Outlook E-Email Verschlüsselung - was kann ich tun?

Hallo wer-weiss-was Community,

ich habe meinen 7 Jahre alten XP Home-PC abgeschaltet und bin umgestiegen auf WIN 7. Also eine ganz neue Hardware, ergo neue Software. Bildbearbeitung, Videosoftware, das Office Paket 2010. Ich bin noch längst nicht durch mit all den Veränderungen. Allein das WIN 7 Handbuch von DATA Becker mit seinen 1200 Seiten ist ein Jahrhundertwerk. Das Outlook Email-Programm sieht auch vollkommen anders aus. Ich habe also allerhand auf der Brust.

Bisher habe ich meine E-Mails unverschlüsselt verschickt. Nun aber, im Zuge dieser Datenbespitzlungsaffäre, denk ich mir, es wäre gescheiter meine E-Mails zu verschlüssen. Und jetzt die Frage: „Was tun?“

Ich bin kein Spezialist in Sachen Internetsicherheit. Und ich fühle mich diesem Thema nicht gewachsen. Ich benutze Outlook, ein anderer Thunderbird und manch Bekannter hat seinen Account bei web.de usw. Für mich ist das im Moment alles ein ziemliches Durcheinander. Gibt es für den Privatanwender Outlook-Verschlüsselungssoftware, die sicher ist, vielleicht sogar kostenlos und sicher?

So Sachen wie Client-Server, Asymmetrische Verschlüsselung, PGP, S/MIME Verschlüsselung - ich habe Sachen gelesen, davon verstehe ich 1 %.

Ich sage schon einmal danke für Eure Antworten.

Hi,

ganz ehrlich? Vergiss es! Verschlüsselung funktioniert nur wenn auch derjenige der die Mail bekommt das gleiche Verfahren benutzt wie Du. Und nun frage mal alle Deine Freunde/Bekannten/Geschäftspartner wer PGP oder sonst irgendeine Verschlüsselung benutzt. 98% werden Dich fragen was PGP ist und die 2% die wissen was das ist werden Dir sagen dass sie es nicht benutzen. 90% davon regen sich aber beim nächsten Stammtisch auf dass die NSA uns ausspioniert und dass das ja ein Unding ist. „Da muss der Staat doch was tun“. Man selbst aber nicht…

Wenn Du wirklich Mails hast die keiner sehen darf, dann lade Dir „Axcrypt“ runter, schreibe die Texte in Word und verschlüssele dieses Dokument dann mit einem starken Passwort welches Du mit der anderen Person aber bitte persönlich austauscht. Diese muss natürlich auch Axcrypt haben. Hierbei musst Du aber Word und Windows (Microsoft, USA) soweit vertrauen dass die nicht heimlich Daten an die NSA funken wenn das Dokument Deinen PC noch gar nicht verlassen hat. Auch nützt Dir die tollste Verschlüsselung nichts wenn Du oder die Gegenseite Viren (z.B. Keylogger) auf dem PC hast.

Auch sind für die Dienste die Inhalte an sich ja gar nicht so interessant. Aber die sog. Metadaten. Auch wenn Du Deine Mails verschlüsselst kännen sie trotzdem sehen welcher Emaisladresse Du schreibst und wie oft. Über sog. social engineering kann man dann dort ansetzen. Auch im privaten Bereich.

Das erstmal als „Einstieg“

Gruss
K

Hallo,

1. http://www.gnupg.org/index.de.html
2. je nach OS eins raussuchen

Vermute mal Windows:

3. also http://www.gpg4win.org/

4. Download

5. Installation

6. weitergabe an Freunde und Kollegen bzw. Geschäftspartner.

7. Wichtige E-Mails Verschlüsseln.

Und bedenken Sie: „Jede“ Verschlüsselung kann irgendwann ausgelesen/geknackt werden. Die länge und form des Schlüssels ist ausschlaggebend um angriffen und versuchen entgegen zu wirken.

mfg
ancere

Hi,

6. weitergabe an Freunde und Kollegen bzw. Geschäftspartner.

Funktioniert aber nur wenn diese auch mit PGP arbeiten. Und das tun 98% der Freunde, Kollegen und Geschäftspartner eben nicht. „Verschlüsseln? ICH habe doch nichts zu verbergen“.

Gruss
K

Es hätte ja auch keinen Sinn etwas zu verschlüsseln was unwichtig ist?
Sollten Sie aber, mit Ihrem Anwalt, gerade den nächsten Schritt im Rosenkrieg absprechen, und etwas paranoid sein, dann können Sie Ihm ja sagen er soll dies nutzen.

Mal Scherz beiseite. Verschlüsselung kann nur genutzt werden wenn der Empfänger den Schlüssel hat. Sollten Sie sich dafür interresieren dann lesen Sie doch bitte hier mal etwas mit; MfGAncere

Hallo,

6. weitergabe an Freunde und Kollegen bzw. Geschäftspartner.

Funktioniert aber nur wenn diese auch mit PGP arbeiten.

ja. Und Email funktionieren auch nur, wenn die Freunde, Kollegen und Geschäftspartner auch mit Computern arbeiten.

Das ist also ein Henne-Ei-Problem. Je selbstverständlicher die PGP-Nutzung wird, desto eher wird man einen Korrespondenzpartner finden, der auch verschlüsselt.

Von daher ist es eine gute Idee, hier voranzugehen. Nur vom Jammern über die böse NSA wird die Welt eben nicht besser. Oder nach Kästner:

Es gibt nichts gutes, außer man tut es.

In dem Sinne einen schönen Gruß,

Sebastian

An Sie alle,

ganz herzlichen Dank für Ihre freundlichen Antworten. Da habe ich denn jetzt einiges zu sichten.

Und Sie alle haben die Angelegenheit der E-Mail-Verschlüsselung irgendwie auf den Punkt gebracht. Keiner meiner Bekannten und Geschäftspartner verschlüsselt seine Email. Auch Dateien werden unverschlüsselt verschickt.

Und nicht selten habe ich zu hören bekommen, was hast du schon zu verbergen?

Ich weiß darauf keine Antwort. Mich wundert, daß sich in meinem Bekanntenkreis niemand für dieses Thema interessiert. Die Sache mit den Schlüsseln will ich verstehen, doch wenn jeder eine andere Email-Software nutzt, begreife ich nicht, welches Produkt das richtige ist, wenn ich eine mail über Outlook zu jemand schicke der Thunderbird installiert hat.

Gottseidank führe ich keinen Rosenkrieg, Paranoia ist auch nicht angesagt. Ich verstehe so weit, daß die Verschlüsselung nur funktioniert, wenn Sender und Empfänger die selbe Software nutzen. Das scheint mir der Haken zu sein.

Wichtige, persönliche und vertrauliche Angelegenheiten teile ich eh lieber von Angesicht zu Angesicht. In der Firma wird dieses Thema eigentlich vernachlässigt. Liegt wahrscheinlich an der komplizierten Anwendung solcher Verschlüsselungsprogramme.

Also herzlichen Dank allen.
A. Mittoch

Outlook-Verschlüsselungssoftware, die sicher ist, vielleicht
sogar kostenlos und sicher?

Sicher wovor? Es gibt viele verschiedene Angriffsvektoren auf e-Mail, und es gibt keine Softwarelösung, die alle gleichermaßen abdeckt.

Soll die Mail bei dir und beim Empfänger verschlüsselt im Postfach liegen? Soll sie auf dem Transport von dir zum Empfänger unlesbar sein? Soll ein Dritter nicht erkennen können, mit wem du wann kommunizierst oder soll er nicht erkennen können, von wo aus [*1] du kommunizierst?

Je nachdem, welches Ziel du erreichen willst, sieht die erforderliche Vorgehensweise jeweils anders aus. Nur eins bleibt sich immer gleich: Um Angriffe auf deine Mail verhindern zu können, solltest du zunächst darlegen können, was genau du fürchtest.

Solange das über ein diffuses „Ja aber ich will nicht, dass die NSA…“ nicht hinausgeht, steckt die NSA dich jederzeit in die Tasche völlig egal, ob du S/MIME, GPG; e-Mail made in Germany nutzt.

Gruß

*1] Ganz interesssanter Fall: Ein Arbeitskollege ist krankgeschrieben, Grippe. Sein Smartphone ruft in dieser Zeit, wie gehabt, in der Firma seine Mails ab. Dabei ist in der Firma erkennbar, dass das Telefon aus dem WLAN einer bekannten Disco, weit entfernt vom Wohnort des Kollegen, abruft. Sowas…

Und nicht selten habe ich zu hören bekommen, was hast du schon
zu verbergen?

Dazu hieß es im vorletzten Spiegel treffend: „Eine Aussage, auf die Goebbels stolz gewesen wäre“. Dies ist in der Tat ein Aussage, mit der sich jeder Terrorstaat rechtfertigen ließe. Denn wer was zu verbergen hat, ist im Zweifel nur eine Frage der herrschenden Moral oder der gegenwärtigen Gesetzgebung.

Die Sache mit den Schlüsseln will ich verstehen, doch wenn
jeder eine andere Email-Software nutzt, begreife ich nicht,
welches Produkt das richtige ist, wenn ich eine mail über
Outlook zu jemand schicke der Thunderbird installiert hat.

Das ist völlig egal. Verschlüsselung wie GPG oder S/MIME funktioniert mit allen wichtigen Mailclients. Ob es dafür auch Browserplugins (falls jemand nur Webmail nutzt) gibt, bin ich im Moment überfragt.

Wichtige, persönliche und vertrauliche Angelegenheiten teile
ich eh lieber von Angesicht zu Angesicht. In der Firma wird
dieses Thema eigentlich vernachlässigt.

Ich habe Verschlüsselung bei meinem Arbeitgeber dort eingerichtet, wo gesetzliche Vorschriften das erfordern. Nämlich beim Austausch von Personaldaten per Mail mit externen Stellen.

Liegt wahrscheinlich
an der komplizierten Anwendung solcher
Verschlüsselungsprogramme.

Nein! Die Anwendung ist ein Pipifax, dass beherrschen bei uns sogar die Personaler! Selbst die Ersteinrichtung der Software ist unter Outlook ein Klacks. Die Voraussetzung ist aber, dass derjenige, der Verschlüsselung einrichtet, das Konzept verstanden hat. Das erfordert einen gewissen Lernaufwand.

Gruß

verschlüssele dieses Dokument dann mit einem starken Passwort
welches Du mit der anderen Person aber bitte persönlich
austauscht. Diese muss natürlich auch Axcrypt haben.

Das Verfahren hat vor allem den Vorteil, dass die NSA den Rechner nur eines einzigen deiner Kommunikationspartner infiltrieren muss, um alle Mails mit allen deinen Kommunikationspartnern mitlesen zu können. Das vereinfacht den Aufwand ungemein und spart dem amerikanischen Steuerzahler viel Geld.

Oder willst du mit jedem Kommunikationspartner - oder gar fallweise - ein anderes Passwort vereinbaren?

Gruß

Der Gedanke dahinter war, wenn er EINE Person hat mit der er verschlüsselte Mails austauschen will könnte er Axcrypt nehmen. Geschrieben hatte ich das aber nicht.

Aber auch PGP nützt nichts wenn ein Dienst den PC inflitriert hat.

Gruss

Aber auch PGP nützt nichts wenn ein Dienst den PC inflitriert
hat.

Das ist schon ein erheblicher Unterschied. Wenn der Dienst den PC des Empfängers Peter Lustig übernommen und seine Passphrase abgehorcht hat hat, ist meine GPG-verschlüsselte Mail an Peter Lustig natürlich für den Dienst lesbar. Mails von Peter Lustig an mich hingegen nicht (sic!). Und meine Mail an Theobald Tiger oder vice versa schon garnicht.

Ganz anders bei der von dir vorgeschlagenen symmetrischen Verschlüsselung, wenn für alle Empfänger das gleiche Passwort verwendet wird.

Gruß

Die meisten scheuen diesen Pipifax (zu recht?)

Liegt wahrscheinlich
an der komplizierten Anwendung solcher
Verschlüsselungsprogramme.

Nein! Die Anwendung ist ein Pipifax, dass beherrschen bei uns
sogar die Personaler! Selbst die Ersteinrichtung der Software
ist unter Outlook ein Klacks. Die Voraussetzung ist aber, dass
derjenige, der Verschlüsselung einrichtet, das Konzept
verstanden hat. Das erfordert einen gewissen Lernaufwand.

Hallo Herrmann,

leider ist in der Praxis die Hürde doch ganz erheblich. So dass ich dem TE eigentlich nur zustimmen kann.
Selbst unter den Leuten, die ihr Einkommen mit IT bestreiten, findet man nur sehr wenige, die das notwendige Know-how mitbringen und das Ganze in Outlook integrieren könnten.
Wenn in der Firma ein IT-Supporter vorbeikommt und die Einrichtung macht, ist es danach sicher sehr einfach in der Bedienung. (Außer das Zertifikat läuft ab oder man will seine Mails z.B. mit einem Smartphone synchronisieren …)

Ciao, Allesquatsch

(Außer das Zertifikat läuft ab oder man will seine
Mails z.B. mit einem Smartphone synchronisieren …)

Das mit dem Zertifikat ist in der Tat _der_ Knackpunkt. Obwohl ich selbst einige zertifikatsbasierte Dienste administriere und mich daher täglich damit herumschlagen muss, muss ich mich doch erstmal wieder in die Thematik hineindenken, wenn ich einmal jährlich die paar S/MIME-Zertifikate erneuern muss.

Wo du allerdings ein Problem mit der Smartphone-Synchronisation siehst, erschließt sich mir nicht. Denn das synchronisiert sinnvollerweise mit dem Server, und den interessiert es nicht, ob Outlook S/MIME o. ä. nutzt.

Gerade das ist übrigens ein Thema, bei dem man m. E. um zertifikatsbasierte Authentifizierung nicht herumkommt. Besonders bei MS-Exchange, mitten im Herz der Firmendomäne, würde es mir im Traum nicht einfallen, sei’s über owa, sei’s über activesync, einen ausschließlich per Passwort abgesicherten Zugriff aus dem Internet zu erlauben (es gibt natürlich Mitarbeiter, die wollen von jedem Rechner der Welt aus jederzeit Zugriff auf ihr Mailkonto. Und wenn diese MA in der Geschäftsführung sitzen, hat man als Admin einen schweren Stand…).

Gruß

Wo du allerdings ein Problem mit der
Smartphone-Synchronisation siehst, erschließt sich mir nicht.
Denn das synchronisiert sinnvollerweise mit dem Server, und
den interessiert es nicht, ob Outlook S/MIME o. ä. nutzt.

Stimmt. Bis zum Smartphone kommen die Nachrichten auch. Bloß kann man sie nicht öffnen, da sie eben verschlüsselt sind.
Wenn Du also darauf angewiesen bist, die verschlüsselte Mail Deines Chefs auch zu leben, musst Du einen Mailclient haben, der S/MIME kann. Wenn Du Glück hast, kannst Du Deinen privaten Schlüssel exportieren. Ansonsten muss man hoffen, dass man einen exportierbaren bekommen kann.
Ist das überwunden, musst der Schlüssel (wiederum mit einem weiteren Kennwort verschlüsselt) auf’s Smartphone und in den Mailclient gebracht werden.

Ich glaube, in meinem technikaffinen Umfeld finden sich mehr Leute, die es sich zutrauen, den nächsten Kundendienst für Ihren Mittelklassewagen selbst zu machen.

Ciao, Allesquatsch

Ich glaube, in meinem technikaffinen Umfeld finden sich mehr
Leute, die es sich zutrauen, den nächsten Kundendienst für
Ihren Mittelklassewagen selbst zu machen.

Dazu passt schön ein altes Sprichwort: Was der Bauer nicht kennt, frisst er nicht. Das Problem, dass viele Menschen nach Abschluss ihrer Ausbildung in eine massive Lernresistenz verfallen, kannst du nicht dem Verschlüsselungssystem zum Vorwurf machen.

Es ist richtig, dass die Ersteinrichtung der Verschlüsselung nicht völlig trivial ist. Aber man muss kein Hochbegabter sein, um sowas hinzukriegen. Und selbst für die Leute, die dazu zu deppert, sind gilt doch ganz klar eines: Den Kundendienst für ihren Mittelklassewagen lassen sie machen! Warum lassen sie sich beim Thema Verschlüsselung nicht helfen?

Weil es zwar Scheisse ist, wenn sie auf Schritt und Tritt von NSA und BKA und Arbeitgeber und Provider und Smertphonehersteller abgehorcht und überwacht werden, aber Schutz davor um Gottes Willen keinen Cent kosten darf?

Gruß

Hallo,

die große Frage, die ich mir stellen würde, was maile ich an meine Empfänger, was so kritisch ist, dass ich es verschlüsseln müsste?

wenn du Dich für eine Verschlüsselung entscheidest, muss der Empfänger i.d.R. die gleiche Verschlüsselung zum Entschlüsseln verwenden.

Ich meine bei PGP wäre es so, dass Du zwei Schlüssel hast, einen „öffentlichen“, den Du jedem Empfänger schickst und einem privaten individuellen Schlüssel, den Du Deinen Freunden schickst. Nur mit beiden Schlüsseln kommt man an die Email so wie an ein Bankschließfach.

Hallo,

Ich meine bei PGP wäre es so, dass Du zwei Schlüssel hast,

Ja.

einen „öffentlichen“, den Du jedem Empfänger schickst

ja.

und
einem privaten

ja.

individuellen Schlüssel,

der öffentliche Schlüssel ist auch individuell.

den Du Deinen Freunden
schickst.

Nein. Den behältst Du nur nur für für Dich Dich

Nur mit beiden Schlüsseln kommt man an die Email so
wie an ein Bankschließfach.

Nein. Den privaten Schlüssel braucht man um Daten zu _ent_schlüsseln die mit dem öffentlichen Schlüssel _ver_schlüsselt wurden.

HTH,

Sebastian

Hallo,

Weil es zwar Scheisse ist, wenn sie auf Schritt und Tritt von
[…]
Smertphonehersteller abgehorcht und überwacht werden

Das wäre für mich übrigens mal ein valider Grund, weshalb jemand seine verschlüsselten Mails nicht auf dem Smartphone lesen (AKA den privaten Schlüssel auf dem Gerät haben) möchte.

Gruß,

Sebastian

Hey,

da hast du wirklich einiges vor der brust.
Das wichtigste wurde meiner Meinung nach schon gesagt. Es sollte immer entschieden werden, ob der Inhalt der geschickten Email es wert ist, sich den Aufwand der Verschlüsselns anzutun. Dann ist es eben wichtig, den Schlüssel, bzw das Programm an Freunde und Kollegen weiterzugeben. Gerade in einem Unternehmen denke ich werden solche Sicherheitsmaßnahmen in Zukunft relevant.
Einen guten Artikel zu den Möglichkeiten der Email-Verschlüsselungen findest du hier auf diesem Blog: IS-FOX Security Blog - Email Verschlüsselung

Viel Erfolg