbst verwaltet. Von KDE (KMail) und GNOME (Evolution) sowie weiteren, weniger bekannten Linux-Mailprogrammen wird OpenPGP standardmäßig unterstützt.
Weitere Programme die OpenPGP nutzen, finden Sie auf den Seiten von OpenPGP.org.
Noch immer steht die Wissenschaft vor verschiedenen mathematischen Problemen, welche auf herkömmlichen Rechnern nicht bzw. nicht effizient genug berechnet werden können. Hierzu zählen z.B. das Finden von diskreten Logarithmen oder das Fehlen eines effizienten Faktorisierungsverfahrens, um die Primfaktorzerlegung einer beliebigen Zahl zu erhalten. Diese mathematischen Probleme nutzen Kryptologen, Mathematiker und IT-ler gerne bei diversen Verschlüsselungsverfahren, wie zum Beispiel dem Rivest–Shamir–Adleman-Verfahren (RSA). Sollte ein herkömmlicher Rechner beispielsweise versuchen, eine mit RSA verschlüsselte E-Mail, mit einer Schlüssellänge von 2048-Bit zu knacken und somit dessen Primfaktorzerlegung zu lösen, würde er mehr Zeit in Anspruch nehmen als unser Universum bisher existiert.
AES-256 ist seit 2001 die standardisierte Verschlüsselungsspezifikation, mit der auch strengvertrauliche Dateien der US-Regierung verschlüsselt werden und die als sicher eingestuft wird. Bei diesem Verschlüsselungsverfahren beträgt die größte Schlüssellänge 256 Bit. Dies bedeutet, dass der Schlüssel, der verschlüsselte Daten in unverschlüsselte Daten verwandelt, eine Zeichenfolge von 256 Einsen oder Nullen ist. Da jedes Zeichen zwei Möglichkeiten hat (1 oder 0), gibt es also 2256 mögliche Kombinationen. Normalerweise müssen nur 50% des Schlüssels errechnet werden, um den restlichen Schlüssel zu transkribieren, sodass „nur“ 2255 Stellen errechnet werden müssen.
Durch die mittlerweile überall bekannte Methode, bestimmte Rechenaufgaben, wie z.B. das Bitcoin-Mining auf GPUs zu berechnen, könnte man meinen, dass eine solche Berechnung mit einer Grafikkarte machbar ist. Aber selbst die bislang besten Grafikkarten auf dem Markt, haben eine viel zu geringe Rechnenpower und sind zudem in den Schlüsselableitungsfunktionen aktueller Verschlüsselungsverfahren absichtlich langsam konzipiert, sodass sie in den GPUs eine hohe Memory-Last erzeugen. Weiterhin sind die meisten Rechenoperationen streng sequentiell und funktionieren deshalb bekanntlich am besten auf einer CPU.
Sogar der derzeit (12.2021) schnellste Supercomputer Fugaku (Fujitsu, Japan) ist dieser Aufgabe nicht effizient gewachsen. Es würde viele Jahre dauern, um die Hälfte des Schlüsselraums eines AES-256-Schlüssels mit dem derzeit schnellsten öffentlich bekannten Supercomputer zu errechnen und damit die E-Mail zu knacken.
Selbst wenn man eine solche Rechenpower zur Verfügung hätte, würde sich die Umsetzbarkeit aufgrund des hohen Strombedarfs einer solchen Recheneinheit im zivilen Bereich als sehr problematisch erweisen.
Mit einer Veröffentlichung von Peter Shor im Jahr 1997 stand fest, dass aktuelle Verschlüsselungsverfahren durch die Fertigstellung von leistungsfähigen Quantencomputern in akuter Gefahr sind. Er stellte in seiner Veröffentlichung Methoden vor, die theoretisch auf einem Quantencomputer die beschriebenen Probleme zeitnah lösen können.
Die derzeit am weitesten entwickelten Quantencomputer, wie z.B. Sycamore (supraleitender 54-Qbits Quantencomputer von Google) und Hummingbird (supraleitender 64-Qbits Quantencomputer von IBM) schaffen nun eine schnellere Berechnung solcher mathematischer Probleme als die besten Supercomputer der Welt. …und die Entwicklung geht weiter. Neuester, uns bekannter Stand (12.2021) ist der Quantencomputer Zuchongzhi 2 (supraleitender 66-Qbits Quantencomputer aus China), der nach Angaben des Forschungsteams Rechenoperationen lösen kann, die ca. eine Millionen Mal komplexer seien, als Sycamore berechnen kann. Die Rechenleistung eines Quantencomputers steigt mit der Anzahl der Qbits überproportional, allerdings wächst auch deren Fehlerrate steil an.
Die aktuellen supraleitenden Quantencomputer benötigen eine hohe Berechnungszeit für kombinatorische Probleme. Dies liegt besonders an der Herausforderung die Quantenzustände stabil zu halten. Zwischen 30 und 95 Mikrosekunden bleiben die Quanten in diesem stabilen Zustand, in dem die Rechenaufgabe erledigt werden muss. Da sich die Quantenzustände so schnell ändern können, wird die zuvor gewonnene Zeit durch die nötigen Wiederholungen des Algorithmus wieder eingebüßt, oder es müssen zusätzliche Qbits zur Berechnung herangezogen werden. Diese Fehleranfälligkeit, die durch äußere Einflüsse wie Erschütterung, Temperaturschwankungen oder elektromagnetische Wellen verstärkt wird, lässt die Entwicklung marktfähiger Software noch nicht zu und die Anwendungsfelder konzentrieren sich eher auf abstrakte Berechnungen theoretischer Probleme und auf die Grundlagenforschung.
Sollten durch die weitere Entwicklung in einigen Jahren, die Quantencomputer über einige tausend Qbits verfügen und gleichzeitig eine geringere Fehlerrate während der Berechnung erreicht werden, können diese, evtl. auch in einem Verbund von Quantencomputern, leistungsfähig genug sein, eine mit AES-128 verschlüsselte E-Mail in wenigen Tagen oder sogar Stunden zu knacken. Wenn zusätzlich Quantencomputer der breiten Öffentlichkeit durch Kommerzialisierung zugänglich werden, kann die Sicherheit, der mit den derzeitig zur Verfügung stehenden Verschlüsselungsmethoden verschlüsselten Daten, unter Umständen nicht mehr gewährleistet werden. Insbesondere vor dem Hintergrund, dass man zum jetzigen Zeitpunkt verschlüsselte Daten speichern kann, um sie dann in etwa 30 Jahren zu entschlüsseln. Aber auch die Entwicklung quanten-sicherer Verschlüsselungsverfahren nimmt zu – Jetzt sollten Sie bereits die Schlüssellängen ausschöpfen, um einen reibungslosen Übergang in das Quanten-Zeitalter zu bewerkstelligen.
Um sich derzeit gezielt gegen Angriffe und Wirtschaftsspionage abzusichern, muss die von Ihnen eingesetzte Verschlüsselungslösung allerdings auch in einer Post-Quantum-Zeit die Sicherheit Ihrer E-Mails und anderen Daten gewährleisten können. Bleiben Sie deshalb mit Ihrem Unternehmen „state-of-the-art“ und verschlüsseln Sie Ihre E-Mail-Kommunikation jetzt! So können Sie der immer zunehmenden Internetkriminalität mit Vertraulichkeit, Authentizität und Integrität wirkungsvoll entgegenwirken und Ihr Unternehmen vor potentiellen Angriffen und Wirtschaftsspionage schützen.
