S/MIME und PGP in der Praxis

Sichere Mails für alle?

24.04.2012
Von 
Uli Ries ist freier Journalist in München.

Der Client muss es richten

Kommt an Stelle des Browsers ein vollwertiger E-Mail-Client zum Einsatz, ist es quasi egal, ob E-Mails per Microsoft Outlook, Lotus Notes, Apple Mail oder Mozilla Thunderbird verschickt und empfangen werden. Alle Anwendungen kommen problemlos mit dem standardisierten Verschlüsselungsverfahren S/MIME zurecht. Und auch PGP, der Ur-Vater der E-Mail-Verschlüsselung, versteht sich mit zahlreichen E-Mail-Anwendungen.

Die PGP-Version für Mac OS X beherrscht nur das Verschlüsseln von POP3/IMAP-Konten und kann mit E-Mail-Accounts, die auf Exchange-Servern gehostet werden, nichts anfangen. Dabei spielt es keine Rolle, ob per Outlook/Entourage, Thunderbird oder der Mail-App des Betriebssystems auf den Exchange-Server zugegriffen wird - PGP bleibt untätig. Das kostenlose Derivat OpenPGP hilft ebenfalls nicht weiter. Betroffen sind auch die Nutzer von Microsofts Cloud-Angebot Office 365, hinter dessen E-Mail-Dienst eine Exchange-Infrastruktur liegt, die mit PGP per se nicht klarkommt. Von daher sei hier der Einsatz von S/MIME empfohlen, das sich auf dem Mac per Outlook 2011 oder der Mail-App problemlos auch in Verbindung mit Office 365 verwenden lässt.

S/MIME und PGP im Einsatz

Signiert: Das digitale Zertifikat sagt dem Empfänger, dass der Sender ein zur Absender-E-Mail-Adresse passendes Zertifikat verwendet.
Signiert: Das digitale Zertifikat sagt dem Empfänger, dass der Sender ein zur Absender-E-Mail-Adresse passendes Zertifikat verwendet.
Foto: Uli Ries

Betreibt ein Unternehmen keine eigene, vertrauenswürdige Zertifizierungsstelle (CA), können S/MIME-Zertifikate von allen gängigen CAs bezogen werden (für diesen Fall nicht nur über die von der Bundesnetzagentur akkreditierten Stellen). Start SSL und Instant SSL stellen beispielsweise kostenlose Zertifikate aus. Je nach Browser, mit dem der Zertifikaterstellungsprozess erledigt wird, fügt die CA das neue Zertifikat entweder direkt in die Liste der persönlichen Zertifikate im Browser hinzu oder stellt es als Download zur Verfügung. In erstgenanntem Fall kann der Anwender es direkt in den E-Mail-Client (Windows) oder die Schlüsselverwaltung (Mac OS X) aufnehmen. In letzterem Fall muss es manuell aus dem Browser in eine eigene Datei exportiert werden.

In Mac OS X genügt dazu das Aufnehmen des Zertifikats in die Schlüsselverwaltung. Die Mail-App erkennt das Zertifikat automatisch und zeigt im Fenster der zu versendenden E-Mail oben unter dem Betreff zwei Symbole für die Funktionen Verschlüsselung und Signatur, die per Klick aktiviert werden.

Wenige Mausklicks sind notwendig, um ein S/MIME-Zertifikat zu Outlook 2010 hinzuzufügen.
Wenige Mausklicks sind notwendig, um ein S/MIME-Zertifikat zu Outlook 2010 hinzuzufügen.
Foto: Uli Ries

Unter Outlook 2010 (Windows) findet sich die Option zum Einlesen des Zertifikats unter Datei / Optionen / Sicherheitscenter. Dort lässt sich rechts die Schaltfläche "Einstellungen für das Sicherheitscenter" anklicken und anschließend aus der Liste links den Punkt "E-Mail-Sicherheit" auswählen. Nun kann der Anwender durch einen Klick auf "Importieren/Exportieren" die Zertifikatsdatei laden.

PGP hingegen klinkt sich mittels Proxy in den E-Mailaustausch ein. Am einfachsten lässt sich das bewerkstelligen, wenn das E-Mail-Konto im Client erst nach der Installation von PGP eingerichtet wird. Steht diese Option nicht zur Debatte und scheitert PGP am automatischen Erkennen des Kontos, kann es von Hand über die Option "Messaging" im PGP-Desktop mit der Verschlüsselungssoftware vertraut gemacht werden.