Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

E-Mails mit PGP signieren und verschicken. So geht’s ganz einfach und hilft beim Datenschutz

3

Signierte Mails haben im Wesentlichen zwei Vorteile. Erstens zeigen Sie die Identität des Absenders. Zweitens ermöglichen Sie eine garantierte Inhaltsverschlüsselung. Die Lösung namens PGP kann mit Mailprogrammen wie Thunderbird von Mozilla einfach installiert und genutzt werden.

Einleitung

Die DSGVO verpflichtet zur Sicherheit der Verarbeitung (Art. 32 DSGVO). Auch der Versand von E-Mails bedeutet eine Verarbeitung personenbezogener Daten. Somit sind vertrauliche Mails entsprechend sicher zu versenden.

Laut einem Urteil vom VG Mainz dürfen E-Mails mit sensiblen Informationen allerdings über eine herkömmliche Transportverschlüsselung verschickt werden. Damit kann der Inhalt laut Gerichtsentscheid ausreichend gegen unbefugtes Mitlesen geschützt werden.

Allerdings können Absenderadressen in E-Mails leicht gefälscht werden. Der Empfänger weiß somit nicht, ob der angebliche Absender der tatsächliche ist. Meist lässt sich dies durch eine Zwei-Wege-Kommunikation, also durch eine Antwort an den vermeintlichen Absender aufklären. Im Alltag geschieht dies oft implizit, also ohne explizite Nachfrage.

Eine mit PGP signierte Mail ist vertrauenswürdiger als eine unsignierte Mail.

Meine Meinung bzw. je nach Zertifikat sogar objektiv feststellbar.

Wer sicher gehen will, dass der Empfänger der Absenderadresse vertraut, sollte eine Signatur nutzen. Derartige Signaturen werden über die Pretty Good Privacy Architektur unterstützt, kurz PGP. Das hat wahrscheinlich noch einen Vorteil. Signierte E-Mails werden potentiell weniger oft als Spam klassifiziert, vermute ich.

Leider gelingt es mit Microsoft Outlook nach aktuellem Stand nicht zufriedenstellend, eine PGP-Signatur stabil zu installieren. Dies zeigen Selbstversuche und Diskussionen mit Lesern von Dr. DSGVO. Insbesondere auf Systemen, die den Charakter eines Entwicklerrechners haben, scheitern gängige Lösungen.

Wer eine kostenfreie, gut funktionierende Lösung sucht, kann beispielsweise zu Mozilla Thunderbird greifen. Thunderbird ist ein leistungsfähiges Mailprogramm. Wer von seinem aktuellen Mailprogramm nicht weg will, sollte zumindest Thunderbird als Zweitprogramm nutzen. In manchen Fällen, etwa bei Zustellung einer Nachricht in einer rechtlichen Auseinandersetzung, kann es notwendig erscheinen, eine signierte E-Mail zu nutzen.

PGP und Mozilla Thunderbird

Mozilla Thunderbird ist ein kostenfreies Mailprogramm (Download-Link). PGP kann dort einfach über ein Add-on namens Enigmail installiert werden. Sogar ein PGP-Schlüssel kann auf einfache Weise erstellt werden. Update: Siehe Kommentar unter diesem Beitrag, den ich nicht prüfen konnte. Anscheinend ist OpenPGP mittlerweile in Thunderbird integriert.

Die folgenden Angaben beziehen sich auf eine Installation unter Windows 10.

Voraussetzung ist das installierte Mozilla Thunderbird und ein eingerichtetes Mailkonto in Thunderbird. Sofern Sie gerade jetzt eine Neuinstallation vorgenommen haben, am besten Thunderbird neu starten.

PGP-Plugin installieren

Um PGP in Thunderbird nutzen zu können, bietet sich das Add-on Enigmail an.

Enigmail kann einfach installiert werden. Dazu entweder die Add-on-Verwaltung aufrufen und dort nach Enigmail suchen:

Dann im Suchfeld den Begriff Enigmail eingeben und die Suche starten.

Alternativ das Ergebnis der Suche nach Enigmail direkt über diesen Button aufrufen:

Der erste auf der erscheinenden Seite angezeigte Treffer ist der richtige:

Nach Betätigen des Buttons Zu Thunderbird hinzufügen wird Enigmail installiert. Nun nicht vergessen, das Add-on zu aktivieren, falls notwendig.

So sieht es aus, wenn Enigmail installiert und aktiviert ist

Nun Thunderbird neu starten.

E-Mail-Konto mit PGP verknüpfen

Jetzt das gewünschte Mailkonto auswählen, um PGP damit zu verknüpfen.

Dazu die Konten-Einstellungen aufrufen. Das geht beispielsweise über das Menü rechts oben in der Ecke von Thunderbird.

Aufruf der Konten-Einstellungen über das Hauptmenü von Thunderbird.

Bei Bedarf ein neues E-Mail-Konto anlegen. Das ist sehr einfach, weil u. a. die Ports und die Mail-Protokolle nicht eingegeben werden müssen. Thunderbird erkennt diese automatisch. Bei meinem Mail-Provider hat das wunderbar funktioniert.

Nun in Konten-Einstellungen die Signatur von E-Mails wie folgt aktivieren.

Ende-zu-Ende-Verschlüsselung mit OpenPGP.

Der Screenshot zeigt die Schlüssel-Verwaltung. Dort kann ein Schlüssel hinzugefügt werden, falls noch keiner vorhanden ist. Nachdem das passiert ist, sollte der Schlüssel ausgewählt sein. Im eben gezeigten Screenshot ist das durch das Optionsfeld unten zu erkennen (Option unterhalb von „Keiner“).

Als Nächstes stellen wir ein, dass bei jeder E-Mail eine digitale Unterschrift hinzugefügt wird.

Option, um automatisch eine digitale Unterschrift zu jeder E-Mail hinzuzufügen.

Der Screenshot zeigt die relevante Einstellung in roter Umrandung.

Wenn zusätzlich die Verschlüsselung standardmäßig aktiviert ist, muss der Empfänger diese unterstützen. Das kann etwas lästig werden, weil bei jedem Mailversand ein Popup erscheint, wenn für eine Empfängeradresse keine Verschlüsselung möglich ist bzw. noch eingerichtet werden muss.

Einstellungen prüfen

Vor Absenden einer Mail sollten die Einstellungen zur Signatur und Verschlüsselung geprüft werden. Dazu im Editor der Mail auf den Pfeil nach unten direkt rechts neben dem Sicherheit-Button klicken:

Prüfen der PGP-Einstellungen vor Absenden einer Nachricht.

Wichtig ist vor allem, dass die Option „Nachricht unterschreiben“ aktiviert ist. Der Empfänger erhält dann eine Nachricht mit einer Signatur. Viele Mailprogramme zeigen derartige Nachrichten im Posteingang mit einem Piktogramm wie diesem an.:

Piktogramm im Posteingang für signierte Mails.

In Thunderbird wird die Gültigkeit der Signatur wie folgt angezeigt, wenn der Button „OpenPGP“ in der erhaltenen Nachricht angeklickt wird:

Nachweis einer gültigen digitalen Unterschrift in Mozilla Thunderbird für eine erhaltene E-Mail.

Zum Verschlüsseln von Nachrichten muss ein Schlüssel des Empfängers vorliegen. Ansonsten kommt folgende Fehlermeldung:

Fehlermeldung beim Versuch, eine verschlüsselte Nachricht an einen Empfänger ohne vorliegenden PGP-Schlüssel des Empfängers zu versenden.

Wenn hingegen der PGP-Schlüssel des Empfängers vorliegt, wird die Nachricht direkt und verschlüsselt an den Empfänger geschickt. Wenn der Empfänger die Nachricht ansieht, wird die Verschlüsselung angezeigt. In Thunderbird sieht das wie folgt aus.

Thunderbird: Bestätigung bei einer eingehenden Nachricht, dass diese verschlüsselt ist.

Der entsprechende Nachweis zur Verschlüsselung wird durch Klicken auf „OpenPGP“ in der erhaltenen Nachricht angezeigt.

Einen Fehler enthält die aktuelle Thunderbird (Stand: 03.11.2021): Öffnet man eine erhaltene, signierte Mail im Posteingang, indem man die Mail auswählt (ohne Doppelklick), wird nicht die Signatur als ungültig ausgewiesen (Klick auf den oben genannten Button „OpenPGP“). Ein Doppelklick auf die Mail zeigt dann aber, dass die Signatur gültig ist. Dieser Bug ist im Internet bekannt und kann durch die Doppelklick-Ansicht recht leicht entschärft werden. Ich bin sicher, hierfür wird es bald eine Korrektur geben.

Fazit

Mit Mozilla Thunderbird und dem genannten PGP Plugin gelingt das Signieren und Verschlüsseln von Nachrichten recht einfach. Jedenfalls gelang es mir in wenigen Minuten.

Mit Mozilla Thunderbird können E-Mails schnell und einfach mit einer digitalen Unterschrift versehen werden.

Auch das Verschlüsseln von Inhalten mit PGP gelingt so, wenn der Schlüssel des Empfängers bekannt ist.

In Microsoft Outlook hingegen hat es nicht funktioniert, in vernünftiger Weise PGP-Schlüssel zu hinterlegen. Das lag wohl vor allem daran, dass mein Nutzer zu viele Rechte besitzt (!). Vielleicht versteht das nicht jeder oder glaubt es nicht. Aber es ist so, wie eine Diskussion mit jemandem ergab, der mir aus eigener Tasche einen Support bei einer Spezialfirma bezahlte, der es auch nicht glauben wollte. Meine 30 Jahre IT-Erfahrung lassen mich vermuten, dass in meinem Fall kein OSI 8-Schicht-Problem vorliegt. Das OSI-Modell ist ein Referenzmodell für Netzwerkprotokolle. Es hat nur 7 Schichten. Als OSI 8 Schicht wird scherzhaft der Mensch vor dem Computer bezeichnet.

Meine Empfehlung für alle, die ihr bisheriges Mail-Programm behalten und nicht durch Thunderbird ersetzen möchten: Nutzen Sie beide Mail-Programme. Thunderbird sollte für Mail-Korrespondenz genutzt werden, die eine entsprechende Vertraulichkeit oder einen Identitätsnachweis sinnvoll erscheinen lässt. Beispielsweise erscheint das für E-Mails sinnvoll, die im Rahmen einer Datenauskunft nach Art. 15 DSGVO verschickt werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Marco Tessendorf

    Guten Morgen,
    nur zur Ergänzung. Wer Outlook und Signaturen benutzen möchen (und sollte), ersetzt PGP durch die Funktion s/mime. Diese Funktion ist in Outlook seit Jahren vorhanden und bewährt. Eine zusätzliche Software oder PlugIn wird nicht benötigt. Das dafür erforderlich s/mime Zertifikat ist je nach Schutzklasse (1-3) kostenfrei oder für ca. 25 für 3 Jahre zu beziehen. Anbietern sind u.a. Sectigo, Actalis oder ggf. bei eigenen E-Mail Provider. Eine Anleitung zur Einrichtung findete sich via Google oder hier
    https://www.heise.de/tipps-tricks/Outlook-Mails-verschluesseln-4888083.html.
    Besten Gruß
    Marco Tessendorf

    • Dr. DSGVO

      Vielen Dank, Herr Tessendorf, für Ihre Rückmeldung!

      Ich hatte das in der Tat damals schon einmal probiert. Mir gelang es nicht. Bei mir scheitert es an einem kostenfreien S/MIME Zertifikat (da ich zahlreiche Mail-Konten habe, möchte ich nicht jedesmal Geld für ein Zertifikat bezahlen).

      Wo gibt es diese kostenfreien S/MIME Zertifikate?
      Das Zertifikat sollte am besten nicht schon nach einem Jahr oder noch eher ablaufen, sondern dauerhaft gültig sein, damit nicht andauernd der Tausch des Zertifikats nötig ist. Bei einer Mail-Adresse mag das noch vertretbar sein, bei mehreren macht es keinen Spaß.

      Kurze Recherche ergab (Quelle: Chip):
      * WISeID. Laufzeit 3 Monate
      * Deutsche Gesundheitsnetz: Laufzeit 1 Jahr
      * Actalis: Dito

      Alles zu kurze Laufzeiten für meine Zwecke.

  2. Christian Engelen

    Guten Morgen.
    Soweit ich weiß ist seit etwa einem Jahr OpenPGP standard in Thunderbird, also ohne zusätzliches Addon enthalten.
    Zu finden unter Konteneinstellungen -> Ende zu Ende Verschlüsselung. Simpel und echt einfach in Betrieb zu nehmen. Habs schon diversen Ehrenamtlich Tätigen (auch jenseits der sechzig) nahebringen können.

    Beste Grüße

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit-Rückblick Oktober und Vorschau