Wie man die wichtigsten Sicherungen zur Email-Verschlüsselung nachrüsten kann.
Wie Email grundsätzlich funktioniert
Natürlich wissen Sie, dass Emails grundsätzlich unverschlüsselt und nicht authentifiziert versendet werden. Eine große Gefahr dabei sind die Einbindung von Malware und Industrie-Spionage (von der so mancher RA betroffen sein dürfte). Immerhin werden E-Mails mittlerweile zumindest transportverschlüsselt, egal ob man per IMAP oder POP3 verschickt (das sind die Internetprotokolle für das Versenden von Emails). Dafür baut der E-Mail Client eine verschlüsselte Verbindung auf (TLS). Manchmal wird auch eine normale Verbindung nachträglich verschlüsselt (STARTTLS). Fast alle aktuellen Clients und Mailserver beherrschen das. Damit kann man allerdings nur verhindern, dass der Betreiber des WLANs oder weitere Gäste im gleichen WLAN Netz mitlesen können. Sobald die Email das Heimnetz verlässt, ist sie wieder für Dritte lesbar (z.B. die Admins der Provider oder der Proxyserver), denn die Transportverschlüsselung reicht nur bis zum eigenen Mail-Provider. Dieser leitet Ihre E-Mail dann zum Adressaten weiter, in der Regel unverschlüsselt. Damit können sogenannte „man in the middle“ (MITM)-Angreifer die E-Mails manipulieren und lesen, selbst dann, wenn TLS verfügbar wäre. Dagegen sind sie als Rechtsanwalt und Nutzer praktisch hilflos. Die so genannten DE-Mail oder auch E-Mail made in Germany sind zwar verschlüsselt, allerdings nur zwischen den Nutzern dieses Services. Die Admins der Provider dieser Systeme sehen die E-Mails natürlich auch bei diesem System im Klartext.
Keine Authentifizierung des Absenders
Eine Authentifizierung gibt es übrigens bei solchen transportverschlüsselten E-Mails auch nicht. Das bedeutet, dass eine E-Mail von z.B. [email protected] keineswegs wirklich von dem „Rechtsanwalt“ stammen muss. Aus diesem Grund ist E-Mail Spam, nach wie vor, so alltäglich.
Wie sendet man Emails immer verschlüsselt?
Sie können ihre E-Mails Ende zu Ende verschlüsseln (End to end encryption, E2EE). Dann ist das Mitlesen nicht nur unmöglich, sondern die E-Mails sind dann noch authentifiziert weil sie vom Versender digital signiert werden.
Dafür gibt es zwei Varianten: OpenPGP und S/MIME. Beides werden sie aber nur selten bei Mandanten vorfinden, es sei denn diese sind das arbeiten mit streng vertraulichen Dokumenten gewöhnt. Spätestens dann lohnt es sich, eines diese Systeme zu verwenden, wenn sie mit ihren Mandanten heikle Dokumente austauschen. Fragen Sie einfach Ihre Mandanten, ob dieses Wert darauf legen.
Auf die oben genannten beiden Systeme sind allerdings schon in die Jahre gekommen. Weder vom Design, noch von der Usability her macht es besonders viel Freude damit zu arbeiten. Die Systeme funktionieren jedoch sicher. S/MIME ist vor allem innerhalb Unternehmen verbreitet. Sie benötigen dafür ein kostenpflichtiges Zertifikat. Das erhalten Sie bei ihrem Domain-Provider. Der Vorteil ist bei S/MIME , das es die meisten E-Mail Clients von Haus aus beherrschen.
Kostenlose Email-Verschlüsselung mit PGP
Wenn Sie ein kostenloses und im privaten Umfeld relativ verbreitetes System suchen, nehmen Sie Pretty Good Privacy (PGP). Der Vorteil hierbei ist, dass es diverse Plug-ins für Browser gibt, mit denen sie sogar GMX oder Web.de Mails verschlüsselt können – auch wenn das Nutzen solcher kostenlosen Emailadressen wenig professionell wirkt.
Am einfachsten geht es, wenn Sie den Mail Client Thunderbird in der Version 78 oder jünger verwenden, denn dann ist openPGP bereits eingebaut. Wenn sie bislang noch nie verschlüsselt haben, ist die Handhabung mit diesem Tool relativ einfach, bei Fragen gibt es eine Community, deren Antworten stets weiterhelfen. Sie können übrigens parallel dazu Ihre E-Mail mit ihrem bisherigen Client weiter nutzen. Selbst einen Microsoft Exchange-Server können Sie über die Schnittstellen IMAP und SMTP mit ThunderBird parallel nutzen. Dabei hilft Ihnen ein Netzwerk-Spezialist oder ein guter Admin.
Der private Schlüssel
Die Sicherheit der oben genannten Systeme liegt in ihrem privaten PGP-Schlüssel. Wenn Sie diesen verlieren, können Sie alte, verschlüsselte E-Mails nicht mehr öffnen. Sollte jemals abhanden kommen, so kann der neue Besitzer damit in ihrem Namen E-Mail signieren und ihre alte Kommunikation ebenfalls entschlüsseln, vorausgesetzt er hat Zugriff auf Ihren Server.
Deshalb sollten Sie diesen privaten Schlüssel unbedingt mit einem Passwort schützen. Verwenden Sie dafür am besten einen Passwort Manager (lesen Sie dazu auf meinen Anwaltsblog Beitrag zum Thema „Passwort Manager“). Denn dieser füllt Ihnen auch das längste und sicherste Passwort automatisch aus. Stellen Sie sicher, dass sie diesen Schlüssel auch in einem sicheren Back-up aufbewahren. Und im o.g. Passwortmanager! Aus meiner Sicht ist dafür eine Cloud (Lesen Sie dazu auf meinem Anwaltsblog Beitrag zum Thema Cloud) am besten geeignet – z.B. die von 1Password.
Den öffentlichen Teil ihres PGP Schlüssels müssen Sie natürlich publizieren, damit ihre Adressaten verschlüsselt Kontakt mit Ihnen aufnehmen können. Am besten funktioniert es über den Server keys.OpenPGP.org. Dieser Server stellt sicher, dass ihre E-Mail-Adresse korrekt ist.
Viele Meta Daten in Emails
Leider führen E-Mails jede Menge an Metadaten mit sich. Zum Beispiel den so genannten E-Mail. Header. Darin befindet sich der Betreff Ihre E-Mail-Adresse, weshalb dieser in der Regel nicht verschlüsselt übertragen wird. Lediglich der Mailer Thunderbird kann auch diesen verschlüsseln. Ansonsten sollten Sie den Betreff so wählen, dass keine Geheimnisse damit übertragen werden. Der Rest der Metadaten kann nicht verschlüsselt werden, weil er zur Übertragung der E-Mail notwendig ist.
Viel einfacher und sicher mit Messenger
Sollte ihm das Ganze etwas zu kompliziert erscheinen, so bleibt Ihnen nur die Möglichkeit auf die aktuellen Messenger umzusteigen: WhatsApp, Signal, Threema, Telegramm…
Der sicherste Messenger von allen scheint im Moment Threema zu sein, denn er stammt aus der Schweiz, ist komplett verschlüsselt und sein Protokoll ist veröffentlicht (OpenSource).
Einen weiterführenden Artikel zum konkrete Einrichten von Verschlüsselten Emails finden Sie in der Zeitschrift c’t 14/2020 auf Seite 140. Sein Titel: Einfach vertraulich. Unkomplizierte Verschlüsselung und Signierung von E-Mails mit S/MIME