Spätestens seit der NSA-Affäre ist es offensichtlich geworden, dass die Kommunikation von Deutschen Unternehmen im höchsten Maße gefährdet ist. Im Speziellen ist es der forschende und innovative Mittelstand, dessen Geschäftsgeheimnisse bedroht sind. Wird seitens der Vereinigten Staaten argumentiert, die Massenüberwachung diene nur der Terrorismus-Abwehr, meinen wir, dass der Industrie-Spionage eine viel größere Rolle in der Überwachung zukommt.

Aktuell erscheint es unmöglich (Tempora), komplette Kommunikationsstrukturen, die international verlaufen, vor Überwachung mittels Anonymisierung zu verbergen. Aber auch wenn die Metadaten der Kommunikation kaum verschleiert werden können, so besteht durchaus effektiv die Möglichkeit, Inhalte der Kommunikation zu schützen. Wir haben bisher keine Erkenntnisse, dass die NSA oder ein anderer Geheimdienst in der Lage ist, AES-256 oder 3DES zu decrypten.

Im Bereich der E-Mail dient die sogenannte E-Mail-Verschlüsselung dem Schutz ihres Inhalts. Bei der E-Mailverschlüsselung werden grundsätzlich zwei Verfahren unterschieden: S/MIME (Secure/Multipurpose Internet Mail Extensions) und OpenPGP. Bei beiden Verschlüsselungsverfahren findet der Austausch über digitale Zertifikate (X.509) bzw. deren Schlüssel statt.

S/MIME

Bei der E-Mail-Verschlüsselung mittels S/MIIME beantragen die Korrespondenzpartner ein persönliches Zertifikat bei einer Zertifizierungsstelle (CA, Certificate Authority) wie z. B. StartSSL, InstantSSL oder TrustCenter. Bei den persönlichen Zertifikaten, die der Signierung und der Verschlüsselung einer E-Mail dienen, werden Class 1, 2 und 3-Zertifikate unterschieden. Class 1-Zertifikate bestätigen die Echtheit der zertifizierten E-Mail-Adresse und sind meist kostenlos. Bei Class 2-Zertifikaten werden zuzüglich noch der Name des Inhabers sowie dessen Unternehmung mit ins Zertifikat aufgenommen. Die Verifizierung erfolgt hier in der Regel über Ausweiskopien. Bei Class 3-Certificates muss sich der Inhaber persönlich ausweisen. 

Ist das Zertifikat erworben wird eine mit diesem Zertifikat signierte E-Mail an den Korrespondenzpartner versandt. In dieser signierten E-Mail ist der öffentliche Schlüssel des Zertifikats enthalten. Daraufhin antwortet Ihnen Ihr E-Mail-Partner ebenfalls mit einer vom ihm signierten E-Mail. Nun haben beide den öffentlichen Schlüssel des jeweils anderen erhalten.  Mit seinem privaten Schlüssel seines eigenen Zertifikats kann man dann fortan alle E-Mails verschlüsseln: der Sender verschlüsselt mit seinem privaten Schlüssel und der Empfänger entschlüsselt mit dem öffentlichen Schlüssel.

OpenPGP

OpenPGP ist der Open Source-Ableger des kommerziellen PGP (Pretty Good Privacy) und ist diesem stets vorzuziehen (bei PGP ist unklar, ob Geheimdienste zusätzliche Schlüssel besitzen). Mittels OpenPGP erstellt sich der Benutzer ebenfalls ein Schlüsselpaar aus privatem (geheimen) und öffentlichen Schlüssel. Der öffentliche Schlüssel kann zusätzlich als Fingerabdruck (Thumprint) veröffentlicht werden. In Abgrenzung zu S/MIME werden die Schlüssel hier nicht von CAs signiert. Viel mehr können verschiedene Benutzer einen öffentlichen Schlüssel eines anderen Benutzers signieren bzw. beglaubigen (Web of Trust). Zusätzlich zur E-Mail-Signierung und -Verschlüsselung kann OpenPGP dazu genutzt werden, lokale Dateien zu verschlüssen.

S/MIME hat bei der E-Mail-Verschlüsselung eine vorherrschende Stellung. OpenPGP kann Probleme beim Verschlüsseln von HTML-formatierten E-Mails machen.