E-Mail-Verschlüsselung mit GPG: Thunderbird Schritt für Schritt einrichten

Von /

E-Mails sind technisch gesehen Postkarten: Auf dem Weg vom Absender zum Empfänger werden sie auf mehreren Servern zwischengespeichert, durch Mailgateways gefiltert und nach Spam und Werbeauswertung durchsucht. Wer das nicht will, verschlüsselt seine Mails Ende-zu-Ende. Der etablierte Weg dafür heißt seit über 30 Jahren GPG (GNU Privacy Guard) – und seit Thunderbird 78 ist die Verwaltung direkt im Mailclient eingebaut. Diese Anleitung führt dich in unter 15 Minuten vom leeren Account zur ersten verschlüsselten Mail.

Wie GPG eigentlich funktioniert

GPG basiert auf asymmetrischer Verschlüsselung: Jeder Teilnehmer hat ein Schlüsselpaar – einen öffentlichen und einen privaten Schlüssel. Der öffentliche darf in der Welt verteilt werden; der private bleibt streng geheim auf dem eigenen Rechner.

Diagramm der asymmetrischen Public-Key-Verschlüsselung mit öffentlichem und privatem Schlüssel
  • Verschlüsseln: Wer dir eine Mail schicken will, verschlüsselt sie mit deinem öffentlichen Schlüssel. Lesen kannst nur du selbst – mit dem privaten Gegenstück.
  • Signieren: Du kannst eine Mail auch mit deinem privaten Schlüssel signieren. Empfänger prüfen die Signatur mit deinem öffentlichen Schlüssel und sehen: Der Inhalt stammt wirklich von dir und wurde unterwegs nicht verändert.
  • Vertrauenswebe: Damit niemand einen gefälschten Schlüssel unter deinem Namen verteilt, gibt es Schlüssel-Fingerprints und Signaturen anderer Nutzer („Web of Trust“). Für den Alltag reicht es, Fingerprints persönlich oder über einen sicheren Kanal abzugleichen.

Voraussetzungen

  • Eine aktuelle Thunderbird-Version (mindestens 115 ESR, besser 140). Erhältlich für Linux (Flatpak, Distro-Paket), Windows und macOS.
  • Ein eingerichtetes IMAP- oder Exchange-Mailkonto in Thunderbird.
  • Optional: ein Hardware-Token wie YubiKey oder Nitrokey, wenn du den privaten Schlüssel hardwaregebunden speichern willst.

Schritt 1: Schlüsselpaar erzeugen

  1. In Thunderbird oben rechts auf das Hamburger-Menü → Konten-Einstellungen.
  2. Konto auswählen → Ende-zu-Ende-Verschlüsselung.
  3. Im Abschnitt OpenPGP auf Schlüssel hinzufügenNeuen OpenPGP-Schlüssel erzeugen.
  4. Als Schlüsseltyp ECC (Curve25519) wählen – kürzer, schneller und sicherer als die alten 4096-Bit-RSA-Schlüssel. Gültigkeit auf 3 oder 5 Jahre setzen; nie „unbegrenzt“.
  5. Auf Schlüssel erzeugen klicken. Nach wenigen Sekunden ist das Paar da. Anschließend dem neuen Schlüssel für dieses Konto als „persönlich“ zuweisen.
Schlüsselgenerierung im Thunderbird-Enigmail-Assistenten

Schritt 2: Widerrufszertifikat sichern

Wenn dein privater Schlüssel verloren geht oder kompromittiert wird, brauchst du eine Möglichkeit, ihn als ungültig zu erklären. Thunderbird bietet das direkt an:

  • In den Konten-Einstellungen → Schlüsselverwaltung → Rechtsklick auf den eigenen Schlüssel → Widerrufszertifikat erstellen.
  • Das resultierende .asc-File offline sichern: USB-Stick im Tresor, ausgedruckt im Aktenordner, oder verschlüsselter Cloud-Container. Niemals auf demselben Rechner liegen lassen wie der Schlüssel selbst.

Schritt 3: Öffentlichen Schlüssel teilen

Damit andere dir verschlüsselt schreiben können, brauchen sie deinen öffentlichen Schlüssel. Drei gängige Wege:

  • Per E-Mail-Anhang. Beim Senden im Verfassen-Fenster über Sicherheit → Meinen öffentlichen Schlüssel anhängen.
  • Auf Keyserver hochladen. keys.openpgp.org ist 2026 die Standardanlaufstelle. Schlüssel zuerst dort einreichen, dann den Bestätigungs-Link aus der eingehenden Mail bestätigen – nur danach ist der Schlüssel öffentlich abrufbar.
  • WKD (Web Key Directory). Wenn du eine eigene Domain betreibst, kannst du den Schlüssel unter einem standardisierten Pfad auf deinem Webserver veröffentlichen. Thunderbird findet ihn dann automatisch.

Schritt 4: Erste verschlüsselte Mail versenden

  1. Verfassen-Fenster öffnen. Wenn Thunderbird den Schlüssel des Empfängers kennt, schaltet sich oben rechts ein Schloss-Symbol aktiv.
  2. Empfehlung: zusätzlich die Mail signieren – damit der Empfänger sicher weiß, dass die Mail wirklich von dir kommt.
  3. Senden. Die Betreff-Zeile bleibt im Klartext (das ist ein protokollbedingter Schönheitsfehler), Inhalt und Anhänge werden verschlüsselt übertragen.

Was GPG nicht schützt – und Hygiene-Tipps

  • Metadaten bleiben sichtbar. Absender, Empfänger, Sendezeit, Betreff und Server-Pfad sind weiterhin im Klartext. Wenn das stört, gehört E-Mail nicht zu deinen sicheren Kanälen – ein Messenger wie Signal ist besser.
  • Backup des privaten Schlüssels. Wenn die Festplatte stirbt und der Schlüssel weg ist, sind auch alle alten Mails unleserlich. Privaten Schlüssel verschlüsselt auf zwei voneinander unabhängige Datenträger sichern.
  • Passphrase ernst nehmen. Sie schützt deinen privaten Schlüssel auf dem Rechner. Mindestens 5 zufällige Wörter aus einer Diceware-Liste – nicht „passwort123″.
  • Hardware-Token erwägen. Mit einem Yubikey oder Nitrokey verlässt der private Schlüssel niemals das Gerät. Selbst ein vollständig kompromittierter PC kann die Mails dann nicht selbständig entschlüsseln.

Fazit

GPG hatte lange den Ruf, „nur was für Nerds“ zu sein. Mit dem in Thunderbird eingebauten Manager ist das vorbei: Schlüssel erzeugen, austauschen und Mails verschlüsseln dauert weniger als eine Mittagspause. Wer regelmäßig sensible Inhalte per Mail verschickt – Steuerunterlagen, Verträge, Login-Daten – verschenkt ohne GPG aktiv Sicherheit, die seit Jahrzehnten verfügbar ist.

Bildquelle: Wikimedia Commons (CC0 / CC BY).

Ähnliche Beiträge

Schreibe einen Kommentar

Nach oben scrollen