Allgemeines
E-Mail ist immer noch eines der wichtigsten digitalen Kommunikationsmittel, sowohl im privaten, viel mehr aber noch im beruflichen Kontext. Was die meisten User sich aber leider nicht vor Augen halten, ist die Tatsache, dass E-Mails von Geheimdiensten systematisch gescannt werden. Auch E-Mail-Provider scannen die E-Mails ihrer Kunden. Google beispielsweise hat jahrelang E-Mails gescannt, um das Profil des jeweiligen Users zu erweitern, mit dem Ziel gezieltere Werbung zu schalten (vgl. Kuketz, 2016) Mit großer Wahrscheinlichkeit, geschieht das scannen auch weiterhin (vgl. Kuketz, 2018). Wer einen empfehlenswerten Mail-Provider sucht, dem die Privatsphäre seiner Kunden am Herzen liegt, findet im Privacy-Handbuch ein paar nützliche Infos.
Verschlüsselung
Doch auch mit dem besten E-Mail-Provider haben wir das Problem der unverschlüsselten E-Mails noch nicht gelöst. Mails, die im Klartext verschickt werden, sind prinzipiell nichts anderes als Postkarten, deren Informationen jede:r lesen kann, der darauf Zugriff hat. E-Mail-Verschlüsslung ist also eine notwendige Angelegenheit für jede private Kommunikation, unter ethischen Aspekten im Beruf aber um so mehr!
Um einen ersten Einblick zu geben, wie E-Mail- bzw. die darin genutzte "asymmetrische Verschlüsselung" funktioniert, möchte ich euch drei Videos ans Herz legen, die die Thematik auf unterschiedliche Weise beschreiben:
Der digitale Briefumschlag
... mit Kalle & Sabine ...
Sicher kommunizieren - einfach erklärt
Der animierte Film vom wundervollen Alexander Lehmann beschäftigt sich eher mit Messengern, das Prinzip der asymmetrischen Verschlüsselung bleibt aber nahezu gleich.
Wie funktioniert E-Mail-Verschlüsselung mit PGP?
Ein Video von mailbox.org, Anm.: Ich habe selbstverständlich keinen Werbevertrag ;)
Praxis-Tipp
E-Mail-Verschlüsselung ist also eigentlich gar nicht so schwer. Die Kritik, dass die usability zu Wünschen übrig lässt, weil die Installation (bspw. in Windows mit Outlook) unter Umständen ein relativ schweres Unterfangen ist, teile ich zwar ebenfalls. Aber was bleibt uns übrig?
Das einfachste Handling bietet meines Erachtens der E-Mail-Client Thunderbird von Mozilla (die, die auch den Firefox programmieren). Das Programm ist sozusagen das Open Source-Pandant zu Outlook. Unter Linux ist GnuPG (also die Software, die für die Verschlüsselung zuständig ist) meistens schon vorinstalliert. Nachdem man Thunderbird installiert und die erste E-Mail-Adresse eingerichtet hat, kann für jede E-Mail-Adresse ein eigener Wizard zur Erstellung eines OpenPGP-Schlüsselpaares durchgeführt werden. Den privaten Schlüssel speichert man an einem sicheren Ort. Den öffentlichen Schlüssel lädt man auf einen Keyserver und/oder teilt ihn mit seinen Kommunikationspartner:innen.
Eines muss man wissen: Ohne den öffentlichen Schlüssel der Kommunikationspartner:innen kann selbstverständlich nicht verschlüsselt kommuniziert werden. D.h. Wenn diese keine PGP-Verschlüsselung nutzen, kann auch nicht verschlüsselt werden (siehe Videos). Logisch. Aber wieso solltest du nicht damit anfangen?
Zum Schluss empfehlenswerte Anleitungen:
- Kuketz-Blog: Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
- E-Mail-Selbstverteidigung von der Free Software Foundation
- Anleitung des Privacy-Handbuchs
PGP, S/MIME, SMGW?
Auf Grund der Tatsache, dass sich jede:r mit PGP ein eigenes Schlüsselpaar relativ einfach erzeugen kann, habe ich zum Thema E-Mail-Verschlüsselung nur auf PGP verwiesen. Nicht nur der Vollständigkeit halber, will ich nun noch S/MIME nennen. Für die Praxis kann S/MIME nämlich durchaus sinnvoll sein, da die Arbeitsagentur/Jobcenter S/MIME bundesweit einsetzt. Im Handbuch der Arbeitsagentur wird auf diesen Link verwiesen, unter dem man die S/MIME-Zertifikate aller Mitarbeiter downloaden kann. Je nach Kommune scheinen auch andere Behörden S/MIME zu verwenden. So haben beispielsweise alle kommunalen Mitarbeiter:innen der Stadt Leipzig S/MIME-Zertifikate. Wie man als externer Kommunikationspartner:in an die jeweiligen öffentlichen Schlüssel kommt, ist allerdings nicht ersichtlich.
Und noch etwas Neues ist da: Das Land Sachsen hat nun den "Secure Mail Gateway" SMGW eingeführt:
Für den Transport über das Internet verschlüsselt das SMGW die Nachrichten per Inhaltsverschlüsselung über S/MIME oder PGP. Ist kein Empfängerschlüssel bekannt, wird die Nachricht über ein gesichertes Online-Postfach (SMGW Messenger) zugestellt.
Mehr dazu später.