Erste Schritte mit Gpg4win und Outlook: E-Mails verschlüsseln und signieren

Veröffentlicht am 28. Februar 2020 von Heike Jurzik

Mails signieren und verschlüsseln – das ist kein Hexenwerk oder ausschließlich den Linux-Profis vorbehalten. Mit Gpg4win und Outlook können Sie auch unter Windows ganz einfach verschlüsselte und signierte E-Mails senden und empfangen. Dieser Artikel zeigt, wie Sie in wenigen Minuten Outlook mit einem GnuPG-Add-in erweitern und alles Notwendige erledigen, um Ihre E-Mails sicher zu verschicken.

Warum ist das wichtig? Verschlüsselung und Signatur bieten Schutz vor Angreifern:

  • Durch E-Mail-Verschlüsselung verhindern Sie, dass unbefugte Personen (Angreifer) Ihre Mails abfangen und mitlesen – das Ziel ist also maximale Vertraulichkeit.
  • Durch digitale Signaturen verhindern Sie, dass Angreifer Ihre Mails verändern oder im schlimmsten Fall Fake-Mails in Ihrem Namen versenden. Zwar kann ein Angreifer trotzdem gefälschte Mails senden, aber er kann sie nicht signieren.

Gpg4win installieren: Anleitung zur E-Mail-Verschlüsselung mit GnuPG in Outlook

Für Windows-Anwender, die Outlook für ihre E-Mails nutzen, bietet Gpg4win die schnellste und einfachste Möglichkeit, GnuPG für die E-Mail-Verschlüsselung und digitale Signaturen zu integrieren. Klicken Sie auf die grüne Schaltfläche Download Gpg4win, um die Software herunterzuladen und zu installieren. Bei der Installation der Datei gpg4win-<version>.exe müssen Sie, wie bei Windows-Anwendungen üblich, bestätigen, dass die App Änderungen an Ihrem System vornehmen darf.

Der Installer kann seine Arbeit in mehreren Sprachen verrichten; wählen Sie Deutsch und klicken Sie auf OK. Nach einem Klick auf Weiter wählen Sie aus, welche Gpg4win-Komponenten Sie installieren möchten:

gpg4win-installer.png

Abbildung 1: Gpg4win-Komponenten auswählen

  • GnuPG: Die Kernkomponente, die für die asymmetrische Verschlüsselung und digitale Signaturen verantwortlich ist, kann nicht abgewählt werden.
  • Kleopatra: Eine benutzerfreundliche Schlüssel- und Zertifikatsverwaltung, die wir in diesem Artikel noch näher erläutern.
  • Okular (GnuPG Edition): Modifizierte und gehärtete Version des PDF-Viewers Okular
  • GpgOL: Das Outlook-Add-in, das GnuPG in Outlook integriert, um Ihre E-Mails zu verschlüsseln und zu signieren.
  • GpgEX: Eine Erweiterung für den Windows-Dateimanager (Explorer), mit der Sie Dateien direkt über das Kontextmenü mit GnuPG verschlüsseln können.
  • Browser integration: Ermöglicht die Nutzung von GnuPG mit Web-Mail-Diensten wie GMX, Posteo oder der Telekom.

Da wir in diesem Artikel mit Outlook arbeiten, empfehlen wir, die vorgegebene Auswahl zu übernehmen. Auch den Vorschlag für den Installationsordner können Sie ohne Bedenken übernehmen.

Schlüsselpaar erzeugen: OpenPGP für E-Mail-Verschlüsselung in Gpg4win und Outlook

Ohne Sie an dieser Stelle mit theoretischem Wissen über die von GnuPG verwendete asymmetrische Kryptographie behelligen zu wollen: Ohne Schlüssel gibt es keine Verschlüsselung, und für GnuGPG brauchen Sie ein Schlüsselpaar (bestehend aus einem privaten und einem öffentlichen Schlüssel). Ihr Schlüsselpaar können Sie in Kleopatra erstellen. Nach der Installation von Gpg4win startet das Programm automatisch, und neben einer Begrüßung sehen Sie hier netterweise auch gleich die Schaltfläche Neues Schlüsselpaar, die Sie jetzt anklicken.

kleopatra-schluesselpaar-erzeugen.png

Abbildung 2: Neues Schlüsselpaar in Kleopatra erzeugen

Entscheiden Sie sich für Persönliches OpenPGP-Schlüsselpaar erstellen, tragen Sie dann Ihren Namen und Ihre Mail-Adresse ein.

Achtung: Die Mailadresse muss dieselbe sein, die Sie auch in Outlook als Absender konfiguriert haben, damit Outlook später den richtigen Schlüssel findet und verwendet.

Es lohnt sich, die erweiterten Einstellungen zu öffnen, denn in der Voreinstellung erzeugt Kleopatra ein Schlüsselpaar, das (zunächst) nur drei Jahre lang funktioniert. Das hat den Sinn, dass der Schlüssel bei einem Verlust bald ungültig wird. Solange Sie den privaten Schlüssel besitzen, können Sie jederzeit die Gültigkeit verlängern. Wenn Sie eine kürzere (oder auch längere) Laufzeit als drei Jahre vorgeben möchten, stellen Sie unter Gültig bis einen anderen Termin (z. B. heute in einem Jahr) ein. Die übrigen erweiterten Einstellungen übernehmen Sie; schließen Sie das Fenster mit OK, klicken Sie dann auf Weiter und im folgenden Dialog Erstellen.

Der nächste Dialog bittet Sie um zweimalige Eingabe einer Passphrase: Das ist das Passwort, mit dem Sie den Zugriff auf Ihr Schlüsselpaar schützen. Wählen Sie ein Passwort, das Sie sich merken können, und tragen Sie es zweimal in die beiden Eingabefelder ein. Nachdem Kleopatra das Schlüsselpaar erstellt hat, klicken Sie auf Abschließen.

Tipp: Falls Sie bereits auf einem anderen Rechner (vielleicht sogar mit einem anderen Betriebssystem wie macOS oder Linux) ein Schlüsselpaar für Ihre Mailadresse erstellt haben, werden Sie dieses in der Regel auch mit Outlook verwenden wollen. Für diese Situation bietet Kleopatra eine Importfunktion an, die Sie über Datei / Importieren erreichen.

Schlüssel exportieren: öffentlichen und privaten Schlüssel für E-Mail-Verschlüsselung sichern

In Kleopatra können Sie zwei Schlüsseldateien exportieren: eine mit dem öffentlichen Schlüssel und eine mit dem privaten Schlüssel. Klicken Sie dazu den Eintrag zu Ihrer Mailadresse in der Liste an. (Wenn Sie alles frisch installiert haben, gibt es nur diesen einen Eintrag.) Rufen Sie dann Datei / Exportieren auf und hängen Sie an den vorgeschlagenen Dateinamen den Zusatz -public an. Damit erzeugen Sie eine Datei der Form DC0B6...-public.asc, die eine als Text lesbare Version des öffentlichen Schlüssels enthält. Bei Interesse öffnen Sie diese Datei einmal mit einem Texteditor. Am Anfang und am Ende stehen diese Zeilen: 

-----BEGIN PGP PUBLIC KEY BLOCK-----
[...]
-----END PGP PUBLIC KEY BLOCK-----

Dazwischen liegt eine ASCII-kodierte Form des Schlüssels.

Um den privaten Schlüssel zu exportieren, rufen Sie Datei / Geheime Schlüssel exportieren auf und hängen an den Dateinamen den Zusatz -private an. Bei diesem Schritt ist die Eingabe Ihrer Passphrase nötig. Auch die exportierte Version des privaten Schlüssels ist durch die Passphrase geschützt; die Eingabe ist an dieser Stelle nötig, weil Kleopatra beim Export aus Kompatibilitätsgründen auf andere Weise als intern verschlüsselt. Die private Schlüsseldatei (z. B. DC0B6...-private.asc) enthält ebenfalls eine lesbare Version des Schlüssels: 

-----BEGIN PGP PRIVATE KEY BLOCK-----
[...]
-----END PGP PRIVATE KEY BLOCK-----

Tipp: Auch von Ihren Kontakten werden Sie Schlüssel verwalten – dabei erhalten Sie stets die öffentlichen Schlüssel. So wie Sie Ihren privaten Schlüssel geheim halten, geben auch Ihre Kontakte die eigenen privaten Schlüssel nicht heraus.

Öffentlicher vs. privater Schlüssel: welche Sie für Gpg4win brauchen

  • Wenn Sie eine Mail verschlüsseln wollen, so dass nur der Empfänger sie lesen kann, dann benötigen Sie dafür den öffentlichen Schlüssel des Empfängers.
  • Wenn Sie eine Mail signieren wollen, so dass der Empfänger prüfen kann, dass die Mail wirklich von Ihnen stammt, dann benötigen Sie dafür Ihren eigenen privaten Schlüssel (und die Passphrase).
  • Wenn verschlüsseln und signieren wollen, brauchen Sie beide Schlüssel (und wegen des Signaturteils auch wieder die Passphrase).

Kontaktaufnahme: öffentlichen Schlüssel teilen und empfangen

Schicken Sie den öffentlichen Teil Ihres Schlüsselpaares (also die Datei mit der Endung -public.asc) per Mail an Kontakte, von denen Sie verschlüsselte Mails erhalten möchten, oder veröffentlichen Sie den Schlüssel auf Ihrer Website.

Hinweis: Leichter gelingt der Schlüsselaustausch, wenn Sie Ihren öffentlichen Schlüssel auf einen so genannten Key Server hochladen oder direkt mit einem Web Key Directory (WKD) in Zusammenhang mit einem Web Key Service (WKS) arbeiten. Dafür sind allerdings einige Vorbereitungen nötig – wir werden dieses Thema daher in einem eigenen Blogartikel behandeln.

Wollen Sie nun die erste verschlüsselte und/oder signierte Mail an einen Kontakt schicken, der auch GnuPG nutzt, gehen Sie wie folgt vor:

  1. Wenn Sie den öffentlichen Schlüssel vom Kontakt bereits besitzen, importieren Sie ihn in Kleopatra. Das klappt über Datei / Importieren. Der neue Kontakt taucht nach dem Import in der Liste der Zertifikate auf.
  2. Haben Sie den öffentlichen Schlüssel noch nicht, können Sie auf einem Key Server danach suchen. Rufen Sie den Menüpunkt Datei / Auf Server suchen auf und geben Sie im Suchen-Feld die Mailadresse oder den Namen des Kontaktes ein. Wenn es einen Treffer gibt, markieren Sie diesen und klicken unten auf Importieren.

Tipp: Falls beides nicht zum Ziel führt, schreiben Sie (ein letztes Mal) unverschlüsselt an Ihren Kontakt und bitten um den Schlüssel. Der Schlüsselimport in Kleopatra ist für jeden Kontakt nur einmal zu erledigen.

Outlook: E-Mails signieren und verschlüsseln mit Gpg4win

outlook-sicherheitsbest-dialog.png

Abbildung 3: Der Dialog Sicherheitsbestätigung

Das eigentliche Schreiben einer Mail läuft in Outlook zunächst wie immer ab. Vor dem Verschicken klicken Sie aber auf das neue Symbol Absichern im Menüband. Es ändert dabei sein Aussehen (wird abgedunkelt), so dass Sie erkennen können, ob Sie es bereits angeklickt haben. Wenn Sie schließlich auf Senden klicken, öffnet sich der Dialog Sicherheitsbestätigung. Im oberen Teil zeigt er, mit welcher Identität Ihre Mail verschickt (und signiert) wird. Im unteren Teil sind alle Empfänger aufgelistet – und es steht jeweils dabei, welcher zugehörige Schlüssel für die Verschlüsselung verwendet wird. Falls dort ein graues X und der Text Kein Schlüssel. Empfänger kann die Nachricht nicht entschlüsseln, dann fehlt der öffentliche Schlüssel des Empfängers.

Bestätigen Sie die Angaben in diesem Dialog mit OK oder brechen Sie den Vorgang ab, falls noch Schlüssel fehlen, was Sie nur in Kleopatra beheben können. Für die Signatur fragt das Outlook-Add-in jetzt Ihre Passphrase ab, dann verschickt Outlook die verschlüsselte und signierte Mail.

outlook-gpgol-verschl-nachricht.png

Abbildung 4: Verschlüsselte/signierte E-Mails empfangen

Erhalten Sie eine Antwort auf Ihre Mail oder eine ganz neue Nachricht, ist diese vielleicht ebenfalls verschlüsselt und/oder signiert – das können Sie leicht überprüfen:

  • Bei verschlüsselten Mails blendet Outlook gleich unter der Absenderadresse einen blau hinterlegten Hinweis GpgOL: Verschlüsselte Nachricht ein.
  • Auch das Menüband im Hauptfenster enthält ein neues Symbol, das vom GpgOL-Add-in angelegt wurde. Je nach ausgewählter Nachricht sehen Sie dort ein Fragezeichen (mit Text Unsicher) oder ein Schloss (mit Text Verschlüsselt). Fahren Sie mit der Maus über dieses Symbol (ohne zu klicken), dann blendet Outlook Hinweise zur Sicherheit der Nachricht ein. Idealerweise steht dort Signierte und verschlüsselte Nachricht.

Hinweis: Oft zeigt Outlook auch an, dass die Absenderadresse nicht vertrauenswürdig ist. Was das bedeutet und wie Sie solche Warnungen los werden, verraten wir in einem späteren Blogartikel.

Einmalige Einrichtung für langfristige E-Mail-Sicherheit mit Gpg4win

Vielleicht kommen Ihnen die in diesem Artikel beschriebenen Schritte umständlich vor – denken Sie aber daran, dass diese jeweils nur einmal erforderlich sind: Ihr eigenes Schlüsselpaar fassen Sie erst dann wieder an, wenn die Gültigkeit abläuft, und für jeden Kontakt, dem Sie verschlüsselte Mails schicken wollen, ist nur einmal der öffentliche Schlüssel zu importieren.

Danach kümmert sich das Outlook-Add-in um alles Weitere. Sogar die Klicks auf Absichern könnten Sie über die GpgOL-Konfiguration überflüssig machen, indem Sie den Dialog GpgOL konfigurieren und dort die beiden Optionen Neue Nachrichten per Voreinstellung signieren und Neue Nachrichten per Voreinstellung verschlüsseln setzen.

Alle, die jetzt an viele hundert oder tausend Mitarbeiter oder andere Kontakte denken und überlegen, wie sie den Schlüsselaustausch in großen Organisationen bewerkstelligen sollen: Keine Sorge, es gibt einige praktische Automatismen, die wir im nächsten Artikel vorstellen werden. Krypto-Mails fühlen sich dann nicht anders an als unsignierte/unverschlüsselte Mails.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2025 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2025-01-30.