In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.

← Zurück zu Teil 3

Teil 4: S/MIME und OpenPGP im Vergleich und Fazit

Spätestens seit den Enthüllungen Edward Snowdens ist allgemein bekannt, dass das Fernmeldegeheimnis in der E-Mail-Kommunikation aktuell so wasserdicht ist wie ein Salatsieb. Daran wird sich in absehbarer Zeit nichts ändern. Das können wir achselzuckend hinnehmen – wir müssen uns dann aber ehrlicherweise folgende Frage stellen: Würden wir es mit der selben Gleichgültigkeit akzeptieren, wenn andere Grund- und Menschenrechte über Bord gingen? (vgl. Grundgesetz Art. 10 und Allgemeine Erklärung der Menschenrechte Art. 12)

Ich bin überzeugt, dass wir das nicht tun würden. Wie lässt sich dann aber erklären, dass wir gerade bei E-Mails untätig zusehen, wie unsere Privatsphäre tagtäglich und in geradezu atemberaubendem Ausmaß verletzt wird? Und das, obwohl wir sie so einfach schützen könnten? Vielleicht liegt es daran, dass wir im digitalen Bereich die Tragweite unseres Verhaltens einfach noch nicht sehr gut einschätzen können. E-Mails sind in dieser Hinsicht besonders tückisch: Sie suggerieren eine dem Brief ähnliche Vertraulichkeit zwischen Sender und Empfänger, die sie nicht einmal annähernd bieten. Wenn wir plötzlich alle unsere Briefe in aufgerissenen Umschlägen zugestellt bekämen, gäbe es vermutlich schon morgen Massendemonstrationen. Die permanente Verletzung der digitalen Privatsphäre ist dagegen unsichtbar und lässt sich sehr leicht ignorieren. Der Verein digitalcourage formuliert dazu treffend:

Würden Sie Ihre Post, die Rechnungen wie die Liebesbriefe, jedem im Internet zur Verfügung stellen? Viele Menschen befällt ein Gefühl des Ekels, wenn in ihre Wohnung eingebrochen wird. Vollkommen zu Recht. Ein Einbruch in unsere digitale Privatsphäre und intimsten Gedanken ist nicht unmittelbar wahrnehmbar und wird somit eher verdrängt.

Die Gründe für „digitale Selbstverteidigung“ sind daher erdrückend, vor allem, wenn sie wie bei E-Mails ohne nennenswerten Komfortverlust möglich ist. Die beiden verbreiteten Standards, S/MIME und OpenPGP, sind ausgereift, kostenlos einsetzbar und zuverlässig. Hier die wichtigsten Unterschiede:

	S/MIME	OpenPGP
Wie viele E-Mail-Adressen können mit einem Schlüssel verknüpft werden?	1	mehrere möglich
Wie wird sichergestellt, dass ein Schlüssel vertrauenswürdig ist?	zentral durch eine Zertifizierungsstelle (CA)	dezentral durch den Nutzer selbst und durch andere Nutzer („Web of Trust“)
Wie werden die öffentlichen Schlüssel verteilt?	durch signierte E-Mails; in manchen Institutionen durch LDAP-Adressbücher	durch signierte E-Mails; durch öffentliche Schlüsselserver
Wie lange sind Schlüssel gültig?	in der Regel 1–3 Jahre	frei wählbar
Muss man zusätzliche Software installieren?	(in der Regel) nein, man benötigt jedoch einen Mail-Client	ja
Ist der Standard mit Webmailern kompatibel?	nein	ja (mit der Erweiterung Mailvelope für Firefox und Chrome)

Entscheidend ist für viele Nutzer vermutlich die letzte Zeile der Tabelle: Wer seine E-Mails routinemäßig verschlüsseln und/oder signieren möchte, wird um einen E-Mail-Client (wie z. B. Thunderbird, Outlook oder Apple Mail) nicht herumkommen. Ich empfehle Thunderbird, das für alle Plattformen kostenlos verfügbar ist. Es unterstützt von Haus aus S/MIME und mit der – ebenfalls kostenlosen – Erweiterung Enigmail auch OpenPGP.

Die meisten Nutzer möchten ihre E-Mails auch auf dem Smartphone lesen und verschicken können. Die vorinstallierten Mail-Apps unterstützen zur Zeit leider weder S/MIME noch OpenPGP. Man kann inzwischen aber leicht Apps nachinstallieren, die das tun (erfahre mehr).

Wenn man E-Mails verschlüsseln möchte, ist man immer darauf angewiesen, dass auch der jeweilige Kommunikationspartner darauf vorbereitet ist (erfahre mehr) – und dass beide Seiten den gleichen Standard benutzen. Welcher Standard in naher Zukunft größeren Zulauf bekommen wird, ist zur Zeit schwer absehbar. OpenPGP wird neuerdings durch die auf dem deutschen Markt sehr einflussreichen E-Mail-Anbieter gmx.de, web.de und 1&1 gefördert (erfahre mehr). Andererseits dürfte auch S/MIME hierzulande bald neuen Schwung bekommen, und zwar durch ein Projekt des Fraunhofer-Instituts. Es heißt „Volksverschlüsselung“ und beruht auf der Idee, dass eine einfach zu bedienendes Programm die gesamte Vorbereitung eines Rechners auf S/MIME übernehmen soll. Das heißt vor allem, dass es ein Zertifikat beantragen und anschließend lokal in den Zertifikatsspeichern der E-Mail-Clients ablegen wird (erfahre mehr). Wie man in dieser Serie nachlesen kann, ist das alles schon jetzt auch ohne „Volksverschlüsselung“ sehr leicht machbar. Trotzdem ist das Projekt zu begrüßen, da es sichere E-Mail-Kommunikation ohne Zweifel bekannter machen wird.

Egal, ob man sich für S/MIME oder OpenPGP entscheidet, um seine E-Mails zu schützen – in jedem Fall gilt: Die so genannten „Metadaten“ werden nicht
verschlüsselt. Diese enthalten jedoch ebenfalls viele schützenswerte Informationen – nämlich wer wann mit wem zu welchem Betreff kommuniziert. Um diese Informationen zu anonymisieren, müsste die technische Architektur von E-Mails grundlegend geändert werden. Genau dies ist das Ziel von Darkmail (hier ein informativer Artikel auf Zeit Online).

Welcher Verschlüsselungsstandard ist also zu empfehlen, S/MIME oder Open PGP? Solange sich keiner der beiden durchgesetzt hat, lautet meine Antwort, dass man sich am besten auf beide vorbereiten sollte. Dann kann man beispielsweise alle E-Mails, die man verschickt, automatisch mit dem S/MIME-Zertifikat signieren, und zusätzlich seine OpenPGP-ID im Format Format 0x12AB345 in der (Text-)Signatur angeben.

Am Ende wird es eine freiwillige Entscheidung unserer Kontakte bleiben, ob sie mit uns verschlüsselt kommunizieren wollen – und nach welchem Standard. Umso besser, wenn wir ihnen beide anbieten können.

Wie sind Deine Erfahrungen mit E-Mail-Verschlüsselung? Hinterlass einen Kommentar!

Findest Du diesen Beitrag interessant?

→ Unterstütze diese Seite mit einer Spende (klicke oben rechts auf „Donate“)

→ Folge mir auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)

→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)

Sichere E-Mails mit S/MIME (4/4) by Jochen Plikat is licensed under CC BY-NC-ND 4.0.

Bildnachweis: crosseye padlock by Robbie Sproule is licensed under CC BY-SA 2.0.