E-Mail-Sicherheit

Workshop: E-Mails unter Outlook 2010 richtig verschlüsseln

Das sichere Verschlüsseln von E-Mails unter Outlook 2010 ist komplex. Es reicht nicht aus, nur den richtigen Signatur- und Verschlüsselungsalgorithmus festzulegen.

Trotz einiger Hürden, die sich dem Nutzer in den Weg stellen, hat sich das S/MIME-Protokoll im Laufe der Zeit als robust genug erwiesen, verschiedenen Anforderungsprofilen und Präferenzen innerhalb der Infrastruktur gerecht zu werden. Browser-basierte Web-Clients, Desktop- und Servervarianten sollten an dieser Stelle zusammenarbeiten, auch wenn es ein paar Fallen, insbesondere bei den jeweiligen Einstellungen, zu vermeiden gilt.

Produktentwicklungen und Release-Zyklen sind selten optimal aufeinander abgestimmt, das kann zulasten der Kompatibilität gehen. Die für digitale Signaturen verwendeten Algorithmen, zum Beispiel Hashing, haben sich in den vergangenen Jahren weiterentwickelt (von MD5 zu SHA1 und nun weiter in Richtung SHA2). Das gilt analog für die asymmetrische RSA-Schlüssellänge für Signaturen, die sich von 1024 auf 2048 Bit entwickelt hat. Verschlüsselung hat sich von Triple-DES (3DES) hin zu den verschiedenen AES-Stärken (Advanced Encryption Standard) verändert.

Frust ist indes bei nicht modifizierten E-Mail-Clients unterschiedlichen Alters angesagt, wenn Verfasser und Empfänger ihre Nachrichten nicht entschlüsseln können.

Verschlüsselungsstärke versus Kompatibilität

Fast alle Nutzer von E-Mails-Clients können sowohl den Signaturalgorithmus als auch den Verschlüsselungsalgorithmus festlegen. Bei der Auswahl der Signaturalgorithmen gerät man leicht in Versuchung, automatisch den aktuell stärksten verfügbaren Algorithmus zu nutzen. Im Fall von Outlook 2010 wären das SHA-256 bis SHA-512. Das ist einerseits beruhigend, was die Stärke der Verschlüsselung anbelangt, muss andererseits aber unter Umständen mit Kompatibilitätsproblemen teuer erkauft werden. Auch wenn die Auswahl an zur Verfügung stehenden Algorithmen in älteren Versionen beschränkt ist, heißt das nicht automatisch, dass sie per se unsicher sind. Der Signaturalgorithmus SHA-1 balanciert am besten zwischen universeller Kompatibilität und Stärke des Hash-Algorithmus.

Die zweite Option ist der Verschlüsselungsalgorithmus selbst. Hier sollte möglichst die stärkste mögliche Verschlüsselung verwendet werden. Das war 3DES im Falle älterer Clients und ist AES-256 bei den moderneren Mail-Clients. Das soll jedoch nicht bedeuten, dass die für ältere Mail-Clients zur Verfügung stehenden Verschlüsselungsalgorithmen minderwertig sind. Benutzer sollten nicht an der falschen Stelle panisch reagieren, wenn sie den 3DES-Algorithmus nutzen. Er ist durchaus praktikabel, wenn eine bestimmte Kompatibilität gefragt ist.

Lautet der Bedarf "maximale Sicherheit über einen langen Zeitraum", sollte man sich für den stärksten der verfügbaren Algorithmen entscheiden. Ist es aber das Hauptanliegen, sich kurzfristig eindeutig zu authentifizieren, sind bewährte Algorithmen besser geeignet.

Praktische E-Mail-Sicherheitseinstellungen

Für optimale Kompatibilitätseinstellungen sollten Nutzer von Outlook 2011 für Mac OS X ihre E-Mail-Sicherheitseinstellungen auf SHA-1-Signaturalgorithmus und 3DES-Verschlüsselungsalgorithmus oder für mehr Sicherheit auf AES-256 einstellen. Diese Einstellungen findet man unter Outlook-> Einstellungen-> Konten-> Erweitert-> Registerkarte Sicherheit.

Einstellungssache: Hier definiert der Anwender die digitale Signatur und den Verschlüsselungsalgorithmus.
Einstellungssache: Hier definiert der Anwender die digitale Signatur und den Verschlüsselungsalgorithmus.
Foto: Ben Lightowler

Nutzer von Outlook 2007 finden ihre E-Mail-Sicherheitseinstellungen über Optionen-> Sicherheitscenter-> Registerkarte E-Mail-Sicherheit-> Einstellungen. Wie bei Outlook für Mac sind die empfohlenen Einstellungen der SHA-1-Signaturalgorithmus und der 3DES- Verschlüsselungsalgorithmus:

Richtiges Setting: In dieser Registerkarte lassen sich wichtige Sicherheitseinstellungen für den E-Mail-Versand unter Outlook 2011 für Mac OS X vornehmen.
Richtiges Setting: In dieser Registerkarte lassen sich wichtige Sicherheitseinstellungen für den E-Mail-Versand unter Outlook 2011 für Mac OS X vornehmen.
Foto: Ben Lightowler

Thunderbird-Nutzer werden feststellen, dass ihre E-Mail-Sicherheitseinstellungen an dem Punkt beschränkt sind. Die Option Signatur- und Verschlüsselungsalgorithmen zu ändern ist hier nicht verfügbar.

Gut zu wissen: Nutzer des Mulberry-Mail-Clients finden in dieser Registerkarte die wichtigsten Sicherheitseinstellungen.
Gut zu wissen: Nutzer des Mulberry-Mail-Clients finden in dieser Registerkarte die wichtigsten Sicherheitseinstellungen.
Foto: Ben Lightowler

Mulberry-Mail-Nutzer finden die E-Mail-Sicherheitseinstellungen über Datei-> Einstellungen-> Optionsfeld Erweitert-> Registerkarte Sicherheit. Um eine möglichst hohe Kompatibilität zu erreichen, sollte man darauf achten, dass Use MIME-Multipart Security with PGP markiert ist. Benutzerfreundlicher wird es, wenn Sie die Optionen Verify signed Messages when Opened und Decrypt Messages when Opened anklicken.