Verschlüsselung im Internet: So schütze ich meine Daten
Von: Andrea Estermeier, VerbraucherService Bayern im KDFB e. V.
In diesem Beitrag finden Sie
- Was bedeutet "Daten verschlüsseln"?
- Sicher im Netz surfen mit HTTPS
- "Ziemlich gute Privatsphäre": Sicher E-Mails schreiben
Was bedeutet "Daten verschlüsseln"?
Das Konzept von “Verschlüsselung” bezeichnet die Codierung und Decodierung von Daten. Dabei wird ein Algorithmus bzw. ein Verfahren angewendet, mit dem Daten unkenntlich werden, so dass sie nicht mehr in ihrer ursprünglichen Form vorliegen und nicht gelesen werden können. Um die Daten für die richtige Empfängerin oder den richtigen Empfänger wieder lesbar zu machen, benötigt man einen speziellen Schlüssel, mit dem die Informationen wieder decodiert bzw. kenntlich werden. Codierungsverfahren sind daher ein wichtiger Bestandteil der Datensicherheit, da so vertrauliche Daten vor “ungebetenen Mitlesenden” geschützt werden können.
Für die alltägliche Nutzung des Internets stehen besonders zwei Bereiche im Fokus, bei denen eine verschlüsselte Datenübertragung sinnvoll sein kann:
- beim Surfen im Internet und Nutzung von Online-Diensten, bei denen personenbezogene Daten erhoben werden, sowie
- beim Versand von E-Mails.
Dabei kommen jeweils unterschiedliche Verfahren zum Einsatz.
Sicher im Netz surfen mit HTTPS
Das gängige Verfahren, um Datentransfers im Internet vor Dritten zu schützen, ist die Nutzung des sogenannten HyperText Transfer Protocol Secure (HTTPS). Dieses Verfahren wird benutzt, um die Kommunikation zwischen Webserver und Webbrowser im Word Wide Web (WWW) zu sichern. Es arbeitet dabei mit zwei Komponenten: Verschlüsselung und Authentifizierung.
- Die Verschlüsselung wandelt den Klartext des Datentransfers in einen “Geheimtext” um, so dass Dritte beim Mitlesen der Kommunikation nur unverständliche Zeichenkombinationen erhalten.
- Die Authentifizierung dient zusätzlich dazu, eine vertrauliche Kommunikation zwischen Senderin oder Sender und Empfängerin oder Empfänger aufzubauen. Dabei erhalten beide Seiten beim Aufbau einer Verbindung Informationen, mit deren Hilfe die Identität der Gegenseite überprüft werden kann. Dabei wird sichergestellt, dass die Informationen auch die richtige Person erreichen.
Die Webseiten von Finanzinstituten, Behörden und Einkaufsplattformen verschlüsseln ihre Daten mittlerweile standardmäßig mit HTTPS, um sie vor Diebstahl und Betrug zu schützen. Auch andere Online-Dienste ziehen mehr und mehr nach.
Ob eine sichere Datenverbindung besteht, ist leicht zu überprüfen:
Die Adresse der Webseite beginnt mit „https“.
Damit sind Daten verschlüsselt und werden mithilfe eines sicheren Protokolls übertragen. Ergänzend dazu zeigen die Web-Browser in der Regel ein Schloss-Symbol an, das unten links oder unten rechts im Browserfenster zu finden ist. Ein Klick auf das Schloss-Symbol zeigt dann die Sicherheitsdetails der Webseite an.
Es gibt auch Webseiten-Betreiber, die zwar eine sichere HTTPS-Verschlüsselung anbieten, allerdings Verbindungen zu den Startseiten über das unverschlüsselte HTTP-Protokoll aufbauen. In diesen Fällen ist die Verwendung der verschlüsselten Verbindung optional und Nutzende müssen selbst darauf achten, dass die angeforderte Website per HTTPS übertragen wird. Für diese Fälle kann der Anwender sogenannte Browser-Erweiterungen installieren, die Verbindungen zu den aufgerufenen Webseiten automatisch verschlüsselt anfordern. Falls also der Webseiten-Betreiber eine HTTPS-Verschlüsselung anbietet, wird diese standardmäßig genutzt. Um stets zu wissen, ob eine sichere Verbindung besteht, lohnt sich die Installation der Browser-Erweiterung der r „Electronic Frontier Foundation“.
“Ziemlich gute Privatsphäre”: Sicher E-Mails schreiben
PGP-Verfahren
Bei der E-Mailverschlüsselung ist das kostenpflichtige Verschlüsselungsprogramm „Pretty Good Privacy“ (PGP) oder das kostenfreie Pendant „Gnu Privacy Guard“ (GPG oder GnuPG) am weitesten verbreitet. Damit sind Daten verschlüsselt und werden mithilfe eines sicheren Protokolls übertragen. Ergänzend dazu zeigen die Web-Browser in der Regel ein Schloss-Symbol an, das unten links oder unten rechts im Browserfenster zu finden ist. Ein Klick auf das Schloss-Symbol zeigt dann die Sicherheitsdetails der Webseite an.
Es gibt auch Webseiten-Betreiber, die zwar eine sichere HTTPS-Verschlüsselung anbieten, allerdings Verbindungen zu den Startseiten über das unverschlüsselte HTTP-Protokoll aufbauen. In diesen Fällen ist die Verwendung der verschlüsselten Verbindung optional und Nutzende müssen selbst darauf achten, dass die angeforderte Website per HTTPS übertragen wird. Für diese Fälle kann der Anwender sogenannte Browser-Erweiterungen installieren, die Verbindungen zu den aufgerufenen Webseiten automatisch verschlüsselt anfordern. Falls also der Webseiten-Betreiber eine HTTPS-Verschlüsselung anbietet, wird diese standardmäßig genutzt. Um stets zu wissen, ob eine sichere Verbindung besteht, lohnt sich die Installation der Browser-Erweiterung der
Beispiel: Nutzer A und Nutzerin B wollen verschlüsselt miteinander kommunizieren. Nutzer A übergibt Nutzerin B seinen öffentlichen Schlüssel, umgekehrt gibt Nutzerin B ihren öffentlichen Schlüssel an Nutzer A. Nun kann Nutzer A eine Mail schicken, die mit dem öffentlichen Schlüssel von Nutzerin B gesichert wird. Diese Mails können nur mit dem privaten Schlüssel von Nutzerin B wieder lesbar gemacht werden. Will Nutzerin B auf diese Mail antworten, benutzt sie dafür den öffentlichen Schlüssel von Nutzer A.
Dieses Verfahren wird auch Asymmetrische Kryptographie genannt. Das PGP-Verfahren ist gegen ungewollte Datenüberwachung sehr effektiv. Allerdings setzt diese Art der Verschlüsselung voraus, dass jeder Teilnehmer seinen privaten sowie die öffentlichen Schlüssel aller anderen Teilnehmer hat. Zwar sind solche Schlüssel reine Textdateien und können prinzipiell per Mail verschickt werden oder auf einem Server abgelegt werden, dennoch ist das Verfahren nicht besonders einfach zu nutzen.
Durch entsprechende Plugins kann das Verschlüsseln in der Anwendung komfortabel gestaltet werden, aufgrund des notwendigen Schlüsselaustauschs eignet es sich aber meist nur für den E-Mailverkehr mit Freunden und Bekannten.
Verschlüsselung in Behörden und Unternehmen: S/MIME
Neben dem PGP-Verfahren hat sich auch das sogenannte Secure/Multipurpose Internet Mail Extensions (S/MIME) als Standard etabliert und kommt überwiegend in Behörden und Unternehmen zum Einsatz. Bei S/MIME ist zusätzlich zum Schlüsselpaar noch ein Sicherheitszertifikat notwendig, dass von einer Zertifizierungsstelle beantragt werden muss. Das Zertifikat dient als eine Art amtlicher Ausweis, mit dem die Zuordnung eines Schlüsselpaars zu einer bestimmten Nutzerin bzw. zu einem bestimmten Nutzer bestätigt wird.
Auch bei der Nutzung des S/MIME-Standards gibt es - ähnlich wie beim PGP-Verfahren - nicht selten Probleme, die nur mit einem gewissen technischen Vorwissen lösbar sind. Im Gegensatz zum Surfen im Internet, bei dem die Verschlüsselung automatisiert im Hintergrund zum Einsatz kommt, gestaltet sich der verschlüsselte E-Mailverkehr komplex und kompliziert. Es gibt daher immer mehr Unternehmen, die nach intuitiven und in der Anwendung komfortable Verfahren forschen und diese am Markt etablieren wollen.
Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.