Wenn Sie jemals auf den Seiten von Diensten wie Proton Mail oder Tuta, haben Sie wahrscheinlich schon Begriffe wie „Ende-zu-Ende-Verschlüsselung“, „Zero-Knowledge-Architektur“ oder „Verschlüsselung im Ruhezustand“ kennengelernt. Das klingt beeindruckend, aber was bedeutet das eigentlich? Und was noch wichtiger ist: Müssen Sie sich als normaler Nutzer überhaupt Gedanken darüber machen?
In diesem Artikel werden die wichtigsten Konzepte für sichere E-Mails in einfacher Sprache erläutert. Keine tiefgehenden kryptografischen Ausführungen, sondern eine klare Erklärung, was mit Ihrer Nachricht passiert, von dem Moment, in dem Sie auf „Senden“ klicken, bis zu dem Moment, in dem der Empfänger sie liest.
Wie normale E-Mails funktionieren (und warum sie ein Problem sind)
Beginnen wir mit den Grundlagen. Klassische E-Mail - Google Mail, Outlook, List - funktioniert im Prinzip ähnlich wie eine Postkarte. Sie schreiben einen Text, werfen ihn in den Briefkasten, und er reist über mehrere Transportknoten zum Empfänger. Wer ihn unterwegs abholt, kann lesen, was Sie geschrieben haben.
Natürlich handhaben moderne E-Mail-Server dies besser als die Post - die meisten verwenden jetzt zumindest eine grundlegende Übertragungsverschlüsselung (TLS). Aber das ist nur ein Teil der Geschichte. Um zu verstehen, wo Ihre E-Mails verwundbar sein könnten, müssen Sie zwischen den drei grundlegenden Zuständen unterscheiden, in denen sich die Daten befinden: Übertragung, Speicherung und Endpunkte.
Verschlüsselung im Transit
Wenn Sie eine E-Mail von Google Mail an Outlook senden, wird die Nachricht über das Internet zwischen Mailservern übertragen. Verschlüsselung bei der Übertragung - Englisch Verschlüsselung im Transit - schützt die Nachricht während dieser Reise. Die Standardtechnologie ist hier TLS (Transport Layer Security), der Nachfolger des älteren SSL.
TLS funktioniert wie ein Sicherheitstunnel zwischen zwei Servern. Stellen Sie sich einen gepanzerten Wagen vor, der ein Paket von Postamt A zu Postamt B transportiert. Niemand, der am Straßenrand steht, kann hineinsehen. Das Problem ist, dass der Panzerwagen, sobald das Paket bei Postamt B angekommen ist, wegfährt und das Paket ungeschützt auf dem Tisch liegt.
Genau so funktioniert TLS bei E-Mails. Es schützt die Nachricht während der Übertragung, aber sobald sie den Server des Anbieters erreicht, wird sie entschlüsselt und in einer lesbaren Form gespeichert. Ihr Anbieter - Google, Microsoft, List - kann sie lesen. Und das tut er auch, zumindest für die Indizierung, die Suche und (im Fall von Google in der Vergangenheit) für gezielte Werbezwecke.
Wichtig ist auch, dass TLS die Mitarbeit beider Parteien erfordert. Wenn der Absender TLS verwendet, der Server des Empfängers aber nicht, wird die Nachricht ungeschützt übertragen. Glücklicherweise unterstützen die meisten großen Anbieter im Jahr 2025 TLS, aber das ist keine 100%ige Garantie.
Was TLS schützt: Nachrichteninhalt während der Übertragung zwischen Servern, Schutz gegen Abhören im Netz.
Was TLS nicht schützt: den Inhalt der Nachricht auf den Servern des Anbieters, Metadaten (Absender, Empfänger, Betreff), die in Ihrer Mailbox gespeicherten Nachrichten.
Verschlüsselung im Ruhezustand
Jetzt kommen wir zum zweiten Zustand. Ihre E-Mail war nicht die meiste Zeit unterwegs, sondern befand sich auf dem Server - in Ihrem Posteingang, Postausgang oder Archiv. Verschlüsselung im Ruhezustand - Verschlüsselung im Ruhezustand - schützt Daten in diesem Zustand, d. h. wenn sie auf der Festplatte gespeichert sind.
Stellen Sie sich das wie einen Banktresor vor. Ihre Wertsachen sind sicher, solange der Tresor verschlossen ist. Die meisten großen Anbieter verschlüsseln die Daten auf ihren Servern - Google Mail verwendet AES-256, Microsoft in ähnlicher Weise. Das bedeutet, dass jemand, der ein Laufwerk von Googles Server stiehlt, die Daten nicht lesen könnte.
Aber es gibt einen großen Haken: die Bank hat den Schlüssel zum Tresorraum, nicht Sie.. Google besitzt die Verschlüsselungsschlüssel für alle Ihre E-Mails. Das bedeutet, dass Google technisch gesehen Ihre E-Mails lesen kann. Und wenn es einen Gerichtsbeschluss erhält, muss es sie herausgeben - in entschlüsselter Form.
Die Verschlüsselung im Ruhezustand schützt also vor physischem Diebstahl von Servern oder unbefugtem Zugriff von außen, aber sie schützt Sie nicht vor dem Anbieter selbst oder vor an den Anbieter gerichteten behördlichen Anfragen.
Was die Verschlüsselung im Ruhezustand schützt: Daten im Falle eines physischen Angriffs auf Server, eines Festplattenlecks oder eines unbefugten Zugriffs auf die Infrastruktur.
Was die Verschlüsselung im Ruhezustand nicht schützt: Daten vor dem Provider, der im Besitz der Schlüssel ist, Daten aufgrund von Gerichtsbeschlüssen, Inhalte von Nachrichten zu Indizierungs- und Werbezwecken.
Ende-zu-Ende-Verschlüsselung (E2EE)
Und jetzt kommt das Konzept, mit dem die Sicherheitsdienste locken: Ende-zu-Ende-Verschlüsselung, oder E2EE (Ende-zu-Ende-Verschlüsselung). Dies ist ein qualitativ anderes Schutzniveau.
Das Prinzip ist einfach: Die Nachricht wird auf Ihrem Gerät verschlüsselt, bevor sie Ihren Computer oder Ihre Festplatte verlässt. Telefon, und bleibt auf dem gesamten Weg verschlüsselt - während der Übertragung und auf dem Server des Anbieters. Sie kann nur vom Empfänger auf dessen Gerät entschlüsselt werden. Niemand dazwischen - nicht einmal der Dienstanbieter - hat den Schlüssel, um sie zu lesen.
Wir kehren zur Analogie des Postamtes zurück: Diesmal verschickt man keine Postkarte und legt sie auch nicht in einen gepanzerten Wagen. Stattdessen schließt man sie in ein Fach ein, zu dem nur der Empfänger einen Schlüssel hat. Der gepanzerte Wagen transportiert sie zwar immer noch (TLS), aber selbst wenn der Fahrer den Briefkasten öffnen würde, würde er nur ein unlesbares Geräusch vorfinden.
Technisch funktioniert es nach dem Prinzip asymmetrische Kryptographie - des Zwei-Schlüssel-Systems. Jeder Nutzer hat einen öffentlichen Schlüssel (den er mit jedem teilen kann) und einen privaten Schlüssel (der sein Gerät nie verlässt). Wenn Ihnen jemand eine verschlüsselte Nachricht senden möchte, verschlüsselt er sie mit Ihrem öffentlichen Schlüssel. Sie können sie dann nur mit Ihrem privaten Schlüssel entschlüsseln.
Was E2EE schützt: den Inhalt der Nachricht während ihrer gesamten Existenz - während der Übertragung, auf dem Server, im Archiv. Auch der Diensteanbieter hat keinen Zugriff auf den Inhalt.
Was E2EE normalerweise nicht schützt: Metadaten - wer schreibt an wen, wann, wie oft. Bei den meisten Diensten bleibt der Betreff der E-Mail unverschlüsselt (die Ausnahme ist Tuta, das auch den Betreff verschlüsselt).
Zero-knowledge / Zero-access Architektur
Dieses Konzept ist eng mit E2EE verwandt, aber es ist nicht dasselbe. Eine Zero-Knowledge- (oder Zero-Access-) Architektur bedeutet, dass der Dienstanbieter keinen Zugriff auf Ihre entschlüsselten Daten hat. Nicht nur auf Ihre E-Mails, sondern auch auf Ihren Kalender, Ihre Kontakte und Ihre Dateien.
Der entscheidende Unterschied: Bei der herkömmlichen Verschlüsselung im Ruhezustand besitzt der Anbieter die Verschlüsselungsschlüssel. Bei einer Zero-Knowledge-Architektur wird der Schlüssel von Ihrem Kennwort abgeleitet und der gesamte Ver- und Entschlüsselungsprozess findet auf Ihrem Gerät statt. Der Anbieter sieht Ihr Passwort nie in lesbarer Form und hat keine Möglichkeit, Ihre Daten zu entschlüsseln.
Proton The Mail beschreibt dies als „Null-Zugriffs-Verschlüsselung“ - selbst wenn Sie eine unverschlüsselte E-Mail von Gmail erhalten, wird sie von Proton mit Ihrem öffentlichen Schlüssel neu verschlüsselt, wenn Sie sie auf dem Server speichern. Von diesem Zeitpunkt an kann selbst Proton sie nicht mehr lesen. Tuta geht sogar noch weiter - es verschlüsselt praktisch alles clientseitig (auf Ihrem Gerät): E-Mail-Inhalte, Betreffe, Kontakte, Kalenderereignisse und sogar Push-Benachrichtigungen über bevorstehende Ereignisse.
Der Vorteil liegt auf der Hand: Selbst wenn der Anbieter einen Gerichtsbeschluss erhält, kann er die Daten nicht in lesbarer Form herausgeben, weil er sie einfach nicht hat.
Der Nachteil liegt ebenfalls auf der Hand: Wenn Sie Ihr Passwort vergessen, sind Ihre Daten unwiederbringlich verloren. Es gibt kein „Passwort-Reset“ im herkömmlichen Sinne, da der Anbieter keinen Zugriff auf Ihren Verschlüsselungsschlüssel hat.
PGP und S/MIME: zwei Standards, ein Auftrag
Wenn wir über E2EE für E-Mail sprechen, gibt es zwei Haupttechnologien im Hintergrund: PGP a S/MIME. Beide werden zur Verschlüsselung von E-Mail-Inhalten und zum digitalen Signieren von Nachrichten verwendet, aber sie gehen das Problem von entgegengesetzten Seiten an.
PGP (Pretty Good Privacy)
PGP wurde 1991 von Phil Zimmermann entwickelt und ist für technisch versierte Benutzer ein Synonym für verschlüsselte E-Mail-Kommunikation. Es verwendet ein Modell namens Netz des Vertrauens - Ein dezentralisiertes System, bei dem die Benutzer ihre Identitäten und Schlüssel gegenseitig authentifizieren. Es wird keine zentrale Behörde benötigt.
Heute ist die offene Variante gebräuchlich OpenPGP, die von Haus aus unterstützt wird, zum Beispiel von Donnervogel. Intern verwendet Proton Mail auch PGP (speziell OpenPGP), um Nachrichten zwischen Proton-Benutzern zu verschlüsseln, und ermöglicht den Austausch von PGP-Schlüsseln mit externen Kontakten.
Die Vorteile von PGP sind Unabhängigkeit von einer Behörde, offener Code und starke Kryptographie. Der Nachteil ist die historisch bedingte komplexe Schlüsselverwaltung - Schlüsselerzeugung, -verteilung, -authentifizierung. Für den Durchschnittsnutzer war dies schon immer ein großer Stolperstein.
S/MIME (Secure/Multipurpose Internet Mail Extensions)
S/MIME verwendet Zertifikate, die von Zertifizierungsstellen (CAs) ausgestellt werden - ähnlich wie HTTPS-Zertifikate für Websites. Es ist direkt in Outlook integriert, Apfel Mail und andere Firmenkunden. Die Bereitstellung ist einfacher, da die Zertifikatsverwaltung zentral von der IT-Abteilung verwaltet werden kann.
Der Nachteil ist die Abhängigkeit von der Vertrauenswürdigkeit der CAs (wenn die CA kompromittiert ist, ist die gesamte Vertrauenskette kompromittiert) und die Notwendigkeit einer regelmäßigen Zertifikatserneuerung, die mit Kosten verbunden ist.
Welches soll man wählen?
Für den durchschnittlichen Benutzer ist diese Entscheidung heute weitgehend akademisch. Wenn Sie Proton Mail oder Tuta verwenden, läuft die Verschlüsselung automatisch im Hintergrund und Sie müssen sich nicht mit PGP oder S/MIME befassen. Wenn Sie in einer Unternehmensumgebung mit Outlook verschlüsselt kommunizieren müssen, ist S/MIME die bessere Wahl. Wenn Sie maximale Kontrolle und Unabhängigkeit wünschen, bietet Ihnen PGP mit Thunderbird genau das.
Es ist wichtig zu wissen, dass PGP und S/MIME nicht miteinander kompatibel sind - Sie können keine PGP-verschlüsselte E-Mail an jemanden, der nur S/MIME verwendet, und umgekehrt. Und beide Standards verschlüsseln nur den Nachrichtentext und die Anhänge, nicht aber Metadaten wie Absender, Empfänger und (in den meisten Fällen) den Betreff.
Metadaten: Was bei der Verschlüsselung oft nicht beachtet wird
Metadaten sind Informationen o den Bericht, nicht den Bericht selbst. Wer schreibt an wen, wann, von welcher IP-Adresse, mit welchem Betreff. Und Metadaten sind die Achillesferse selbst von verschlüsselten E-Mail-Diensten.
Warum ist das wichtig? Denn auch ohne den Inhalt Ihrer E-Mails zu lesen, lässt sich anhand der Metadaten ein erstaunlich detailliertes Profil erstellen: mit wem Sie kommunizieren, wie oft, zu welchen Zeiten, zu welchen Themen (wenn die Betreffzeile unverschlüsselt ist). Im Zeitalter von KI und maschinellem Lernen ist die Analyse von Metadaten ein immer leistungsfähigeres Werkzeug.
Die meisten E2EE-Dienste verschlüsseln die Metadaten nicht vollständig. Proton Mail verschlüsselt den Inhalt, aber die Betreffzeilen eingehender Nachrichten von externen Absendern bleiben lesbar (bei Nachrichten zwischen Proton-Nutzern sind sie verschlüsselt). Tuta ist in dieser Hinsicht aggressiver - es verschlüsselt auch die Betreffzeile für alle Nachrichten und führt Suchvorgänge lokal auf dem Gerät durch, so dass die Server Ihre Suchanfragen nie sehen.
Aber selbst Tuta kann nicht vollständig verbergen, wer wem E-Mails schickt - das ist eine grundlegende Einschränkung des E-Mail-Protokolls. Der Server muss wissen, wohin er die Nachricht zuzustellen hat. Wenn Sie auch nur diese Metadaten verbergen müssen, ist E-Mail wahrscheinlich nicht das richtige Werkzeug. Boten als Signal oder Sitzung.
SPF, DKIM und DMARC: Schutz vor Betrug
Diese drei Abkürzungen haben nichts mit der Verschlüsselung von Inhalten zu tun, sondern betreffen ein anderes grundlegendes Problem: Überprüfung der Identität des Absenders. Mit anderen Worten: Hat die Person, die er vorgibt zu sein, Ihnen die E-Mail wirklich geschickt?
SPF (Sender Policy Framework)
SPF ist im Grunde eine Liste der erlaubten Server für die Domäne. Wenn Sie die Domäne firma.cz besitzen, erstellen Sie einen DNS-Eintrag, der besagt: „Nur die Server A, B und C dürfen E-Mails von firma.cz senden.“ Wenn eine E-Mail von firma.cz von Server D kommt, weiß der Server des Empfängers, dass etwas nicht stimmt.
DKIM (DomainKeys Identified Mail)
DKIM fügt jeder gesendeten E-Mail eine digitale Signatur hinzu. Der Server des Absenders signiert die Nachricht mit seinem privaten Schlüssel, und der Server des Empfängers prüft die Signatur anhand des im DNS veröffentlichten öffentlichen Schlüssels. Damit wird bestätigt, dass die Nachricht auf dem Weg nicht verändert wurde und wirklich von der angegebenen Domäne stammt.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC fasst SPF und DKIM in einer einzigen Einheit zusammen und fügt Regeln hinzu: was der Empfängerserver tun soll, wenn die Authentifizierung der Nachricht fehlschlägt. Es gibt drei Möglichkeiten: normale Zustellung, Quarantäne (Spam) oder vollständige Ablehnung. DMARC generiert auch Reverse Reports, so dass der Domänenbesitzer sehen kann, wer versucht, seine Domäne zu missbrauchen.
Ab 2024 verlangen sowohl Gmail als auch Yahoo von Massenversendern ordnungsgemäß konfigurierte SPF, DKIM und DMARC. Dies ist ein wichtiger Schritt, aber keine vollständige Lösung - SPF und DKIM schützen nicht den Anzeigenamen des Absenders (nur die technische Adresse in der Kopfzeile), und DMARC funktioniert nur, wenn es richtig eingerichtet ist.
Diese Technologien schützen Sie als normalen Benutzer im Hintergrund, ohne dass Sie davon wissen müssen. Wenn Sie jedoch Ihre eigene Domäne betreiben und von dort aus E-Mails versenden, ist die Einrichtung von SPF, DKIM und DMARC jetzt praktisch obligatorisch.
Post-Quantum-Verschlüsselung: Vorbereitung auf die Zukunft
Ein relativ neues Konzept, das sich allmählich im Zusammenhang mit sicheren E-Mails herauskristallisiert. Die derzeitigen Verschlüsselungsalgorithmen (RSA, ECC) sind gegenüber den heutigen Computern sicher, aber theoretisch anfällig für künftige Quantencomputer, die große Zahlen um Größenordnungen schneller berechnen könnten.
Das Prinzip „jetzt ernten, später entschlüsseln“ bedeutet, dass ein Angreifer - in der Regel eine Regierungsbehörde - verschlüsselte Kommunikation heute abfangen und in der Erwartung speichern kann, dass sie in fünf, zehn oder zwanzig Jahren von einem Quantencomputer entschlüsselt wird.
Tuta zuerst E-Mail-Dienst Einsatz im Jahr 2024 Post-Quantum-Verschlüsselung (ein hybrides Verfahren, das klassische und quantenresistente Algorithmen kombiniert) als Standardfunktion für alle Benutzer. Proton Mail folgt seinem eigenen Implementierungsplan.
Für die meisten Mainstream-Nutzer ist die Post-Quantum-Verschlüsselung im Jahr 2025 eher eine akademische Angelegenheit. Aber wenn Sie mit Informationen arbeiten, die auch in zehn Jahren noch vertraulich sein sollen, sollten Sie das Thema nicht ausklammern.
Praktischer Vergleich: Was verschlüsseln die verschiedenen Anbieter tatsächlich?
Um eine bessere Vorstellung zu bekommen, fassen wir kurz zusammen, was die gängigsten E-Mail-Dienste bieten:
Gmail/Outlook/Liste - Verschlüsselung bei der Übertragung (TLS) und Verschlüsselung im Ruhezustand auf den Servern des Anbieters. Der Anbieter besitzt die Schlüssel und kann die Inhalte lesen. Gmail hat in der Vergangenheit Inhalte für gezielte Werbung analysiert (seit 2017 werden E-Mail-Inhalte offiziell nicht mehr für Werbung gescannt, die Daten werden aber weiterhin für andere Zwecke verarbeitet). Keine E2EE in der Standardkonfiguration.
Proton Mail - TLS bei der Übertragung, Zero-Access-Verschlüsselung im Ruhezustand (Proton hat keinen Zugriff auf die Schlüssel), vollständige E2EE zwischen Proton-Benutzern, PGP-Unterstützung für externe Kontakte. Möglichkeit, passwortgeschützte E-Mails an jeden zu senden. Hauptsitz in der Schweiz (strenge Datenschutzgesetze Privatsphäre). Offene Quelle, unabhängig geprüft.
Tuta - Benutzerdefiniertes Verschlüsselungsprotokoll (verwendet nicht PGP), E2EE für interne Kommunikation, Verschlüsselung aller Nachrichteninhalte, Verschlüsselung von Kalender, Kontakten und Push-Benachrichtigungen. Post-Quantum-Verschlüsselung als Standard ab 2024. Hauptsitz in Deutschland. Nachteil: keine IMAP/SMTP-Unterstützung - man muss ausschließlich Tuto-Clients verwenden.
Mailfence - PGP-Kompatibilität, S/MIME-Unterstützung, IMAP/SMTP-Zugang. Hauptsitz in Belgien. Bietet Verschlüsselung und Produktivitätstools (Kalender, Dokumente). Ein Kompromiss zwischen Sicherheit und Praktikabilität.
StartMail - PGP-Unterstützung, unbegrenzte Aliasnamen, IMAP/SMTP. Der Hauptsitz befindet sich in den Niederlanden. Zero-knowledge ist nicht standardmäßig eingestellt - erfordert manuelle PGP-Konfiguration.
Müssen Sie sich damit befassen?
Und nun zum Kern der Frage. Es kommt darauf an, wer Sie sind und was Sie posten.
Normaler Nutzer, persönliche Mitteilung
Wenn Sie Nachrichten wie „Kommen Sie um 18 Uhr zum Essen“ oder einen Urlaub besprechen, sind Sie mit Standard-Gmail oder Outlook mit TLS ausreichend geschützt. Die größte praktische Bedrohung für Sie ist nicht das Abhören Ihres Netzwerks, sondern ein schwaches Passwort, Phishing, oder durch Klicken auf einen gefälschten Link. Hier helfen Ihnen eher die Zwei-Faktor-Authentifizierung und der gesunde Menschenverstand als E2EE.
Datenschutzbewusster Benutzer
Wenn Sie sich grundsätzlich daran stören, dass Google Ihre E-Mails zum Zwecke der Profilerstellung liest, ist ein Wechsel zu Proton Mail oder Tuta auch ohne akutes Sicherheitsbedürfnis sinnvoll. Es geht nicht nur um Paranoia - es geht darum zu entscheiden, wer Zugriff auf Ihre Daten hat. Die Basiskonten für beide Dienste sind kostenlos, es kostet also nichts, sie auszuprobieren.
Professioneller Umgang mit sensiblen Daten
Wenn Sie Psychologe, Arzt, Rechtsanwalt, Journalist oder jemand sind, der regelmäßig vertrauliche Informationen weitergibt, sollte E2EE der Standard sein. Dabei geht es nicht nur um Ethik - in vielen Rechtsordnungen gibt es Vorschriften wie GDPR Die Verpflichtung, angemessene technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Verschlüsselte E-Mail ist eine davon.
Aktivist, Journalist, Dissident
Wenn Ihre Mitteilung Folgen für Ihr Unternehmen haben kann Sicherheit oder die Sicherheit Ihrer Ressourcen, reicht E2EE nicht aus. Sie brauchen einen Zero-Knowledge-Service, Metadatenverschlüsselung (Tuta), idealerweise Zugriff über Tor, und konsistente Betriebssicherheit. E-Mail ist im Allgemeinen kein ideales Medium für hochsensible Kommunikation - ziehen Sie Signal oder ähnliche Messenger mit minimalem Metadaten-Fußabdruck in Betracht.
Glossar: ein schneller Überblick über die Begriffe
Zur schnellen Orientierung fassen wir die wichtigsten Begriffe zusammen:
TLS (Transport Layer Security) - verschlüsselt die Daten während der Übertragung zwischen Servern. Standard für normale E-Mails. Schützt vor Abhören im Netzwerk, aber nicht auf den Servern.
Verschlüsselung im Ruhezustand - schützt die auf den Serverfestplatten gespeicherten Daten. Ohne Zero-Access verfügt der Anbieter über die Schlüssel.
E2EE (End-to-End-Verschlüsselung) - die Nachricht wird auf dem Gerät des Absenders verschlüsselt und auf dem Gerät des Empfängers entschlüsselt. In der Zwischenzeit hat niemand Zugriff auf den Inhalt.
Null-Wissen / Null-Zugang - der Anbieter hat keinen Zugriff auf Ihre entschlüsselten Daten. Der Verschlüsselungsschlüssel wird von Ihrem Passwort abgeleitet und verlässt niemals Ihr Gerät.
PGP (Pretty Good Privacy) / OpenPGP - ein Standard für E2EE-E-Mail, der auf asymmetrischer Kryptographie und einem dezentralen Vertrauensmodell basiert.
S/MIME - ein Standard für E2EE-E-Mail, der auf Zertifikaten von Zertifizierungsstellen basiert. Üblich in Unternehmensumgebungen.
Asymmetrische Kryptographie - ein Zwei-Schlüssel-System: öffentlich (zur Verschlüsselung) und privat (zur Entschlüsselung). Die Grundlage von PGP, S/MIME und den meisten E2EE-Systemen.
Metadaten - Informationen über die Nachricht (Absender, Empfänger, Zeit, Betreff), nicht den Inhalt der Nachricht. Die meisten E2EE-Lösungen verschlüsseln die Metadaten nicht vollständig.
SPF - Ein DNS-Eintrag, der festlegt, welche Server für eine bestimmte Domäne E-Mails versenden dürfen.
DKIM - eine digitale Signatur der E-Mail, die belegt, dass die Nachricht nicht verändert wurde und von der angegebenen Domäne stammt.
DMARC - Eine Richtlinie, die festlegt, was mit E-Mails geschieht, deren SPF/DKIM-Authentifizierung fehlschlägt.
Post-Quantum-Verschlüsselung - kryptografische Algorithmen, die Angriffen von Quantencomputern widerstehen sollen.
Sicherheit ist ein Spektrum, nicht ein Schalter
E-Mail-Sicherheit ist kein binärer Zustand - „sicher“ oder „unsicher“. Es handelt sich um ein Spektrum, bei dem jede Schutzschicht etwas Zusätzliches bietet. TLS ist die Grundlage, die überall vorhanden sein sollte (und im Jahr 2025 meist auch ist). Die Verschlüsselung im Ruhezustand schützt vor physischen Angriffen auf die Infrastruktur. E2EE schützt vor allem, auch vor dem Provider. Und die Zero-Knowledge-Architektur vervollständigt E2EE.
Für die meisten Menschen ist der wichtigste Schritt pragmatisch: ein sicheres und eindeutiges Passwort, Zwei-Faktor-Authentifizierung und ein gesundes Misstrauen gegenüber verdächtig aussehenden E-Mails. Dies wird Sie vor 95 % echten Bedrohungen schützen.
Aber wenn Sie mit sensiblen Daten arbeiten, wenn Ihnen der Grundsatz wichtig ist, wer Zugang zu Ihren Informationen hat, oder wenn Sie einfach nicht das Produkt eines Werbemodells sein wollen - der Wechsel zu einem verschlüsselten E-Mail-Dienst ist im Jahr 2025 einfacher und billiger denn je. Und es ist definitiv nicht nur etwas für Paranoiker.
Čeština
English
Deutsch
Español
Français