Sichere Mailkommunikation mit S/MIME oder PGP -- MB-Treff.de/Forum

MB-Treff.de/Forum - https://www.mb-treff.de/forum/main.php
  ~~ Allgemein ~~ - https://www.mb-treff.de/forum/main.php?cat=1
    PC-Ecke - https://www.mb-treff.de/forum/board.php?id=43
      Sichere Mailkommunikation mit S/MIME oder PGP - https://www.mb-treff.de/forum/thread.php?id=9995

Geschrieben von Brovning am 31.05.2015, 11:08 Uhr:

Hallo Zusammen,
ich möchte an dieser Stelle eine kurze Diskussion bzgl. sichere Mailkommunikation anstoßen.

Mich würde mal interessieren, wer heutzutage auf sichere Mailkommunikation setzt? Wenn ja, was und wie?

PGP und S/MIME sind seit Jahrzehnten im Umlauf, aber leider immer noch nicht sehr verbreitet.
Wer kennt beide Verschlüssellungs- bzw. Signatur-Maßnahmen noch gar nicht?

Hier findet ihr bei Heise eine Erläuterung zu S/MIME:
Brief mit Siegel - Mail-Verschlüsselung auf dem Rechner und mobil

S/MIME ist mittlerweile im Gegensatz zu PGP in jedem gängigen Mailprogramm (bspw. Outlook) aller erhältlichen Betriebssysteme bereits integriert. Lediglich bei Android muss man das Mailprogramm MailDroid verwenden, damit Mails beim Versand automatisch signiert oder verschlüsselt werden.

Wie ist eure Einstellung zu diesem Thema?

Geschrieben von spookie am 31.05.2015, 22:24 Uhr:

Verschlüsselte Verbindungen daheim und auf dem Handy. Mir war nur nicht bewusst dass ich dafür bei Android nochmal was drauf haben muss.

Geschrieben von Lautrer am 31.05.2015, 23:39 Uhr:

Ich kann's kurz machen: ich hab davon KEINE AHNUNG und hab mich damit noch nie befasst!

Ich wäre froh, wenn mir jemand, dem ich vertrauen kann, hier eine Empfehlung geben würde, dann würde ich die mit Sicherheit auch befolgen. Da ich aber grundsätzlich zu wenig Ahnung von diesen Dingen habe, habe ich mich bisher noch nie damit auseinandergesetzt und vertraue einfach der Technik. Das ist sicher zu einem großen Teil fahrlässig, aber mangels besserer Kenntnisse bin ich hier halt wohl noch etwas zu naiv... ?(

Grüße aus KL!

Geschrieben von Jürgen W. aus P. am 01.06.2015, 07:23 Uhr:

Hallo Lautrer,

deine Offenheit ist umwerfend! ;) =)

Aber mir geht´s genauso! :D Null Ahnung, das ist für mich auch alles Neuland....

Geschrieben von Andretti am 01.06.2015, 12:29 Uhr:

Ist bestimmt ne gute Sache.
Ich seh da aber für mich persönlich keinen Bedarf.
Ich verschicke weder wichtige sensible Daten noch bekomme ich welche per mail.
Zudem denke ich, dass es eh keine 100% sichere Verschlüsselung geben wird. Immer da wo etwas verschlüsselt wird, stochert auch jemand rum um es zu knacken.

Ich denke es ist wichtiger gerade im www vorsichtig mit allem persönlichen und speziellen Daten umzugehen. Wo nichts ist, kann auch nichts ausspioniert werden. Da verschlüsseln manche unwichtige Mails und lassen anderswo die halbe Welt an ihrem Leben teilhaben.

Geschrieben von Brovning am 01.06.2015, 18:15 Uhr:

Hallo Zusammen,
das dachte ich mir schon, dass bei den Meisten das Thema nicht allzu präsent ist.

Für SMIME benötigt man ein Zertifikat, welches von einer Zertifikatsstelle ausgestellt werden muss. Je nach Zertifikats-Level ist die Identifikations-Prüfung mehr oder weniger aufwendig.

Bei der Sparkasse kann man sogar auch S/MIME-Zertifikate kaufen, um sicher per Mail kommunizieren zu können:
S-TRUST E-Mail Zertifikat - S/MIME-Zertifikat mit 2jähr. Laufzeit.

Zu S-TRUST gibt es auch eine FAQ mit ein paar grundlegenden Antworten und Tipps:
S-TRUST FAQ

Ein SMIME Zertifikat muss jedoch nicht immer etwas kosten. Diese gibt es beispielsweise auch kostenlos von:
StartSSL.com

----------------------------------------------------

Die Alternative zu SMIME ist PGP. PGP ist vor allem in Windows-Systemen weniger gut integriert.
Bei PGP benötigt man keine zertifizierungsstelle, sondern man erstellst sich selbst einen Privaten und einen öffentlichen Schlüssel. Den öffentlichen Schlüssel sendet man an seine Mailpartnern (was bei SMIME übrigens automatisch im Hintergrund beim signieren geschieht) und den privaten Schlüssel behält man gut bei sich.
Mit dem öffentlichen Schlüssel können Mails verschlüsselt werden und nur mit dem privaten Schlüssel wieder entschlüsselt werden. Jedoch ist PGP für meinen Geschmack immer noch etwas umständlich, da die Tools leider noch nicht so gut integriert sind. Weshalb auch immer...

----------------------------------------------------

@Andretti:
Es geht hierbei nicht nur darum, dass man sensible Daten verschickt. Beispielsweise kannst du dir einen Trojaner einfangen, der dein Adressbuch scannt und unter deinem Namen an alle eine Mail mit schadhaftem Anhang verschickt.
Mit S/MIME beispielsweise haben deine Mails ein Briefsymbol mit einem Wachssiegel (siehe Bild im Anhang). Das heißt, dass diese Nachrichten signiert sind und wirklich von dir sind.
Somit kann man relativ einfach SPAM oder Viren von echten Mails unterscheiden.
Abgesehen davon sind die von mir genannten Verschlüsselungsmethoden bisher noch nicht geknackt. Das hängt schlicht und einfach mit der Rechenzeit zusammen, die benötigt wird, um bspw. den HASH-Algorithmus mit allen möglichen Kombination durchzuprobieren, um auf die korrekte Lösung zu kommen. Heißt jedoch nicht, dass in 10 oder 20 Jahren mit schneller werdenden Rechnern dies nicht in akzeptabler Zeit berechenbar ist.
Wenn beispielsweise jemand 3 Monate Rechenzeit benötigt, um eine eMail von mir zu lesen, sehe ich die Verschlüsselung für meinen Geschmack immer noch als ausreichend. Bei einem Desktop-PC und einer PGP-Verschlüsselung befinden wir uns jedoch in der Größenordnung 10(hoch)15 Jahre oder so...

@spookie:
Welche verschlüsselten Verbindungen meinst du?

@Gerd:
Ich gehe davon aus, dass so die Meisten so denken, jedoch geben es nur wenige kund.

Wer Interesse an sicherer Mailkommunikation hat, sollte sich mal den Heise-Artikel durchlesen. Für Fragen oder Empfehlungen stehe ich jederzeit gerne zur Verfügung.

Geschrieben von Andretti am 01.06.2015, 19:02 Uhr:

@Brovning

da hast Du mit Sicherheit mehr Ahnung von als alle anderen hier....Keine Frage.
Vielleicht muss man immer erst negative Erfahrungen machen. Ich nutze seit 1992 privat einen PC und bin seit dem Online, obwohl es das www wie wir es heute kennen so noch gar nicht gab. In der ganzen Zeit hatte ich niemals Probleme mit Trojanern , Viren oder dergleichen. Auch in Punkto Datenklau ist mir wissentlich bisher kein Schaden entstanden. Wenn man halbwegs vernünftig gerade mit empfangenen e-mails umgeht braucht man auch meiner Meinung nach nichts befürchten. Ist aber auch nur meine Erfahrung...Das Adressbuch muss man auch nicht voll mit Adressen haben im privaten Bereich.
Ich nutze bis heute weder Outlook noch andere Programme sondern rufe meine mails wie schon immer über die von meinem Anbieter angebotene Software ab. Da landen automatisch mindestens 90% der mails im Spamordner und das fast zu 100% auch richtig. Hab schon Programme getestet, da lief der Briefkasten über ohne, dass etwas herausgefiltert wurde.
Ich will das ja nicht schlecht reden, nur wird die Panikmache teilweise weit übertrieben. Man sollte halt nicht leichtfertig mit sowas umgehen.
Meinen Briefkasten kann z.B. jeder mit einem handelsüblichen Schraubenzieher knacken. Oder kürzlich kam bei mir auf dem Postwege ein sehr sehr wichtiges Dokument per Einschreiben abhanden. Da nützt dann auch die Nachverfolgung nichts, wenn es weg ist. Ich glaub einfach nicht, dass es wirklich Sicher gibt. Spätestens seit Norbert Blühm mal gesagt hat "Die Rente ist Sicher" =)
Vielleicht fängt auch demnächst jemand eine verschlüsselte Mail ab und leitet eine mit nem Trojaner weiter,so dass es aussieht wie die originale...Aber da hast Du wieder die Ahnung ob das wohl gehen kann. So würde ich es machen wenn ich kriminell wäre...

Geschrieben von Chipsy am 01.06.2015, 21:23 Uhr:

Hallo!

Das mit der Verschlüsslung ist schon eine gute Sache. Nicht erst seit den "Spy" Skandalen der Amis.
(Die spätestens jetzt hier auch mitlesen...)

Wie wichtig dies ist,
muss wohl jeder selbst entscheiden. Wer nichts zu verbergen hat, braucht wohl auch nicht fürchen. Mit Hilfe von Windoofs, Androit und Co sind eh schon mehr Daten im Netz bekannt, wie wir selbst über uns wissen.

Das ein guter Schutz schwer zu finden ist, macht dieser Artikel klar:
http://winfuture.de/news,87287.html

Sollte man nun wieder die gute Brieftaube auspacken?

Wir haben bei uns in der Firma mal versucht alle e-mails entsprechend zu schützen. Auch bei verschiedenen OEM's wurde dies mal versucht. Alles eingestellt, weil zu umständlich und viele Mail extern nun nicht mehr gelesen werden konnten.
Sensible Daten gehen nun über extra Server. Ob es hilft?

Ich versuche es soweit möglich einzuschränken, manchmal muss aber auch die Kreditkarte im Internet herhalten. Passiert ist noch nichts. Wohl fühle ich mich dabei nicht.

Gruß
Roger

Geschrieben von spookie am 02.06.2015, 00:08 Uhr:

@Brovning:
SSL und TLS

In der Firma hatten wir auch Versuche alles sicherer zu machen, es wurde gelassen wie es war. Ich kenn mich in dem Thema auch kaum aus. Aber da diverse Kunden uns manches aufs Auge drücken wollten, was nur die Kommunikation erschwerte, wurde es gelassen. Mich grinste gestern eine Email vom Forum hier auch an, dass es eine sichere wäre, davor nie. Outlook sagt nur "Probleme mit der Signatur". Das ist für Otto Normal User alles viel zu kompliziert würd ich sagen.

Geschrieben von Brovning am 02.06.2015, 08:51 Uhr:

Zitat:
Original von spookie:
@Brovning:
SSL und TLS

Ok, hierbei sicherst du "nur" die Kommunikation mit deinem Server ab. Das ist eine Art Punkt zu Punkt Absicherung ähnlich einem VPN. Alles was deinen Server verlässt ist nach wie vor für jeden lesbar bzw. von dritten modifizierbar.

Ansonsten gibt es noch VPN. Das ist auch eine Punkt zu Punkt Absicherung. Beispielsweise kann man VPN nutzen, wenn man einem WLAN im Urlaub nicht vertraut, um einen sicheren Tunnel vom Notebook beispielsweise zu einem PC zu Hause oder in der Firma aufzubauen. Somit kann man sicher kommunizieren, ohne bedenken haben zu müssen, dass jemand im fremden WLAN mitliest. Dies hat jedoch ebenfalls nichts mit bspw. der Mailverschlüsselung zu tun. Alles, was den sicheren Tunnel verlässt, wie beispielsweise Mails, sind wie bisher unverschlüsselt. Lediglich wenn man sich Dateien von zu Hause bzw. der Firma über den gesicherten Tunnel auf sein Notebook herunterlädt oder hochlädt, wird der sichere Tunnel nicht verlassen.

Eine nette Augenwischerei ist meiner Meinung nach "E-Mail-Made in Germany". Bei den üblichen verdächtigen wie GMX, Webmail und Co. wird hiermit geworben.
Die Probleme hierbei sind unter anderem:
- Die SSL/TSL-Verbindung kann per "Man in the middle" abgehört werden.
- Alle Mails werden "Aus Sicherheitsgründen" kurzzeitig entschlüsselt um einen Virencheck durchführen zu können.
- Alle Provider sind per Telekommunikationsgesetzt dazu verpflichtet, den Bedarfsträgern nach einer Richterlichen Anordnung, Zugriffe auf den Mailbestand zu ermöglichen.
- Mailboxen liegen auf den jeweiligen Servern weiterhin unverschlüsselt...
Ein paar weiterführende Infos zu dem Thema kann man beispielsweise hier finden: Chip.de - So unsicher ist E-Mail-made-in-Germany

Geschrieben von spookie am 02.06.2015, 09:58 Uhr:

Danke für die Aufklärung, sehr hilfreich.
Bringt natürlich die Frage hoch was man machen kann oder was da überhaupt Sinn hat.

Geschrieben von Brovning am 03.06.2015, 14:12 Uhr:

Ich nutze sowohl PGP, als auch SMIME. Je nachdem, was der Empfänger nutzt oder was ich erreichen möchte.
Eine Nachrichtenverschlüsselung realisiere ich meist explizit mit PGP per Plugin.
Eine Echtheitsbestätigung mache ich per SMIME-Signatur implizit im Hintergrund per Outlook.

Für PGP gibt es gpg4win, welches sich in Verbindung mit Outlook, dank dem mitgelieferten Outlook-Plugin sehr gut nutzen lässt. gpg4win unterstützt auch SMIME, jedoch ist für SMIME meist kein zusätzliches Tool nötig, wie oben bereits beschrieben.

Beides hat Vor- und Nachteile.
PGP ist relativ einfach einzurichten (Software installieren + Schlüsselpaar erstellen), jedoch in der Anwendung etwas umständlicher, da nicht so schön in Outlook integriert.
SMIME ist umständlicher einzurichten, da man ein Zertifikat beantragen muss (Selbstgenerierung ist hier weniger sinnvoll...), jedoch ist die Nutzung ohne zusätzlichen Aufwand möglich, da Outlook automatisch im Hintergrund die öffentlichen Schlüssel von signierten Nachrichten sammelt und automatisch ausgehende Nachrichten signiert (sofern man dieses Feature aktiviert hat).

Ein Video2Brain für S/MIME in Outlook 2010 findet ihr beispielsweise hier:
Computerwoche.de - Outlook für S/MIME-Verschlüsselung einrichten

Wenn weiter Fragen oder Probleme bestehen, nur her damit. 8)

Geschrieben von spookie am 03.06.2015, 15:01 Uhr:

Ein hilfreiches Video, ein Sache stört mich aber: der Inhalt wird nicht im Lesebereich angezeigt, man muss die Email extra öffnen. Ist das auf Dauer so?

Ich habe mir nun ein Zerti besorgt, installiert und sende damit von daheim ans Büro. Im Büro hab ich das nicht, also die typische Gegenstelle. Zurück kommt es unverschlüsselt. Wenn nun also die Empfänger und die wo Antworten weiterhin unverschlüsselt arbeiten und ich sehe solche Emails im Grunde niemals von anderen bis auf die von mb-treff, dann macht die Verschlüsselung doch gar keinen Sinn wenn sie nur von mir ausgeht.

Ist das dann nicht eher ein Kampf gegen Windmühlen?

Geschrieben von Brovning am 10.06.2015, 13:38 Uhr:

Zitat:
Original von spookie:
der Inhalt wird nicht im Lesebereich angezeigt, man muss die Email extra öffnen. Ist das auf Dauer so?

Hallo Marc,
ja, das ist so, sofern du die Vorschaufunktion (Lesebereich) nutzt. Jeder der den Lesebereich nicht nutzt (Mail zum lesen öffnet) bekommt von der Verschlüsselung nichts mit.

Zitat:
Original von spookie:
Zurück kommt es unverschlüsselt.

Wenn derjenige kein SMIME nutzt, dann ja.

Zitat:
Original von spookie:
Wenn nun also die Empfänger und die wo Antworten weiterhin unverschlüsselt arbeiten und ich sehe solche Emails im Grunde niemals von anderen bis auf die von mb-treff, dann macht die Verschlüsselung doch gar keinen Sinn wenn sie nur von mir ausgeht.

Ganz umsonst ist es nicht. Mit SMIME kannst du durch die signierten Mails (nicht verschlüsselt) deinem Gegenüber zeigen, dass diese Mail wirklich von dir ist und kein SPAM, welcher in deinem Namen versendet wurde.
Beispielsweise die DHL nutzt SMIME zur Signierung von Mails mittlerweile auch schon, da unzählige SPAM-Mails in deren Namen versendet werden.
Auch Trojaner, welche du dir einfängst können nicht mit deiner Signatur versenden, da eine Freigabe (per Klick oder Passwort-Eingabe) nötig ist.

Zitat:
Original von spookie:
Ist das dann nicht eher ein Kampf gegen Windmühlen?

Wie so vieles im Leben. Will hier nicht die WhatsApp-Debatte wieder anstoßen... :D

Geschrieben von Brovning am 11.06.2015, 09:19 Uhr:

Hallo Marc,
habe den Lesebereich in meinem Outlook 2013 aktiviert. Hier wird die Nachricht automatisch entschlüsselt. Anscheinend funktioniert das nur bis Outlook 2010 noch nicht.

Geschrieben von spookie am 11.06.2015, 09:56 Uhr:

Wäre schlecht, 2010 hatte ich mal gekauft gehabt für 2 Rechner.
Solange mir aber eh keiner verschlüsselt antwortet, seitdem kein einziger, hab ich noch keine Probleme mit. =)

Geschrieben von Brovning am 11.06.2015, 12:34 Uhr:

Ich weis, dass SMIME oder PGP aktuell noch eher sehr selten in Benutzung ist (je nachdem, in welchen Kreisen man verkehrt :-) ), aber du musst zugeben, dass mit den hier geposteten Links eine Einrichtung von SMIME problemlos möglich ist und die Verwendung ist dank der Integration in Outlook kein Mehraufwand. Signiert oder Verschlüsselt wird im Hintergrund, ohne dass man extra irgendein Tool oder Sonstiges öffnen muss.

Hoffe daher, dass sich in Zukunft mehr Leute zur Verwendung von SMIME durchringen können.
Da die DHL hier mit gutem Beispiel voran geht, hoffe ich auch, dass der ein oder andere Konzern nachzieht...

Geschrieben von Chipsy am 11.06.2015, 15:44 Uhr:

Schaut mal hier:

Merkel: Deutsche sollen Datenschutz aufgeben

Gruß
Roger

Geschrieben von Brovning am 16.07.2016, 09:14 Uhr:

Hallo Zusammen,
in diesem Zusammenhang möchte ich auf ein Projekt von Fraunhofer und T-Online hinweise:
Volksverschluesselung.de :top:

Mit dem Programm ist es sehr einfach möglich ein Zertifikat generieren zu lassen. Per Programm wird man durch den Prozess geführt und es wird auch die Konfiguration der Mailprogramme (Outlook, Thunderbird,...) automatisch durchgeführt.
Die Authentifizierung muss entweder per neuem Personalausweis (und USB-Lesegerät) oder per T-Online-Account erfolgen.
Das Programm ist aktuell nur für Windows verfügbar.

Bei Fragen stehe ich gerne wieder zur Verfügung.