E-Mail

Das älteste Kommunikationsmittel im Internet ist die elektronische Post, kurz E-Mail. Auch heute noch benötigt fast jeder Benutzer ein E-Mail-Postfach, um Konten zu bestätigen, Informationen zu bekommen oder mit Support-Abteilungen zu kommunizieren.

Anbieter wählen

Es ist generell eine gute Idee, seinen E-Mail-Anbieter mit Sitz im Geltungsbereich der DSGVO zu wählen. Populär sind Anbieter wie ProtonMail aus der Schweiz, Posteo und Mailbox.org, letztere beide mit Sitz in Deutschland.

Transport sichern

E-Mails werden ohne spezielle Einstellungen immer unverschlüsselt, also im Klartext über das Internet geschickt. Bei der Absicherung des Transportes müssen drei Transportstrecken bedacht werden:

  1. Der Versender kontaktiert sein Postfach
  2. Der Server des Versenders übermittelt die E-Mail an den Server des Empfängers
  3. Der Empfänger ruft die E-Mail aus seinem Postfach ab.

Um eine vollständige Ende-zu-Ende-Verschlüsselung zu erreichen, müssen folgende Hinweise befolgt werden:

  1. Die Kommunikation mit dem eigenen Postfach darf ausschließlich mit einer Verschlüsselung über SSL / TLS erfolgen.
  2. Die Server dürfen nur TLS-verschlüsselt senden und empfangen.
  3. Der Empfänger muß wie der Sender die Kommunikation mit dem Postfach über SSL / TLS absichern.

"SSL / TLS" hört sich zunächst technisch an, aber die meisten E-Mail-Anwendungen bieten dem Benutzer bei der Einrichtung der Verbindung zum Postfach die Möglichkeit, eine Verschlüsselung auszuwählen. Spätestens hier wirst Du wieder auf diese Begriffe stoßen. Jede Verschlüsselung ist besser als keine Verschlüsselung.

Die meisten Anbieter lassen ihre Server standardmäßig verschlüsselt kommunizieren. Nur wenn die Gegenseite nicht in der Lage sein sollte, verschlüsselt zu kommunizieren, gibt es Server, die auch unverschlüsselte E-Mails akzeptieren, da man dem Empfänger keine E-Mails vorenthalten möchte.

E-Mail verschlüsseln

Unabhängig von der Verschlüsselung des Transportes ist es sinnvoll, die E-Mail selber zu verschlüsseln. Generell gibt es zwei Arten der Verschlüsselung: über ein Zertifikat oder mit einer Verschlüsselungssoftware.

Zertifikat

Technisch wird im Zusammenhang mit Zertifikaten auch von S/MIME gesprochen. Zertifikate werden für eine E-Mail-Adresse ausgestellt und sind in der Regel kostenpflichtig. Es gibt aber auch ein paar Anbieter, bei denen man Zertifikate für den Privatgebrauch kostenfrei beziehen kann.

Verschlüsselungssoftware

Wenn von Verschlüsselungssoftware die Rede ist, meint man Software wie Pretty Good Privacy (PGP), oder die kostenfreie Implementierung GNUPG. Der Benutzer erzeugt selber ein sogenanntes Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel verbleibt immer beim Benutzer, der öffentliche Schlüssel wird an Kommunikationspartner verteilt, mit denen man verschlüsselt kommunizieren möchte.

Der öffentliche Schlüssel kann auch auf öffentliche SKS-Keyserver hochgeladen werden, damit jeder an Hand der E-Mail-Adresse herausfinden kann, welcher öffentliche Schlüssel zu der E-Mail-Adresse gehört. Aktuell gelten die Server aber nicht als sehr sicher, weswegen davon abzuraten ist.

Die Verschlüsselung wird zum Teil sogar in Web-Frontends angeboten. Normalerweise nutzt man aber die eingebaute Funktion des E-Mail-Clients, um E-Mails zu verschlüsseln. In der Regel ist zur Verschlüsselung nicht mehr nötig, als das Paßwort für den privaten Schlüssel einzugeben.

Sollte der Benutzer seine E-Mails per IMAP verwalten, wobei die E-Mails auf dem Server des Anbieters verbleiben, ist immer daran zu denken, daß die E-Mails dort im Klartext lagern. Lediglich Anbieter wie ProtonMail, Posteo und Mailbox.org bieten Optionen, E-Mails verschlüsselt zu speichern.

Inhalte steuern

Viele E-Mails kommen mit aufwendigen Graphiken und anderem Inhalt, der von externen Servern nachgeladen wird, sobald eine E-Mail geöffnet wird. Du solltest die E-Mail-Anwendung so einstellen, daß externe Inhalte nur von ausdrücklich zugelassenen Quellen nachgeladen wird. Keinesfalls sollte jede E-Mail alles nachladen dürfen, was in der E-Mail enthalten ist.

Spammer verstecken beispielsweise pixelgroße Graphiken in ihren E-Mails. Wenn diese nachgeladen werden, weiß der Spammer, daß es sich um eine valide E-Mail-Adresse handelt und wird in Zukunft noch mehr Spam-E-Mails an diese Adresse senden.