Outlook E-Email Verschlüsselung - was kann ich tun?

Das wäre für mich übrigens mal ein valider Grund, weshalb
jemand seine verschlüsselten Mails nicht auf dem Smartphone
lesen (AKA den privaten Schlüssel auf dem Gerät haben) möchte.

Hallo Sebastian,

ich denke, dass geht dreifach an der Realität vorbei:

1. Der Übertragungskanal beim Mailabruf ist ohnehin i.d.R. verschlüsselt, auch wenn der restliche Transport offen ist. Mitlauschen beim Mobilfunk ist also Schwachsinn.
2. Es gibt funktionierende Lösungen. Nutze selbst eine, bei der der private Schlüssel noch mal mit einem Kennwort geschützt ist.
3. Kenne keinen Fall aus meiner Praxis, bei dem wegen Fehlen eines verlässlich sicheren Kanals auf die Kommunikation verzichtet wurde. In allen Fällen wurde einfach auf die Sicherheit verzichtet. Das ging so weit, dass die geheimen Unterlage zum Hotel gefaxt wurde.
   Der Schaden nicht erfolgter Kommunikation ist einfach konkret, die Möglichkeit des Missbrauchs nur abstrakt.

Ciao, Allesquatsch

Das wäre für mich übrigens mal ein valider Grund, weshalb
jemand seine verschlüsselten Mails nicht auf dem Smartphone
lesen (AKA den privaten Schlüssel auf dem Gerät haben) möchte.

Dieses Problem relativiert sich erheblich, wenn man eine alternative Firmware wie z. B. CyanogenMod flasht.

Allerdings ist der Schutz von Daten auf dem Smartphone gegen physischen Zugriff i. d. R. nicht mehr als ein schlechter Witz…

Gruß

ich denke, dass geht dreifach an der Realität vorbei:

Nö. Es geht hier zunächst nicht um speziell gesicherte Geräte, sondern um das ganz normale Smartphone, wie du’s z. B. vom Provider bei Abschluss eines Mobilfunkvertrags bekommst. Auf solchen Geräten laufen in der Regel Dienste, die nicht zum Lieferumfang des BS gehören. Diese Dienste sind für den Anwender oft nicht deinstallierbar und nicht beliebig deaktivierbar. Gleichzeitig ist nirgends offengelegt oder überprüfbar, welche Aufgaben diese Dienste erfüllen.

Zwar hat sich (soweit ich weiss) noch kein Provider dabei erwischen lassen, dass ein solcher Dienst vom Benutzer installierte Zertifikate o. ä. an unbefugte Dritte weitergegeben hätte. Das heisst aber nicht, dass dies nicht möglich wäre bzw. dass dies nicht möglicherweise doch passiert. Und dass z. B. WLAN-Zugangsdaten ohne Einverständnis der Geräteinhabers einfach mal unverschlüsselt in der Cloud abgelegt werden, kann man mittlerweile als eingespielten Usus betrachten…

2. Es gibt funktionierende Lösungen. Nutze selbst eine, bei
   der der private Schlüssel noch mal mit einem Kennwort
   geschützt ist.

Wie gibst du das Kennwort ein? Hast du ein externes Device, welches du zu diesem Zweck mit dem Smartphone koppelst oder wie sonst stellst du sicher, dass der Schlüssel nicht mitsamt der eingetippten Passphrase übermittelt wird?

In allen Fällen wurde einfach auf die
Sicherheit verzichtet.

Bei einem Standard-Android werden mit Passphrase gesicherte Zertifikate bzw. Schlüssel generell kopiert und dabei die Erfordernis der Passphrase-Eingabe entfernt. Das gilt für Mailanwendungen genauso wie für Browser etc. Hier wird nicht ‚einfach auf Sicherheit verzichtet‘, hier wird dem Anwender ein Sicherheitsverzicht aufgezwungen.

Es ist richtig, dass es Sicherheitslösungen gibt, die sich dieser Probleme annehmen. Solange die Geräte nicht speziell gehärtet sind, haben Geheimnisse auf dem Smartphone jedoch nichts verloren.

Gruß

Hi,

Mails von Peter Lustig an mich hingegen nicht (sic!).

Irrtum, in der Praxis verschlüsselt man normalerweise mit dem Schlüssel des Empfängers und dem eigenen, um die Mail selbst hinterher noch lesen zu können.

FZ

Hallo Sebastian,

Danke für Deine Ergänzungen, ist schon etwas länger her *seufz*

Hallo Mittoch,

zwei Dinge, nach all den Antworten: Wenn nochmal einer mit dem „ich habe nichts zu verbergen“ Argument kommt, dann frage ihn doch mal nach seinem Email-Passwort. Du würdest Dich in seinen Mailboxen gerne mal ein wenig umschauen.

ch bin bereit zu wetten, dass Du es nicht bekommen wirst, obwohl er doch nichts zu verbergen hat. Wenn dem so ist, dann kannst Du ihn ja fragen, warum es ok ist, wenn Polizei, NSA, CIA, BKA, BND, KGB, etc. da alle nach belieben rumgucken und mitlesen können.

Die Sog. „Ende - zu - Ende - Verschlüsselung“ über PGP oder S/MIME hat den großen Vorteil, dass die Emails auch gespeichert auf dem Server hübsch verschlüsselt liegen.

Das S/MIME Verfahren bietet den höheren Komfort, weil es in jedem mir bekannten Mail-Client bereits eingebaut ist. Outlook und iPhone eingeschlossen. Kann mir nicht vorstellen, dass das bei Android-Telefonen anders ist.

Du musst Dir ein Schlüsselpaar bei einem sog. Trustcenter besorgen. Dazu kannst Du einen der „großen Anbieter“ wie Verisign oder RSA oder auch kleinere wie S-Trust (Trustcenter der Sparkassen) oder GlobalSign nutzen. Abenteuerlich, da die Root-Zertifikate nicht bei jedem automatisch hinterlegt werden, dafür aber recht sicher – es sind persönliche Treffen nötig – und kostenfrei, bekommst Du Deine Schlüssel bei CACert.

Nachdem Du die Schlüssel hast, stellst Du Dein Outlook so ein, dass es ausgehende Emails mit Deinem öffentlichen Schlüssel signiert. Damit haben die Empfänger schon einmal die Gewissheit, dass die Mail wirklich von Dir kommt.

Außerdem sammelt die Mailsoftware des Empfängers automatisch Deinen öffentlichen Schlüssel aus der Mail und fügt sie Dir im Adressbuch hinzu. Die folgenden Mails an Dich können dann schon verschlüsselt werden.

Wenn Dein Gegenüber sich auch ein Schlüsselpaar organisiert, dann kannst er/sie auch signieren und dann kannst Du auch Mails an diese Leute verschlüsseln.

Es ist ganz einfach und nur ein paar Mausklicks entfernt. PGP ist dagegen komplexer, Software muss installiert werden, Schlüssel müssen persönlich ausgetauscht werden, etc. Aber die Methode der Verschlüsselung ist identisch.

Gruß

Fritze