E-Mails wirken vertraulich, jedoch sind sie es technisch nur eingeschränkt. Ohne zusätzliche Maßnahmen lassen sich Inhalte unterwegs mitlesen oder verändern. Deshalb ist es wichtig zu verstehen, welche Art von Schutz es bei E-Mails gibt und was genau verschlüsselt wird.
E-Mail-Verschlüsselung: Das Wichtigste in Kürze
- E-Mail-Inhalte sind ohne zusätzliche Maßnahmen nicht geschützt. Die Verschlüsselung verhindert, dass Unbefugte mitlesen können.
- Es gibt zwei Hauptstandards für verschlüsselte E-Mails: S/MIME (geeignet für Outlook/Microsoft 365) und PGP (für Thunderbird oder mehrere Betriebssysteme).
- TLS sichert nur den Übertragungsweg. Ende-zu-Ende-Verschlüsselung schützt den tatsächlichen Inhalt und die Anhänge.
- Ist die E-Mail verschlüsselt, sind auch alle Anhänge automatisch geschützt.
- Mitarbeiter müssen Verschlüsselung nicht manuell auswählen, sie kann übergeordnet eingerichtet und automatisiert werden.
- Externe Empfänger ohne S/MIME oder PGP erhalten sensible Dokumente am besten über geschützte Links oder Dateiportale.
Welche Arten von E-Mail-Verschlüsselung gibt es?
Für die Verschlüsselung von E-Mails werden die Transportverschlüsselung (TLS) und die Ende-zu-Ende-Verschlüsselung (E2E) unterschieden.
- Transportverschlüsselung (TLS): Ist der Schutz „auf dem Weg“ zwischen den Mailservern. Sie funktioniert automatisch im Hintergrund. Der Schutz endet jedoch nach der Ankunft der E-Mail auf dem Server des Empfängers.
- Ende-zu-Ende-Verschlüsselung (E2E): Hierbei wird die Nachricht direkt beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Nur Sender und Empfänger können den Inhalt lesen. Die Methode ist in der Einrichtung etwas aufwendiger, da Schlüssel oder Zertifikate nötig sind.
Wann werden die Verschlüsselungsmethoden für E-Mails eingesetzt?
Verschlüsselungsmethoden für E-Mails werden immer dann eingesetzt, wenn Inhalte vor unbefugtem Zugriff geschützt werden müssen. Für Unternehmen ist das besonders relevant, weil per E-Mail täglich sensible Informationen versendet werden, etwa Kundendaten, Angebote, Verträge, Personalunterlagen oder interne Abstimmungen.
Typische Anwendung der Transportverschlüsselung TLS
TLS bietet einen Basisschutz für viele alltägliche Nachrichten. Für unkritische Inhalte ist das völlig ausreichend.
- allgemeine organisatorische Kommunikation
- Termine, Abstimmungen, einfache Angebotsanfragen
- interne Kommunikation innerhalb von Cloud-Umgebungen (z. B. Microsoft 365, Google Workspace)
Typische Anwendung der Ende-zu-Ende-Verschlüsselung E2E
Sobald Inhalte vertraulich, personenbezogen oder wirtschaftlich relevant sind, sollte eine Ende-zu-Ende-Verschlüsselung eingesetzt werden.
- Kundendaten, Vertragsunterlagen oder Projektdetails
- Gehaltsinformationen, Bewerbungsunterlagen, HR-Themen
- Kommunikation mit externen Dienstleistern, die selbst stark reguliert sind (z. B. Steuerberater, Anwälte, Gesundheits- und Sozialdienste)
Welche Verschlüsselungsstandards eignen sich für mein Unternehmen?
Für die Verschlüsselung von E-Mails haben sich zwei Standards durchgesetzt: S/MIME und PGP. Beide schützen Inhalte grundlegend zuverlässig, unterscheiden sich jedoch in der Bedienung, Verwaltung und typischen Anwendung.
S/MIME als Standard für viele Unternehmens- und Outlook-Umgebungen
S/MIME funktioniert mithilfe von Zertifikaten, die einer Person eindeutig zugeordnet sind. Dadurch lässt sich verschlüsseln und zuverlässig signieren.
Vorteile für Unternehmen:
- In Outlook und Microsoft 365 oft am einfachsten umzusetzen
- klare Identitätsprüfung durch persönliche Zertifikate
- gut geeignet für Mitarbeiter, die viel extern kommunizieren
PGP/OpenPGP: weit verbreitet, in Verbindung mit Thunderbird
PGP basiert auf einem Schlüsselpaar (privater + öffentlicher Schlüssel). Es arbeitet unabhängig davon, welche Software oder welches Betriebssystem genutzt wird.
Vorteile für Unternehmen:
- sehr weit verbreitet
- einfach in Thunderbird nutzbar, auch ohne zusätzliche Software
- Für Betriebe, in denen Mitarbeiter Windows, macOS und/oder Linux gemischt einsetzen
Wie setze ich eine E-Mail-Verschlüsselung in meinem Unternehmen ein?
Eine E-Mail-Verschlüsselung sollte einmal eingerichtet und danach automatisch für alle Mitarbeiter verfügbar sein. Damit sorgst du dafür, dass vertrauliche Inhalte geschützt sind, ohne dass jeder im Team selbst entscheiden oder technische Schritte ausführen muss.
Schritt 1: Festlegen, welche Mitarbeiter Verschlüsselung benötigen
In fast jedem Unternehmen gibt es bestimmte Positionen, die regelmäßig vertrauliche Informationen versenden:
- Geschäftsführung
- Buchhaltung oder Lohnabrechnung
- Vertrieb und Kundenbetreuung
- Personalabteilung
- Projektleitung oder technische Fachabteilungen
- jeder, der regelmäßig mit externen Dienstleistern kommuniziert (z. B. Steuerberater, Anwalt, IT-Dienstleister)
Diese Rollen werden anschließend standardmäßig für Verschlüsselung ausgestattet, damit jeder Mitarbeiter geschützt arbeiten kann, ohne darüber nachzudenken.
Schritt 2: Verschlüsselung für alle relevanten Mitarbeiter einmalig einrichten
- S/MIME-Zertifikat oder PGP-Schlüsselpaar für jeden betroffenen Mitarbeiter erstellen
- im jeweiligen Mailprogramm hinterlegen (Outlook, Thunderbird usw.)
- die wichtigsten externen Kommunikationspartner einbinden
- kurze Funktionsprüfung durchführen
Schritt 3: Festlegen, wie vertrauliche Inhalte versendet werden
Deine IT stellt die Verschlüsselung so ein, dass anschließend jeder Mitarbeiter alle E-Mails sicher versenden kann. Das geht über:
Client-Einstellungen (Outlook/Thunderbird)
- Standard: immer signieren
- Optional: immer verschlüsseln, wenn ein Schlüssel/Zertifikat für den Empfänger vorhanden ist
- Dein Mitarbeiter merkt davon wenig: Er schreibt seine Mail, klickt auf „Senden“ und der E-Mail-Client entscheidet anhand der vorhandenen Schlüssel.
Zentrale Gateways/Security-Lösungen:
Mails werden beim Hinausgehen über ein Gateway geschickt (z. B. Appliance oder Cloud-Dienst). Dort greifen Regeln, zum Beispiel:
- „Alle Mails an bestimmte Domains immer verschlüsseln“
- „Mails mit bestimmten Stichwörtern/Klassifizierungen verschlüsseln“
- Dein Mitarbeiter sendet wie gewohnt. Das System prüft Inhalt und Empfänger und entscheidet automatisch.
Wir setzen
deine E-Mail-Verschlüsselung für dich auf
- Auswahl der passenden Verschlüsselung
- Einrichtung in deinem System
- Rundum-Sorglos-Service
Wie richte ich eine E-Mail-Verschlüsselung in Outlook, Thunderbird und Gmail ein?
E-Mail-Verschlüsselung wird in den gängigen Mailprogrammen eingerichtet, indem entweder ein persönliches S/MIME-Zertifikat oder ein PGP-Schlüsselpaar hinterlegt wird. Sobald diese Grundlage vorhanden ist, können Outlook, Thunderbird oder Gmail verschlüsselte Nachrichten automatisch oder per Klick versenden.
Outlook: S/MIME einrichten
Outlook unterstützt S/MIME direkt und ohne Zusatzsoftware. Für Unternehmen mit Microsoft-365 ist das der naheliegende Weg.
- Persönliches S/MIME-Zertifikat bereitstellen: Das Zertifikat wird entweder vom Administrator ausgestellt oder bei einem vertrauenswürdigen Anbieter gekauft.
- Zertifikat im System installieren: Doppelklick → importieren → persönlicher Zertifikatsspeicher.
- S/MIME in Outlook aktivieren: In den Einstellungen „E-Mail-Sicherheit“ auswählen und das Zertifikat für Signatur und Verschlüsselung festlegen.
- Testmail senden: Zuerst signieren, dann testweise verschlüsseln, z. B. an einen Kollegen, der ebenfalls ein Zertifikat besitzt.
Nach der Einrichtung kann Outlook verschlüsseln, sobald der Empfänger ebenfalls ein gültiges Zertifikat hat.
Thunderbird: PGP/OpenPGP einrichten
Thunderbird bringt OpenPGP bereits integriert mit. Für viele kleine Unternehmen und Behörden ist das der einfachste Weg.
- Schlüsselpaar erstellen: Direkt im Thunderbird-Konto → „Ende-zu-Ende-Verschlüsselung“ → „Neues Schlüsselpaar erstellen“.
- Öffentlichen Schlüssel weitergeben: Per E-Mail an den wichtigsten Partnerkreis senden oder automatisch im zentralen Schlüsselbund veröffentlichen.
- Empfängerschlüssel importieren: Sobald Kollegen oder externe Partner ihren Schlüssel schicken, wird dieser in Thunderbird hinterlegt.
- Testmail senden: Verschlüsselte Nachricht an einen internen Kontakt schicken, um die Funktion zu prüfen.
Thunderbird verschlüsselt anschließend automatisch, wenn ein gültiger Schlüssel des Empfängers vorhanden ist.
Gmail, Google Workspace:
Gmail selbst unterstützt PGP nicht direkt im Browser. Unternehmen, die Gmail nutzen, haben zwei praktische Optionen:
Option A: S/MIME mit Google Workspace (je nach Tarif)
In bestimmten Workspace-Tarifen kann der Administrator S/MIME aktivieren.
- S/MIME-Zertifikate für Mitarbeiter verwalten
- S/MIME im Admin-Panel aktivieren
- Zertifikate in Gmail hinterlegen
- Verschlüsselung beim Senden auswählen
Option B: PGP über Browser-Erweiterungen oder externe Tools
Viele Unternehmen nutzen dafür etablierte Erweiterungen wie Mailvelope.
- PGP-Schlüsselpaar im Add-on erstellen
- Öffentliche Schlüssel austauschen
- Inhalte verschlüsseln und in Gmail einfügen
Das ist technisch simpel, aber nur sinnvoll, wenn Partner ebenfalls PGP nutzen.
Wie werden Anhänge, Rechnungen und Dokumente sicher per E-Mail versendet?
Anhänge, Rechnungen und Dokumente werden entweder per Ende-zu-Ende-verschlüsselter E-Mail oder über einen sicheren Alternativkanal wie ein Dateiportal oder einen geschützten Link übertragen. Wichtig dabei ist, dass der Inhalt geschützt ist und nicht nur der Übertragungsweg.
Anhänge sind immer Teil der E-Mail
Technisch gehört der Anhang immer zum E-Mail-Inhalt:
- Wird die E-Mail verschlüsselt, ist der Anhang automatisch geschützt.
- Wird sie nicht verschlüsselt, bleibt auch der Anhang ungeschützt.
- Deshalb reicht TLS allein nicht, wenn vertrauliche PDF-, Word- oder Excel-Dokumente versendet werden. Dafür ist E2E nötig.
Alternativen zum verschlüsselten E-Mail-Versand
Wenn das Gegenüber keine E-Mail-Verschlüsselung benutzt, sollte ein anderer Weg für die sichere Übertragung von Daten genutzt werden. Das ist häufig bei kleineren oder neuen Kunden und Bewerbern der Fall.
Typische Alternativen:
- Passwortgeschützte Dateien mit getrennt übermitteltem Passwort
- Geschützte Linkfreigaben (einmaliger Download-Link, optional mit Passwort)
- Kunden- oder Lieferantenportale
- Sichere Datei-Upload-Formulare über die Website
E-Mail-Verschlüsselung von Vije Computerservice einrichten lassen
Wir richten deine E-Mail-Verschlüsselung ein und sorgen dafür, dass vertrauliche Inhalte auch tatsächlich vertraulich bleiben! Wir von Vije Computerservice betreuen Unternehmenskunden im Großraum Osnabrück und Bramsche.
Wir setzen
deine E-Mail-Verschlüsselung für dich auf
- Auswahl der passenden Verschlüsselung
- Einrichtung in deinem System
- Rundum-Sorglos-Service
E-Mail-Verschlüsselung – Häufige Fragen und Antworten
Reicht TLS für den Schutz meiner E-Mails?
TLS schützt nur die Übertragung zwischen Servern. Sobald eine E-Mail vertrauliche Daten enthält, wie Kundendaten, Verträge oder Personalunterlagen, reicht TLS nicht mehr aus. In solchen Fällen sollte der Inhalt per Ende-zu-Ende-Verschlüsselung geschützt oder über einen sicheren Alternativkanal versendet werden.
Ist Ende-zu-Ende-Verschlüsselung kompliziert?
Ende-zu-Ende-Verschlüsselung ist nur in der Einrichtung aufwendiger. Sobald die technischen Grundlagen einmal eingerichtet sind, funktioniert die Verschlüsselung automatisch oder per einfachem Klick. Mitarbeiter müssen in der Regel keine zusätzlichen Entscheidungen treffen.
Was ist sicherer: S/MIME oder PGP?
Beide Standards gelten als sehr sicher. Der Unterschied liegt vor allem in der eingesetzten IT-Umgebung. In Firmen mit Outlook oder Microsoft 365 wird meist S/MIME eingerichtet. In Unternehmen, die Thunderbird oder verschiedene Betriebssysteme nutzen, ist PGP praktischer.
Kann ich jeden Empfänger per verschlüsselter E-Mail erreichen?
Nicht jeder Empfänger kann ohne Vorbereitung verschlüsselte E-Mails empfangen. Für S/MIME braucht der Empfänger ein persönliches Zertifikat, für PGP ein eigenes Schlüsselpaar. Wenn der Empfänger das nicht hat, sollte ein sicherer Alternativweg wie ein Dateiportal oder eine geschützte Linkfreigabe genutzt werden.
Was bleibt bei einer verschlüsselten E-Mail sichtbar?
Auch bei Ende-zu-Ende-Verschlüsselung bleiben Absender, Empfänger, Betreff und Versandzeit sichtbar. Der Inhalt der E-Mail und die Anhänge sind jedoch vollständig geschützt.
