Der Staat spioniert seine Bürger aus

So wie man einen Brief zum Verschicken in einem Umschlag steckt undverschließt, so muß man eine Email verschlüsseln, sonst können ihnviele lesen, für die er nicht gedacht ist. Viele glauben, die Geheimdienste könnten auch verschlüsselte Ebriefe ausspionieren. Das ist nicht wahr. Sie können Absender und Empfänger identifizieren, aber sie können eine Verschlüsselung mit PGP oder S/MIME praktisch nicht knacken. Um Ihre Post zu lesen, müßten sie (über das Internet oder durch Einbruch in Ihre Wohnung) aus Ihrem Rechner ihren geheimen Schlüssel stehlen.

S/MIME oder OpenPGP?

S/MIME und OpenPGP sind zwei Verfahren zum Ende-zu-Ende-Verschlüsseln, d. h. daß der Ebrief auf Ihrem Rechner verschlüsselt wird und erst auf dem Rechner des Empfängers wieder entschlüsselt wird, dazwischen ist nur Buchstabensalat. Beide Verfahren sind hinreichend sicher. OpenPGP ist eine quelloffene Version von PGP. Bei OpenPGP stellt man sich die Schlüssel selbst her, während man ein S/MIME-Zertifikat kaufen muß (ab 7,50 € pro Jahr), das dann aber in den meisten Emailprogrammen als gültig erkannt wird.

Verschlüsseln mit OpenPGP

Wer Webmail verwendet, sollte auf ein Emailprogramm wie Thunderbird umsteigen. In Thunderbird ist seit der Version 78.2 OpenPGP integriert. Wählen Sie bei der Kontoeinrichtung das Protokoll „IMAP“, um von mehreren Rechnern aus auf die Email zugreifen zu können. Dann werden die Emailordner auf allen Rechnern automatisch synchronisiert. Im folgenden die Anleitung zum Einrichten der Verschlüsselung.

1. Klicken Sie sich durch zu: Bearbeiten > Konten-Einstellungen > Ende-zu-Ende-Verschlüsselung (links bei den Einstellungen für das betreffende Emailkonto).
2. Klicken Sie rechts auf „Schlüssel hinzufügen“.
3. Wählen Sie „Neuen OpenPGP-Schlüssel erzeugen“ und „Weiter“
4. Wählen Sie oben bei „Identität“ die Emailadresse aus, für welche Sie einen Schlüssel erzeugen möchten. Wählen Sie als Schlüsseltyp „ECC“ (oder RSA 2048). Dann klicken Sie „Schlüssel erzeugen“ und auf der nächsten Seite „Bestätigen“. Auf der nächsten Seite erscheint „OpenPGP-Schlüssel erfolgreich erstellt“. Wählen Sie darunter den gerade erzeugten Schlüssel aus. Fertig!
5. Senden Sie den Kontakten, denen Sie verschlüsselt schreiben wollen, eine Email, bei der Sie auswählen: Optionen > „Meinen öffentlichen Schlüssel anhängen“. Die anderen müssen Ihnen wiederum ihre öffentlichen Schlüssel schicken. Öffentliche Schlüssel findet man auf keys.openpgp.org oder https://keyserver1.pgp.com oder pool.sks-keyservers.net.
6. Fertigen Sie eine Sicherheitskopie Ihres geheimen Schlüssels an: Extras > OpenPGP-Schlüssel verwalten > Datei > Sicherheitskopie für geheime(n) Schlüssel erstellen. Verwenden Sie dann ein Passwort, das mind. 12 Stellen hat und mit einem Passwortgenerator erzeugt wurde. Exportieren Sie auch Ihren öffentlichen Schlüssel und laden Sie ihn auf keys.openpgp.org hoch.

Weitere Hinweise:

Die Schlüssel sowie alle Emails und alle Einstellungen befinden sich im Thunderbird-Profilordner. Fertigen Sie regelmäßig Sicherheitskopien von diesem an. Den Pfad finden Sie im Menü „Hilfe“ unter „Informationen zur Fehlerbehebung“. Um Thunderbird auf einem weiteren Rechner zu betreiben, kopieren Sie den Profilordner auf diesen und richten Sie im Thunderbird-Profilmanager ein Profil ein, welches diesen Profilordner verwendet.

Die Möglichkeiten des in Thunderbird eingebauten OpenPGP sind begrenzt, z.B. kann man nicht zu einem Schlüssel eine weitere Emailadresse hinzufügen. Dafür muß man den Schlüssel in GnuPG (oder einer Oberfläche wie Kleopatra oder Seahorse) importieren, dort die Emailadresse hinzufügen, dann den Schlüssel exportieren, um ihn im Thunderbird zu importieren.

Wer seine Email Gmail oder anderen kostenlosen Anbietern anvertraut, kann sich sicher sein, daß sie gründlich erforscht wird. Kleine Anbieter sind da schon diskreter, siehe webhostlist.de, z.B. mailbox.org, posteo.de, boerde.de. Das kostet nicht viel.

Weitere Informationen zur Sicherheit, z.B. zum Verschlüsseln von Dateien: privacy-handbuch.de.

Andere Anleitungen für OpenPGP: Blafusel.de, gpg4win.de für MS Outlook, mozilla.org, thunderbird-mail.de, heise.de, Emailselfdefense.fsf.org, jpberlin.de, german-privacy-fund.de (für Windows).

Mein PGP-Schlüssel (ID: 77C45B76; finger print: 738C AD84 F847 5121 8C66 6880 B2D7 E354 77C4 5B76).

Die Verschlüsselung ist so lange sicher, wie niemand den geheimen Schlüssel aus dem Zertifikat Thunderbird auf IhremRechner stiehlt. Dies könnte zum Beispiel der Staat mit dem Bundestrojaner versuchen.

Textdateien mit Paßwörtern oder anderem geheimen Inhalten können Sie im Writer oder in Word mit einem Kennwort sichern. Oder legen Sie einen verschlüsselten und versteckten VeraCrypt-Container an. Außerdem ist es sinnvoll, alle Festplatten bzw. Partitionen mit eigenen Dateien zu verschlüsseln. Unter Linux geht das einfach mit LUKS.

In Thunderbird können Sie ein Masterpaßwort einrichten, das Sie jedes Mal eingeben müssen, wenn Sie Thunderbird öffnen. Bearbeiten > Einstellungen > Datenschutz

Wenn Sie das Betriebssystem Microsoft Windows verwenden, ist die Gefahr einer Infizierung und Ausspionierung durch Viren, Trojaner und Würmer besonders groß. Linux ist sicherer, in vieler Hinsicht besser, kostenlos und inzwischen auch einfach und komfortabel.

Für das Smartphone gibt es etliche Messenger mit Ende-zu-Ende-Verschlüsselung: Signal (dafür gibt es auch eine Desktopversion), Threema, TeleGuard, Wire. WhatsApp ist unsicher.

Anleitung zum Verschlüsseln von Email mit S/MIME in Thunderbird

Wer Webmail verwendet, sollte auf ein Emailprogramm wie Thunderbird umsteigen. Wählen Sie beim Einrichten das Protokoll IMAP, das ist praktisch, wenn Sie mit mehreren Rechnern auf Ihre Email zugreifen.

Zum Verschlüsseln brauchen Sie ein „S/Mime-Zertifikat“, das Sie, wie unten beschrieben, bei einer Zertifizierungsstelle ("Certificate Autority", CA) erhalten können. Dazu gehört ein „Schlüssel“, der zwei Teile hat: einen geheimen Schlüssel, den nur Sie haben und den Sie geheimhalten müssen, und einen öffentlichen, mit dem man Ihnen verschlüsselt schreiben kann und der von der Zertifizierungsstelle zertifiziert wird. Mit dem öffentlichen signieren Sie Ihre Ebriefe. Damit ist dem Empfänger garantiert, daß die Absenderadresse des Ebriefes stimmt. Zugleich hat der Empfänger damit Ihren öffentlichen Schlüssel. Ein Zertifikat gilt also immer nur für eine einzige Epost-Adresse.

Ein Zertifikat können Sie erweben bei Certum (18,50 € für 2 Jahre), Digicert (28,49 € für 3 Jahre), Sectigo (37,47 € für 3 Jahre) oder Swisssign (62,80 € für 3 Jahre).

Am besten ist es, wenn der Schlüssel auf Ihrem Rechner erzeugt wird und die Zertifizierungsstelle dann den öffentlichen Schlüssel signiert. Die Zertifizierungsstelle wird Ihnen ein Anleitung geben. Die (unsauberere) Alternative ist, daß die Zertifizierungsstelle den Schlüssel erzeugt. In beiden Fällen müssen Sie den Schlüssel in Thunderbird importieren:

1. Wenn Sie ein Paßwort festlegen müssen, um den geheimen Schlüssel abzuspeichern, verwenden Sie einen Passwortgenerator und schreiben Sie sich das Paßwort auf, z.B. in eine verschlüsselte Writer-Datei, deren Paßwort Sie in ein Buch schreiben.
2. So öffnen Sie in Thunderbird den Zertifikatmanager: Bearbeiten > Einstellungen > „Datenschutz & Sicherhheit“ > ganz unten rechts „Zertifikate verwalten“.
3. Um Ihr Zertifikat zu installieren, klicken Sie auf „Ihre Zertifikate“, dann auf „Importieren“. Wählen Sie die .p12-Datei und geben Sie das Paßwort ein.
4. Gehen Sie zu: Bearbeiten > Konto-Einstellungen > Ende-zu-Ende-Verschlüsselung; dort wähle unter „S/MIME“ das Zertifikat für Unterschrift und Verschlüsselung aus und aktiviere „Eigene digitale Unterschrift standardmäßig hinzufügen“.

Ein kostenloses Zertifikat können Sie erhalten bei CAcert oder volksverschluesselung.de. Diese Zertifikate werden allerdings von den Emailprogrammen erst dann anerkannt, wenn Sie das „Ausstellerzertifikat“ installiert haben. Ausstellerzertifikate können auf weiteren Ausstellerzertifikaten basieren. Ein Ausstellerzertifikat, das auf keinem weiteren Ausstellerzertifikat basiert, heißt „Wurzelzertifikat“ („root certificate“).

Wie man ein Ausstellerzertifikat installiert

Wenn Sie ein Zertifikat einer Zertifizierungsstelle haben, deren Ausstellerzertifikat nicht im Thunderbird enthalten ist, müssen Sie dieses vor der Installation des Benutzerzertifikates installieren. Ebenso müssen Sie dieses installieren, um in erhaltenen signierten Ebriefen enthaltene öffentliche Schlüssel verwenden zu können. Das ist z.B. bei CAcert sowie bei selbst-signierten Zertifikaten und selbsthergestellen Ausstellerzertifikaten der Fall. Anleitung für CAcert:

1. HIER mit der rechten Maustaste klicken, um das Ausstellerzertifikat von CAcert herunterzuladen und an einem beliebigen Ort zu speichern ("Ziel speichern unter"). Zum Beispiel unter "Eigene Dateien" auf der Festplatte. (Sie können auch zusätzlich gleich das Class-3-Zertifikat installieren. HIER ist mein Ausstellerzertifikat. Andere Ausstellerzertifikate können Sie bei Globaltrustpoint finden.)
2. Dann das Ausstellerzertifikat in Thunderbird importieren:
   Zertifikatmanager öffnen (wie oben beschrieben). Auf den Reiter „Zertifizierungsstellen“ klicken, dann unten auf den Knopf „Importieren“. Den Anweisungen folgen.
   (Vielleicht werden Sie irgendwann nach einem "Master-Passwort" gefragt werden. Wenn Sie keines gesetzt haben, versuchen Sie es zuerst mit "Abbrechen"; wenn das nicht funktioniert, mit „OK“. Mit dem Setzen eines Master-Passwortes erschweren Sie die den Diebstahl Ihres geheimen Schlüssels.)
   (Import des Ausstellerzertifikats bei Microsoft Outlook Express: Extras >> Optionen >> Reiter "Sicherheit" >> "Digitale IDs" >> "Vertraute Herausgeber" (oder „vertrauenswürdige Stammzertifizierungsstellen“) >> "Importieren".)
3. Vertrauensstatus einstellen: In Thunderbird im Zertifikatmanager unter "Zertifizierungsstellen", ziemlich weit unten im Roll-Fenster unter „Root CA“ das Ausstellerzertifikat „CA Cert Signing Authority“ anklicken, dann "Vertrauen bearbeiten", dann alle Kästchen anklicken. Mit "OK" bestätigen. (Das Ausstellerzertifikat von CAcert finden Sie unter "Root CA".)
4. Nun können Sie ein geheimes Benutzerzertifikat von dieser CA installieren, und wenn Sie nun mit Zertifikaten von dieser CA signierte Ebriefe erhalten, werden die Zertifkate automatisch installiert.

Eine englische Schritt-für-Schritt-Anleitung gibt es bei cacert.org.

Hinweise zum Verschlüsseln mit S/MIME in MS Outlook

Bei MS Outlook werden die Zertifikate nicht wie bei Thunderbird in einem Zertifikatspeicher des Epostprogramms, sondern in der zentralen Zertifikatverwaltung aufgehoben. Anleitung zum Importieren:

• Wenn Sie Ihr S/MIME-Zertifikat z.B. von CAcert.org haben oder wenn es ein selbstgemachtes ist, dann müssen Sie als erstes das Ausstellerzertifikat, auf dem Ihr S/MIME-Zertifikat basiert, installieren und ihm das Vertrauen aussprechen. Auch die Empfänger der Emails müssen das tun. Viele kommerzielle Ausstellerzertifikate sind schon in der Zertifikatverwaltung enthalten.
• Hier finden Sie die Ausstellerzertifikate: CAcert Klasse 1, CAcert Klasse 2, mein Ausstellerzertifikat.
• Installieren Sie das Ausstellerzertifikat wie folgt: Speichern Sie das Ausstellerzertifikat auf Ihrer Festplatte. Rechtsklick auf das Ausstellerzertifikat (oder probieren Sie es mit Doppelklick), „Zertifikat installieren“ > „Alle Zertifikate in folgendem Speicher speichern“ > „Vertrauenswürdige Stammzertifizierungsstellen“ > „OK“.
• Gehen Sie im Internetexplorer auf Extras > Internetoptionen > Inhalt > Zertifikate > Karteikarte „Vertrauenswürdige Stammzertifizierungsstellen“ > Markieren das neu importierte Ausstellerzertifikat und klicken Sie auf „Erweitert“ > Wählen Sie in der erscheinenden Liste zusätzlich „Sichere Email“ aus > OK. (Dieses Vorgehen ist auch in der Anleitung von CAcert.org auf Seite 2 beschrieben.)
• Dann das geheime Benutzerzertifikat (es hat die Endung .p12) installieren: Rechtsklick auf das Zertifikat, installieren.
• Die öffentlichen Zertifikate von anderen, installieren sich automatisch beim Öffnen eines signierten Ebriefes, wenn das Ausstellerzertifikat wie beschrieben installiert wurde. Damit Outlook das Zertifikat findet, muß der Empfänger in den Outlook-Kontakten eingetragen sein!

Dann muß man noch Outlook anweisen, dieses Zertifikat zu verwenden. Zwei Anleitungen für Outlook 2010: intertech.de, wiki.cacert.org.

Anleitung für Outlook 2007: microsoft.com:

Anleitung für Outlook 365: ishir.com, acontech.de.

Anleitung für Outlook 2016: uni-osnabrueck.de

Hinweise zum Verschlüsseln mit S/MIME in Apple Mail

Apple Mail verwendet eine zentrale Zertifikatverwaltung, die „Schlüsselbundverwaltung“. Auf das Ausstellerzertifikat klicken, dann öffnet sich die Schlüsselbundverwaltung. Den Anweisungen zur Installation folgen. Das Vertrauen aussprechen. Dann auf die Datei mit dem Zertifikat klicken und installieren. Beim Erstellen eines Ebriefes die Schaltflächen oben rechts mit dem Schloß und dem Haken aktivieren.

Zumindest manchmal muß man dann noch folgendes durchführen: Unter: Einstellungen->Mail, Kontakte, Kalender den entsprechenden Account auswählen. Dann “Account->Erweitert” wählen. Zuunterst steht da der Eintrag “S/MIME”, welche wir nun aktivieren. Wichtig dabei ist, dass nun S/MIME zwar aktiviert ist, es aber noch nicht fürs “Signieren” und “Verschlüsseln” verwendet wird. Unter dem Kontrollkästchen “S/MIME” sehen wir jetzt diese zwei Einträge, welche wir auch aktivieren müssen. (Quelle)

Wenn Sie trotz der Installation nicht signieren oder verschlüsseln können: Stellen Sie sicher, dass die Schreibweise der Epost-Adresse im Zertifikat und in Ebrief tatsächlich übereinstimmen. Auch Groß- und Kleinschreibung sind wichtig, also schreiben Sie alles klein.

Anleitungen: Apfelwiki.de, t3n.de (auch für Iphone), mactechnews.de, heise.de (auch für Iphone), richardet-design.com.

Weitere Sicherheitshinweise:

• Ausspioniert wird man nicht nur durch Cookies, sondern auch durch Super-Cookies (Flash-Cookies, LSOs). Diese kann man mit dem Privacy Badger in Firefox löschen.
• Facebook sammelt viele Daten über einen. Hier kann man sein Facebook-Konto löschen.
• Zum Schutz vor Spam geben Sie die eigene Epostanschrift im Internet nur verschlüsselt an, damit Anschriftensammelmaschinen diese nicht finden. Ich mache das so:
  epost@abcd.de (ersetze „abcd“ durch „von-wachter“).
• Infos zum Schützen von Dateien

Zurück zur Leitseite von Daniel von Wachter