Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

E-Mails mit PGP signieren und verschicken. So geht’s ganz einfach und hilft beim Datenschutz

0

Signierte Mails haben im Wesentlichen zwei Vorteile. Erstens zeigen Sie die Identität des Absenders. Zweitens ermöglichen Sie eine garantierte Inhaltsverschlüsselung. Die Lösung namens PGP kann mit Mailprogrammen wie Thunderbird von Mozilla einfach installiert und genutzt werden.

Einleitung

Die DSGVO verpflichtet zur Sicherheit der Verarbeitung (Art. 32 DSGVO). Auch der Versand von E-Mails bedeutet eine Verarbeitung personenbezogener Daten. Somit sind vertrauliche Mails entsprechend sicher zu versenden.

Laut einem Urteil vom VG Mainz dürfen E-Mails mit sensiblen Informationen allerdings über eine herkömmliche Transportverschlüsselung verschickt werden. Damit kann der Inhalt laut Gerichtsentscheid ausreichend gegen unbefugtes Mitlesen geschützt werden.

Allerdings können Absenderadressen in E-Mails leicht gefälscht werden. Der Empfänger weiß somit nicht, ob der angebliche Absender der tatsächliche ist. Meist lässt sich dies durch eine Zwei-Wege-Kommunikation, also durch eine Antwort an den vermeintlichen Absender aufklären. Im Alltag geschieht dies oft implizit, also ohne explizite Nachfrage.

Eine mit PGP signierte Mail ist vertrauenswürdiger als eine unsignierte Mail.

Meine Meinung bzw. je nach Zertifikat sogar objektiv feststellbar.

Wer sicher gehen will, dass der Empfänger der Absenderadresse vertraut, sollte eine Signatur nutzen. Derartige Signaturen werden über die Pretty Good Privacy Architektur unterstützt, kurz PGP. Das hat wahrscheinlich noch einen Vorteil. Signierte E-Mails werden potentiell weniger oft als Spam klassifiziert, vermute ich.

Leider gelingt es mit Microsoft Outlook nach aktuellem Stand nicht zufriedenstellend, eine PGP-Signatur stabil zu installieren. Dies zeigen Selbstversuche und Diskussionen mit Lesern von Dr. DSGVO. Insbesondere auf Systemen, die den Charakter eines Entwicklerrechners haben, scheitern gängige Lösungen.

Wer eine kostenfreie, gut funktionierende Lösung sucht, kann beispielsweise zu Mozilla Thunderbird greifen. Thunderbird ist ein leistungsfähiges Mailprogramm. Wer von seinem aktuellen Mailprogramm nicht weg will, sollte zumindest Thunderbird als Zweitprogramm nutzen. In manchen Fällen, etwa bei Zustellung einer Nachricht in einer rechtlichen Auseinandersetzung, kann es notwendig erscheinen, eine signierte E-Mail zu nutzen.

PGP und Mozilla Thunderbird

Mozilla Thunderbird ist ein kostenfreies Mailprogramm (Download-Link). PGP kann dort einfach über ein Add-On namens Enigmail installiert werden. Sogar ein PGP-Schlüssel kann auf einfache Weise erstellt werden.

Die folgenden Angaben beziehen sich auf eine Installation unter Windows 10.

Voraussetzung ist das installierte Mozilla Thunderbird und ein eingerichtetes Mailkonto in Thunderbird. Sofern Sie gerade jetzt eine Neuinstallation vorgenommen haben, am besten Thunderbird neu starten.

PGP-Plugin installieren

Um PGP in Thunderbird nutzen zu können, bietet sich das Add-On Enigmail an.

Enigmail kann einfach installiert werden. Dazu entweder die Add-on Verwaltung aufrufen und dort nach Enigmail suchen:

Dann im Suchfeld den Begriff Enigmail eingeben und die Suche starten.

Alternativ das Ergebnis der Suche nach Enigmail direkt über diese Button aufrufen:

Der erste auf der erscheinenden Seite angezeigte Treffer ist der richtige:

Nach Betätigen des Button Zu Thunderbird hinzufügen wird Enigmail installiert. Nun nicht vergessen, das Add-On zu aktivieren, falls notwendig.

So sieht es aus, wenn Enigmail installiert und aktiviert ist

Nun Thunderbird neu starten.

E-Mail Konto mit PGP verknüpfen

Jetzt das gewünschte Mailkonto auswählen, um PGP damit zu verknüpfen.

Dazu die Konten-Einstellungen aufrufen. Das geht beispielsweise über das Menü rechts oben in der Ecke von Thunderbird.

Aufruf der Konten-Einstellungen über das Hauptmenü von Thunderbird.

Bei Bedarf ein neues E-Mail-Konto anlegen. Das ist sehr einfach, weil u.a. die Ports und die Mail-Protokolle nicht eingegeben werden müssen. Thunderbird erkennt diese automatisch. Bei meinem Mail-Providern hat das wunderbar funktioniert.

Nun in Konten-Einstellungen die Signatur von E-Mails wie folgt aktivieren.

Der Screenshot zeigt die Schlüssel-Verwaltung. Dort kann ein Schlüssel hinzugefügt werden, falls noch keiner vorhanden ist. Nachdem das passiert ist, sollte der Schlüssel ausgewählt sein. Im eben gezeigten Screenshot ist das durch das Optionsfeld unten zu erkennen (Option unterhalb von „Keiner“).

Als Nächstes stellen wir ein, dass bei jeder E-Mail eine digitale Unterschrift hinzugefügt wird.

Option, um automatisch eine digitale Unterschrift zu jeder E-Mail hinzuzufügen.

Der Screenshot zeigt die relevante Einstellung in roter Umrandung.

Wenn zusätzlich die Verschlüsselung standardmäßig aktiviert ist, muss der Empfänger diese unterstützen. Das kann etwas lästig werden, weil bei jedem Mailversand ein Popup erscheint, wenn für eine Empfängeradresse keine Verschlüsselung möglich ist bzw. noch eingerichtet werden muss.

Einstellungen prüfen

Vor Absenden einer Mail sollten die Einstellungen zur Signatur und Verschlüsselung geprüft werden. Dazu im Editor der Mail auf den Pfeil nach unten direkt rechts neben dem Sicherheit-Button klicken:

Prüfen der PGP-Einstellungen vor Absenden einer Nachricht.

Wichtig ist vor allem, dass die Option „Nachricht unterschreiben“ aktiviert ist. Der Empfänger erhält dann eine Nachricht mit einer Signatur. Viele Mailprogramme zeigen derartige Nachrichten im Posteingang mit einem Piktogramm wie diesem an.:

Piktogramm im Posteingang für signierte Mails.

In Thunderbird wird die Gültigkeit der Signatur wie folgt angezeigt, wenn der Button „OpenPGP“ in der erhaltenen Nachricht angeklickt wird:

Nachweis einer gültigen digitalen Unterschrift in Mozilla Thunderbird für eine erhaltene E-Mail.

Zum Verschlüsseln von Nachrichten muss ein Schlüssel des Empfängers vorliegen. Ansonsten kommt folgende Fehlermeldung:

Fehlermeldung beim Versuch, eine verschlüsselte Nachricht an einen Empfänger ohne vorliegenden PGP-Schlüssel des Empfängers zu versenden.

Wenn hingegen der PGP-Schlüssel des Empfängers vorliegt, wird die Nachricht direkt und verschlüsselt an den Empfänger geschickt. Wenn der Empfänger die Nachricht ansieht, wird die Verschlüsselung angezeigt. In Thunderbird sieht das wie folgt aus.

Thunderbird: Bestätigung bei einer eingehenden Nachricht, dass diese verschlüsselt ist.

Der entsprechende Nachweis zur Verschlüsselung wird durch Klicken auf „OpenPGP“ in der erhaltenen Nachricht angezeigt.

Einen Fehler enthält die aktuelle Thunderbird (Stand: 03.11.2021): Öffnet man eine erhaltene, signierte Mail im Posteingang, indem man die Mail auswählt (ohne Doppelklick), wird nicht die Signatur als ungültig ausgewiesen (Klick auf den oben genannten Button „OpenPGP“). Ein Doppelklick auf die Mail zeigt dann aber, dass die Signatur gültig ist. Dieser Bug ist im Internet bekannt und kann durch die Doppelklick-Ansicht recht leicht entschärft werden. Ich bin sicher, hierfür wird es bald eine Korrektur geben.

Fazit

Mit Mozilla Thunderbird und dem genannten PGP Plugin gelingt das Signieren und Verschlüsseln von Nachrichten recht einfach. Jedenfalls gelang es mir in wenigen Minuten.

Mit Mozilla Thunderbird können E-Mails schnell und einfach mit einer digitalen Unterschrift versehen werden.

Auch das Verschlüsseln von Inhalten mit PGP gelingt so, wenn der Schlüssel des Empfängers bekannt ist.

In Microsoft Outlook hingegen hat es nicht funktioniert, in vernünftiger Weise PGP-Schlüssel zu hinterlegen. Das lag wohl vor allem daran, dass mein Nutzer zu viele Rechte besitzt (!). Vielleicht versteht das nicht jeder oder glaubt es nicht. Aber es ist so, wie eine Diskussion mit jemandem ergab, der mir aus eigener Tasche einen Support bei einer Spezialfirma bezahlte, der es auch nicht glauben wollte. Meine 30 Jahre IT-Erfahrung lassen mich vermuten, dass in meinem Fall kein OSI 8-Schicht-Problem vorliegt. Das OSI-Modell ist ein Referenzmodell für Netzwerkprotokolle. Es hat nur 7 Schichten. Als OSI 8 Schicht wird scherzhaft der Mensch vor dem Computer bezeichnet.

Meine Empfehlung für alle, die ihr bisheriges Mail-Programm behalten und nicht durch Thunderbird ersetzen möchten: Nutzen Sie beiden Mail-Programme. Thunderbird sollte für Mail-Korrespondenz genutzt werden, die eine entsprechende Vertraulichkeit oder einen Identitätsnachweis sinnvoll erscheinen lässt. Beispielsweise erscheint das für E-Mails sinnvoll, die im Rahmen einer Datenauskunft nach Art. 15 DSGVO verschickt werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit-Rückblick Oktober und Vorschau