FAQ zu E-Mail-Sicherheit
So sichern Sie Ihre E-Mails ab
Security auch für Thunderbird
Für Anwender von Mozilla Thunderbird bietet sich die Erweiterung EnigMail an, die ebenfalls auf OpenPGP aufsetzt und eine entsprechende Integration in das Mail-Programm bietet: Sie ist im Gegensatz zu GPG4win nicht von der Version des Mail-Programms abhängig und arbeitete in unseren Tests problemlos auch mit der aktuellen Version 13 von Thunderbird zusammen.
Foto: Thomas Bär / Frank-Michael Schlede
Praxis-Tipp: Wer diese beiden Anwendungen einmal testet, wird feststellen, dass es zunächst einmal eine gewisse Lernkurve zu bewältigen gilt. Das größere Problem dürfte es aber sein, sein Gegenüber vom Einsatz einer solchen Lösung zu überzeugen - hier gilt es noch, Pionierarbeit zu leisten. Unser Vorschlag deshalb: Setzen sie eine der gängigen freien Verschlüsselungslösungen wie Truecrypt oder Sophos Free Encryption ein, erzeugen damit einen sicheren Container, schreiben Ihren Text in dem Textverarbeitungsprogramm ihrer Wahl und legen ihn in diesen Container. Dieser wird an den Empfänger als E-Mail-Attachment geschickt, das benötigte Passwort zum Entschlüsseln wird dabei natürlich auf einem anderen Weg (beispielsweise per Telefon oder persönlich) übermittelt.
Wichtig: Die meisten Verschlüsselungsprogramme bieten auch die Möglichkeit, selbst-entpackende, ausführbare Dateien zu erstellen. Auch wenn dieses Vorgehen zunächst wie eine gute Idee erscheint, sollten Sie diese Methode nicht verwenden: Diese Programme erzeugen zumeist Dateien mit der Endung *.exe und solche Anhänge werden aus Sicherheitsgründen von einem Großteil der Mail-Server und -Gateways blockiert und nicht angenommen.
- Im Klartext
Wie ein offenes Buch beziehungsweise wie eine Postkarte: Der Inhalt einer normalen E-Mail wird im Klartext über das Netz verschickt und kann mit Hilfe von Programmen wie hier dem Microsoft Network Monitor leicht mitgelesen werden. - GPG4win
Verschlüsselung bringt Sicherheit: Mit der Software GPG4win steht eine Lösung zur Verfügung, die unter anderem OpenPGP auch für Windows-Systeme bereitstellt. - OpenPGP
Ein grundlegendes Verständnis ist notwendig: Wer OpenPGP einsetzen will, muss sich mit den Grundprinzipen der Verschlüsselung vertraut machen. Hier hilft die Anwendung GPG4win dem Anwender durch entsprechende Hilfetexte. - Schlüsselpaare
Das kann ruhig im Klartext verschickt werden: Eine Nachricht, die mit Hilfe von GPG4win verschlüsselt wurde – nur der Empfänger der Nachricht (mit dessen öffentlichen Schlüssel diese geschützt wurde) kann sie dann wieder entschlüsseln. - Direkt eingebunden
Funktioniert leider nur bis Outlook 2007: GPG4win steht dem Anwender direkt im Mail-Programm zur Verfügung. - Enigmail für Thunderbird
Auch für Thunderbird existieren entsprechende Lösungen zur Verschlüsselung: Mit Hilfe der Erweiterung „Enigmail“ steht hier ebenfalls der Einsatz von OpenPGP direkt im Mail-Programm zur Verfügung. - Enigmail immer aktuell
Sehr komfortabel: Enigmail fügt sich auch bei der aktuellen Version 13 des Mozilla-Mailprogramms Thunderbird nahtlos ein und bietet dem Anwender die Möglichkeit, seine Nachrichten zu verschlüsseln. - Outlook-Sicherheit 1
Die entscheidende Einstellung bei Outlook (hier in der Version 2010): Im Sicherheitscenter kann der Nutzer festlegen, dass alle Nachrichten, die ihn erreichen, nur in reiner Textform dargestellt werden, was die Sicherheit deutlich erhöht. - Outlook-Sicherheit 2
Weitere, wichtige Sicherheitseinstellungen bei Microsoft Outlook (hier Version 2007): Durch diese Einstellungen kann der Anwender verhindern, dass ihm durch Links, die in einer E-Mail-Nachricht eingebettet wurden, ungewollt potenziell schädliche Bilder heruntergeladen werden. - Outlook-Sicherheit 3
Mit einem Klick rückgängig: Ist die Nachricht im Nur-Text-Format nur noch schlecht oder überhaupt nicht mehr zu lesen und kann man sich sicher sein, dass sie von einem vertrauenswürdigen Absender stammt, so kann sie mittels eines Klicks wieder im HTML-Format angezeigt werden. - Sophos Free Encryption
Ein einfachere Lösung für die Verschlüsselung: Das Programm Sophos Free Encryption bietet die Möglichkeit, Dateien einfach in einem verschlüsselten Container abzulegen, der dann per E-Mail verschickt werden kann. - No EXEcution!
Ein guter Tipp: So elegant es erscheint, die verschlüsselten Daten als selbst-extrahierende Datei zu versenden, sollte man dies nicht tun. Kaum ein Mail-Server wird heute noch Dateien mit der Ende „.exe“ annehmen oder weiterleiten. - Sicherer Transfer
Ein wichtige Grundregel beim Einsatz von Web-Mail-Anwendungen: Der Übertragungsweg muss immer verschlüsselt sein – wie hier bei Google-Mail mittels einer SSL-Verbindung. - MailStore Home
Eine gute Sicherungsstrategie gehört dazu: Wer sich nicht mit dem umständlichen Kopieren einzelner PST-Dateien abärgern will und zudem auch seine Web-Mail-Konten mitsichern möchte, kann dazu eine freie Lösung wie MailStore Home einsetzen. - Archivierung inklusive
Viel mehr als nur eine Sicherung und trägt zur Sicherheit bei: Dadurch, dass die für den privaten Gebrauch freie Lösung MailStore Home auch einen Index anlegt, werden die Nachrichten archiviert und lassen sich schnell wiederfinden. - Im Klartext
Wie ein offenes Buch beziehungsweise wie eine Postkarte: Der Inhalt einer normalen E-Mail wird im Klartext über das Netz verschickt und kann mit Hilfe von Programmen wie hier dem Microsoft Network Monitor leicht mitgelesen werden. - GPG4win
Verschlüsselung bringt Sicherheit: Mit der Software GPG4win steht eine Lösung zur Verfügung, die unter anderem OpenPGP auch für Windows-Systeme bereitstellt. - OpenPGP
Ein grundlegendes Verständnis ist notwendig: Wer OpenPGP einsetzen will, muss sich mit den Grundprinzipen der Verschlüsselung vertraut machen. Hier hilft die Anwendung GPG4win dem Anwender durch entsprechende Hilfetexte. - Schlüsselpaare
Das kann ruhig im Klartext verschickt werden: Eine Nachricht, die mit Hilfe von GPG4win verschlüsselt wurde – nur der Empfänger der Nachricht (mit dessen öffentlichen Schlüssel diese geschützt wurde) kann sie dann wieder entschlüsseln. - Direkt eingebunden
Funktioniert leider nur bis Outlook 2007: GPG4win steht dem Anwender direkt im Mail-Programm zur Verfügung. - Enigmail für Thunderbird
Auch für Thunderbird existieren entsprechende Lösungen zur Verschlüsselung: Mit Hilfe der Erweiterung „Enigmail“ steht hier ebenfalls der Einsatz von OpenPGP direkt im Mail-Programm zur Verfügung. - Enigmail immer aktuell
Sehr komfortabel: Enigmail fügt sich auch bei der aktuellen Version 13 des Mozilla-Mailprogramms Thunderbird nahtlos ein und bietet dem Anwender die Möglichkeit, seine Nachrichten zu verschlüsseln. - Outlook-Sicherheit 1
Die entscheidende Einstellung bei Outlook (hier in der Version 2010): Im Sicherheitscenter kann der Nutzer festlegen, dass alle Nachrichten, die ihn erreichen, nur in reiner Textform dargestellt werden, was die Sicherheit deutlich erhöht. - Outlook-Sicherheit 2
Weitere, wichtige Sicherheitseinstellungen bei Microsoft Outlook (hier Version 2007): Durch diese Einstellungen kann der Anwender verhindern, dass ihm durch Links, die in einer E-Mail-Nachricht eingebettet wurden, ungewollt potenziell schädliche Bilder heruntergeladen werden. - Outlook-Sicherheit 3
Mit einem Klick rückgängig: Ist die Nachricht im Nur-Text-Format nur noch schlecht oder überhaupt nicht mehr zu lesen und kann man sich sicher sein, dass sie von einem vertrauenswürdigen Absender stammt, so kann sie mittels eines Klicks wieder im HTML-Format angezeigt werden. - Sophos Free Encryption
Ein einfachere Lösung für die Verschlüsselung: Das Programm Sophos Free Encryption bietet die Möglichkeit, Dateien einfach in einem verschlüsselten Container abzulegen, der dann per E-Mail verschickt werden kann. - No EXEcution!
Ein guter Tipp: So elegant es erscheint, die verschlüsselten Daten als selbst-extrahierende Datei zu versenden, sollte man dies nicht tun. Kaum ein Mail-Server wird heute noch Dateien mit der Ende „.exe“ annehmen oder weiterleiten. - Sicherer Transfer
Ein wichtige Grundregel beim Einsatz von Web-Mail-Anwendungen: Der Übertragungsweg muss immer verschlüsselt sein – wie hier bei Google-Mail mittels einer SSL-Verbindung. - MailStore Home
Eine gute Sicherungsstrategie gehört dazu: Wer sich nicht mit dem umständlichen Kopieren einzelner PST-Dateien abärgern will und zudem auch seine Web-Mail-Konten mitsichern möchte, kann dazu eine freie Lösung wie MailStore Home einsetzen. - Archivierung inklusive
Viel mehr als nur eine Sicherung und trägt zur Sicherheit bei: Dadurch, dass die für den privaten Gebrauch freie Lösung MailStore Home auch einen Index anlegt, werden die Nachrichten archiviert und lassen sich schnell wiederfinden.
Warum sollte man keine HTML-Nachrichten verwenden?
Reine Textnachrichten sind langweilig - jedenfalls scheinen das sowohl die Entwickler der meisten E-Mail-Programme als auch die Absender eines Großteils der Nachrichten zu meinen: Nachrichten im HTML-Format sind zumeist Standard. Vom Standpunkt der Sicherheit aus betrachtet stellt der Einsatz dieses Formats allerdings ein erhebliches Risiko da. Durch die Möglichkeit, in HTML auch entsprechende Skripte einzubetten, können so ungewollt potenziell gefährliche Programme auf den Rechner gelangen. Auch wenn die Nachrichten dann keine "bunten" Überschriften und eingebetteten Bildern bieten - das reine Textformat ist der sicherere Weg.