Kennwort weg?     Registrieren!  (Twitter Erstanmeldung Facebook Erstanmeldung OpenID Erstanmeldung)

E-Mail-Verschlüsselung

Gute Bew.: 1
Schlechte Bew.: 0
Ist dieser Hype verdient?

So schützen Sie Ihre Mails gegen Datendiebstahl, Abhören und Manipulation!


E-Mail-Verschlüsselung: So schützen Sie Ihre Mails gegen Datendiebstahl, Abhören und Manipulation

In Zeiten wachsender Internet-Kriminalität und intensivierter Hacker-Angriffe soll man wirksame Sicherheitsmaßnahmen ergreifen, um sich gegen bösartige Angriffe zu schützen. Die Sicherheitsmaßnahmen sind erforderlich sowohl für das Betriebssystem, die Anwendungsprogramme und Daten auf Ihrem PC als auch für Ihre Kommunikation durch das öffentliche Internet. Insbesondere eine ungeschützte E-Mail-Kommunikation als das älteste und verbreitetste Kommunikationsmedium ist anfällig für Betrug und Hacker-Angriffe wie Datendiebstahl, Abhören und Abfangen von Nachrichten, Nachrichtenmanipulation und -fälschung. Wichtige und sensible Daten wie Passwörter, Kreditkartennummern, Verträge, vollständige Namen, Adressen und andere private Daten, die nicht in falsche Hände gelangen dürfen, sollten Sie nicht ungeschützt und unverschlüsselt senden.

Zum effektiven Schutz von sensiblen E-Mail-Nachrichten gegen Cyberangriffe jeglicher Art sollen Sie und Ihre Kommunikationspartner auf eine sichere E-Mail-Verschlüsselung zurückgreifen. Die E-Mail-Verschlüsselung funktioniert aber nur dann sicher, wenn der zur Entschlüsselung verwendete Geheimschlüssel tatsächlich geheim bleibt.

Symmetrische und asymmetrische Verschlüsselungsverfahren

Zur Verschlüsselung von E-Mail-Nachrichten gibt es zwei Verschlüsselungsverfahren: symmetrische und asymmetrische Verschlüsselung. Bei symmetrischer Verschlüsselung einer E-Mail-Nachricht wird sie mit einem Kennwort verschlüsselt, das auch der Empfänger kennen muss. Beim Senden einer symmetrisch verschlüsselten E-Mail-Nachricht müssen Sie dasselbe Kennwort verwenden, das der Empfänger zum Entschlüsseln der Nachricht benötigt. Das Hauptproblem einer symmetrischen E-Mail-Verschlüsselung liegt in Notwendigkeit eines sicheren Austauschs des geheimen Schlüssels durch das Internet. Bevor eine symmetrische E-Mail-Verschlüsselung nutzen zu können, benötigt man wiederum eine Verschlüsselung zum sicheren Schlüsselaustausch zwischen Absender und Empfänger.

Bei einer asymmetrischen E-Mail-Verschlüsselung müssen die beiden Personen - der Absender und der Empfänger - denselben Verschlüsselungsalgorithmus verwenden, wie z.B. PGP oder S/MIME. Die bekannteste asymmetrische E-Mail-Verschlüsselung ist PGP (Private Good Privacy). Um eine mit PGP verschlüsselte Mail zu senden, verschlüsselt der Absender die Mail mit seinem öffentlichen Schlüssel (Public Key). Der Empfänger verwendet seinen geheimen privaten Schlüssel (Private Key), um die empfangene Mail zu entschlüsseln und zu lesen. Für asymmetrische Verschlüsselung wie PGP ist es wichtig, den Schlüsselaustausch von öffentlichen Schlüsseln zu automatisieren und sicher zu machen. Dafür verwendet man eine Public Key Infrastruktur (PKI).

Sowohl für private Anwender als auch in einem Unternehmen ist eine asymmetrische E-Mail-Verschlüsselung am besten geeignet, funktioniert automatisiert und sicher und kommt am häufigsten zum Einsatz. Für ein Unternehmen ist es erforderlich, E-Mail-Datenverkehr mit Partnern, Kunden, Lieferanten, Behörden sowie mit anderen Unternehmen auch zu verschlüsseln, um vertrauliche Informationen wie Verträge, Rechnungen, Preis- und Produktinformationen, Finanzkennzahlen sicher zu versenden. Gelangen solche Informationen in die Hände von Unbefugten, kann dies dem Unternehmen einen erheblichen Schaden zufügen.

Die folgenden Voraussetzungen sind für eine erfolgreiche und sichere asymmetrische E-Mail-Verschlüsselung bzw. für eine sichere E-Mail-Kommunikation wichtig:

● Das Schlüsselpaar existiert - der Private Key liegt beim Empfänger und der dazugehörige Public Key beim Absender.
● Der Private Key bleibt geheim, liegt nur dem Empfänger vor und ist weder dem Absender noch einer Drittperson bekannt.
● Die E-Mail-Programme beim Absender und Empfänger sowie die Mail-Server und Mail-Gateways unterstützen E-Mail-Verschlüsselung mit dem ausgewählten Verschlüsselungsalgorithmus.

Wurde der Private Key einmal kompromittiert, gilt er nicht mehr als geheim und muss durch ein neues Private-Public-Schlüsselpaar ausgetaucht werden. Nach der Erneuerung und dem Austausch der Schlüssel müssen der Absender und seine Kommunikationspartner nur die neuen Schlüssel verwenden.


PGP, OpenPGP und GnuPG

PGP (Pretty Good Privacy) ist ein Verschlüsselungsstandard, der aktuell in kommerziellen Sicherheitsprodukten der Fa. Symantec implementiert ist. Die gebräuchlichste auf dem PGP-Standard basierte Verschlüsselung ist OpenPGP. Es gibt viele OpenPGP-kompatible E-Mail-Clientprogramme, die als freie Open-Source-Software einsetzbar sind. Die Free Software Foundation (FSF) hat eine eigene OpenPGP-kompatible Software für Email Verschlüsselung entwickelt, die unter den Namen GNU Privacy Guard, GnuPG oder GPG bekannt ist. GPG ist eine freie PGP-basierte Verschlüsselungssoftware, die auf die Funktionen der GnuPG-Bibliothek zurückgreift und mit GUI-Benutzeroberfläche für verschiedene Plattformen ausgestattet wird, wie beispielsweise GPG4Win (GPG for Windows), MacGPG, KGPG, Seahorse.

Um GnuPG in Ihrem E-Mail-Client zu nutzen, benötigen Sie eine Erweiterung bzw. ein Plugin wie Enigmail für Thunderbird, GpgOL für Outlook oder GPG Mail für Apple Mail. Wenn Sie einen Webmail-Dienst mit einem Browser zugreifen, können Sie ein Browser-Plugin namens Mailvelope zum Versand und Empfang von verschlüsselten E-Mails im Browser installieren.

S/MIME

S/MIME ist ein gängiges Protokoll zum Verschlüsseln und Signieren von über SMTP gesendeten E-Mails. Damit die S/MIME-Verschlüsselung funktioniert, muss der Absender über ein gültiges S/MIME-Zertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle (Certification Authority, CA) verfügen. Sie können ausgehende Nachrichten mit Ihrem Zertifikat signieren und die Signatur eingehender Nachrichten überprüfen. Ein S/MIME-Zertifikat entspricht dem ITU-Standard X.509v3 und unterscheidet sich von webbasierten SSL/TLS-Zertifikaten.

Wie auch andere asymmetrische Verschlüsselungsverfahren, verwendet S/MIME ein Schlüsselpaar - einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel kommt zusammen mit einem Zertifikat der ausstellenden CA-Organisation und wird veröffentlicht. Damit kann man die eigenen ausgehenden E-Mails signieren. Der Empfänger kann die Echtheit der E-Mail überprüfen. Der öffentliche Schlüssel dient auch zur E-Mail-Verschlüsselung. Der private Schlüssel kann die verschlüsselten E-Mails entschlüsseln.

SSL, TLS, HTTPS, SMTPS, IMAPS, POP3S, ...

SSL (Secure Sockets Layer) ist die Standardtechnologie für die Absicherung von Internetverbindungen zwischen einem Client und einem Server. Die zwischen dem Client und dem Server übertragenen Daten sind mit SSL verschlüsselt. SSL verwendet Verschlüsselungsalgorithmen, damit die Daten während der Übertragung kodiert und nicht lesbar sind. Die aktuelle Version ist SSL 3.0.

TLS (Transport Layer Security) ist nur eine aktualisierte Version von SSL, die höhere Sicherheit bietet. TLS-Sicherheitszertifikate werden häufig als SSL-Zertifikate bezeichnet, weil dieser Begriff am geläufigsten ist. Im Gegensatz zu SSL unterstützt TLS neue aktuelle Versionen von Protokollen, mit denen Sicherheitslücken beseitigt wurden und die stärkere, sicherere Cipher-Suites und Algorithmen unterstützen. TLS (STARTTLS) kann in einem Mailprogramm auf Ihrem PC verwendet werden, um die Vertraulichkeit der Datenübertragung zwischen dem Mail-Client und Mail-Server zu gewährleisten - E-Mails (auch unverschlüsselte) zum/vom Mail-Server sicher zu übertragen und die Benutzerauthentifizierung sicher durchzuführen. TLS basiert auf SSL 3.0. Die aktuelle Version ist TLS 1.2.

Obwohl TLS und SSL 3.0 ähnlich funktionieren, sind sie wegen Verbesserungen und Neuerungen des TLS Protokolls nicht miteinander kompatibel und nicht austauschbar. Damit die TLS-Verschlüsselung korrekt funktioniert, muss sie sowohl vom Client als auch vom Server unterstützt werden. Aus Sicherheitsgründen sollten Sie SSL 2.0 und 3.0 in Ihrer Serverkonfiguration deaktivieren und nur TLS zulassen, wenn sowohl der Client als auch der Mail-Server das TLS Protokoll unterstützen. Ein Sicherheitszertifikat ist nicht protokollspezifisch und kann sowohl für SSL als auch für TLS verwendet werden.

HTTPS (HTTP Secure) ist das mit SSL/TLS Transportverschlüsselung erweiterte HTTP-Protokoll. Mit HTTPS werden Daten verschlüsselt, die zwischen dem Webbrowser und dem Webserver übertragen werden. Für die Verschlüsselung ist SSL/TLS verantwortlich. HTTPS wird als https://... in der URL des Browsers angezeigt, wenn die Website durch ein SSL-Zertifikat abgesichert ist. Mit HTTPS ist die Sitzung bzw. die Verbindung zwischen dem Client und dem Server Ende-zu-Ende-verschlüsselt.

Da SSL/TLS einen Sicherheitsservice für das Transportprotokoll TCP (ISO/OSI Layer 4) bietet, steht SSL/TLS Verschlüsselung auch für andere Anwendungsprotokolle zur Verfügung, z.B. SMTPS, IMAPS, POP3S, FTPS, LDAPS etc. So eignet sich SSL/TLS nicht nur für sichere Webseiten, sondern auch für den sicheren Versand (SMTPS) oder Empfang (IMAPS bzw. POP3S) von E-Mails. Eine mit SSL/TLS verschlüsselte E-Mail-Übertragung erfolgt jedoch nur auf der Strecke zwischen dem Mail-Client und dem Mail-Server. Für eine Ende-zu-Ende E-Mail-Verschlüsselung ist Einsatz von PGP oder GnuPG erforderlich.

Im Gegensatz zu PGP erfordert SSL/TLS kein Hinterlegten der Schlüssel und arbeitet für den Anwender nahezu unsichtbar. Der Sitzungsschlüssel wird entweder asymmetrisch verschlüsselt und übertragen oder mit Diffie-Hellman-Verfahren auf beiden Seiten generiert.

Fazit

E-Mail ist das älteste und verbreitetste Kommunikationsmedium. Angesichts wachsender Cyberkriminalität müssen E-Mails vor Angriffen sicher geschützt werden. Ohne zusätzliche Sicherheitsvorkehrungen können Hacker E-Mails im Internet leicht abfangen, lesen und manipulieren. Eine effektive E-Mail-Verschlüsselung ist die wirksamste Methode zur Verhinderung von Datendiebstahl und Manipulation bei Übermittlung von Nachrichten und Dateien per E-Mail. Ein Angreifer kann eine abgefangene verschlüsselte E-Mail nicht lesen und nicht verfälschen, selbst wenn er auf eine Kopie der Mail Zugriff erlangt.

OpenPGP und S/MIME sind die zwei wichtigsten Standards für E-Mail-Verschlüsselung. Das Verschlüsseln/Entschlüsseln von E-Mails ist für Anwender kostenlos und unkompliziert, hilft aber vertrauliche Daten bei E-Mail-Kommunikation durch das öffentliche Internet effektiv zu schützen und die Integrität der Mails sowie die Identität des Absenders sicherzustellen. Es gibt verschiedene Verfahren für E-Mail- und Transportverschlüsselung. Eine asymmetrische Ende-zu-Ende Verschlüsselung wie PGP/OpenPGP/GnuPG bietet die höchste Sicherheit für E-Mail-Kommunikation. Austausch öffentlicher Schlüssel kann mithilfe von ActiveDirectory oder mit anderen Tools der PKI-Infrastruktur automatisiert werden.

Datenverschlüsselung ist längst kein Privileg mehr und wurde zu einem wichtigen Bestandteil der Informationssicherheit. E-Mail-Verschlüsselung mithilfe eines anerkannten Verschlüsselungsstandards wie PGP oder S/MIME bietet ein hohes Maß an Sicherheit. Vertrauliche E-Mails sollten Sie grundsätzlich verschlüsselt versenden. Bewahren Sie Ihren privaten Schlüssel sicher und ergreifen Sie weitere Sicherheitsmaßnahmen, um Ihren PC und Ihre Daten zu schützen.








Kategorien: Computer, Wissen & Technik
Tags: , , ,

Kommentare


Kommentieren mit Anmeldung (leert die Eingabe)
Noch 1000 Zeichen eingebbar
CAPTCHA-Bild zum Spam-Schutz
  
Hier sind ja noch gar keine Kommentare. Du kannst gleich den ersten schreiben!

Next Hype!
Hype favorisieren   Hype bearbeiten   Hype empfehlen   Hype melden/löschen   Hype Statistiken anzeigen  
Hype-Funktionen  
  525 Aufrufe | 0 mal Favorit









Twitter Tweets



Feedback