E-Mails zu verschlüsseln galt lange Zeit als übertrieben. Doch seit klar ist, dass Geheimdienste sämtliche elektronische Kommunikation verfolgen, hat sich die Stimmung gewandelt. In den vergangenen Wochen habe es sehr viel mehr Zugriffe als gewöhnlich auf Informationen zur Verschlüsselung gegeben, sagt etwa Kei Ishii, Leiter des Portals Verbraucher sicher online.

„Es ist wie beim Brief und der Postkarte“, erklärt Frank Timmermann vom Institut für Internet-Sicherheit: „Unverschlüsselte Mails sind die Postkarte, die Verschlüsselung ist der Briefumschlag.“ Es gebe eigentlich keinen Grund, nicht zu verschlüsseln. Das habe nichts mit Geheimniskrämerei zu tun, sondern mit „der Wahrung unserer Rechte“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Verschlüsselungs-Anleitung.

Beim Verschlüsseln ist ein Verfahren namens Public Key Infrastructure (PIK) gebräuchlich: Mit einem öffentlichen Schlüssel wird ver- und mit einem privaten Schlüssel entschlüsselt. Den öffentlichen Schlüssel könne man sich als geöffnetes Schloss vorstellen, mit dem jeder einen Briefkasten mit einem Brief für einen Empfänger verschließen kann, erklärt das BSI. Geöffnet werden kann der Briefkasten nur mit dem privaten Schlüssel. Der öffentliche Schlüssel wird auf einem sogenannten Schlüsselserver abgelegt, wo ihn jeder einsehen und zum Verschlüsseln einer Mail nutzen kann. Der private Schlüssel liegt mit einem Passwort gesichert auf dem Rechner.

Grundsätzlich gibt es zwei untereinander inkompatible Standards für E-Mail-Verschlüsselung: OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions). S/MIME arbeitet mit Schlüsseln, die von Zertifizierungsstellen, sogenannten Trustcentern, vergeben werden und meist Geld kosten. Auch deshalb ist unter Privatnutzern das kostenlose OpenPGP verbreiteter. Hiermit kann sich jeder in kürzester Zeit selbst seine Schlüssel erstellen. Zum Einsatz kommt OpenPGP etwa in Gpg4win für Outlook (Windows), Enigmail für Thunderbird (Windows/Mac OS/Linux) oder GPGTools (Mac OS).

Auch bei beliebigen Webmail-Diensten wie Gmail, Yahoo, Outlook.com oder GMX muss man nicht auf Verschlüsselung verzichten. Hier können Add-ons verschlüsseln, etwa Mailvelope, das für Chrome zur Verfügung steht und für Firefox noch entwickelt wird. Wer seine Mails auf dem Smartphone verschlüsseln will, muss sich in den zum Betriebssystem gehörigen App-Shop etwas umsehen. Für Android-Handys gibt es etwa den Android Privacy Guard (APG), für iPhones zum Beispiel iPGMail.

Neben dem für eine konsequente Verschlüsselung aufwendigen Einrichten mehrerer Geräte ist das bislang größte Problem, dass die Kryptografie wohl auch unter den eigenen Kontakten kaum verbreitet ist. „Es fehlt der Netzwerkeffekt“, sagt Kei Ishii. „Wenn man es selbst umsetzt, dann ist oft keiner da, mit dem man kommunizieren kann.“ Doch das Einrichten lohne sich: Man kann vor jedem Senden entscheiden, ob die Mail verschlüsselt werden soll oder nicht.