E-Mails verschlüsseln mit Thunderbird: Unterschied zwischen den Versionen

In diesem Hilfeartikel wird die Einrichtung von verschlüsselter E-Mail-Kommunikation im Mailprogramm Thunderbird behandelt. Da dies in der Neuen Arbeit vor allem in der Kommunikation mit der Agentur für Arbeit bzw. den verschiedenen JobCentern vorkommt, gehen wir es an diesem Beispiel durch.

Für die verschlüsselte E-Mail-Kommunikation mit der Agentur für Arbeit verwenden wir die “S/MIME”-Technik. Über diese Technik sollten Sie die folgenden Grundlagen kennen:

Für die verschlüsselte Kommunikation benötigen beide Seiten jeweils einen privaten und einen öffentlichen Schlüssel. Um eine Nachricht zu verschlüsseln, muss man den öffentlichen Schlüssel der Gegenseite kennen, zur Entschlüsselung ist der jeweilige private Schlüssel nötig. Zusätzlich werden die Schlüssel noch von einer Zertifizierungsstelle signiert, um ihre Echtheit zu bestätigen. In Ihrem Fall ist das unsere IT-Abteilung, im Falle Ihrer Kommunikationspartner:innen die Zertifizierungsstelle der Agentur für Arbeit. Ein solcher signierter Schlüssel nennt sich dann Zertifikat.

Wie Sie alle benötigten Zertifikate erhalten und an den richtigen Stelle speichern wird in dieser Anleitung erklärt.

Zunächst müssen einige organisatorische Voraussetzungen erfüllt sein, nämlich

• dass Sie eine Einladung zur verschlüsselten Kommunikation von der Agentur für Arbeit erhalten haben und
• dass für Sie per IKT-Antrag ein Verschlüsselungszertifikat bei der IT beantragt wurde.

Wenn das geschehen ist, erhalten Sie von uns in der NA Cloud einen Ordner mit drei Dateien:

• Ihr Zertifikatspaket mit der Endung .p12: Diese Datei muss in Ihrem E-Mailkonto eingepflegt werden.
• Das Passwort für Ihr Zertifikatspaket mit der Endung .txt: Es dient zum Entsperren Ihres persönlichen Schlüssels.
• Ihr öffentliches Zertifikat mit der Endung .pem: Dieses Zertifikat muss bei der Agentur für Arbeit hochgeladen werden.

Speichern Sie sich diese Dateien am Besten in Ihrem lokalen Dokumentenordner ab.

Als ersten Schritt öffnen Sie die Konten-Einstellungen im Thunderbird. Klicken Sie dazu oben rechts im Fenster auf das “Hamburger-Menü” (das Icon mit den drei waagerechten Streifen) und wählen dann im Kontextmenü den Eintrag “Konten-Einstellungen.

Finden Sie dann in der linken Seitenleiste Ihr Mailkonto und wählen dort den Punkt “Ende-zu-Ende-Verschlüsselung” aus. Im rechten Bereich müssen Sie dann etwas herunterscrollen um den Abschnitt “S/MIME” zu erreichen. Wählen Sie hier den Button “S/MIME-Zertifikate verwalten". Damit öffnen Sie die Zertifikatverwaltung des Thunderbird.

Die Zertifikatverwaltung ist Ihr Hauptwerkzeug für die Konfiguration der Verschlüsselung. Sie sollten sich merken, wie Sie sie aufrufen. Zunächst müssen Sie hier Ihr persönliches Zertifikatspaket importieren. Stellen Sie dazu sicher, dass Sie sich im Reiter “Ihre Zertifikate” befinden und drücken dort auf den Button “Importieren”.

Navigieren Sie dann zu dem Ordner, wo Sie Ihre Zertifikatsdateien gespeichert haben und öffnen das Zertifikatspaket, das Ihnen im Öffnungsdialog angezeigt wird.

Als nächstes werden Sie nach einem Passwort gefragt. Kopieren Sie hier das Passwort aus der Textdatei hinein, die Sie von uns bekommen haben.

Nun ist Ihr Zertifikat im Thunderbird eingepflegt. Damit Sie damit aber auch verschlüsseln können, müssen Sie dem Thunderbird noch erlauben, unserer Zertifizierungsstelle zu vertrauen. Wechseln Sie dafür in den Reiter “Zertifizierungsstellen” und finden dort unter der Überschrift “Sozialunternehmen Neue Arbeit gGmbH” das Zertifikat “neuearbeit.de”. Markieren Sie es und klicken auf “Vertrauen bearbeiten”.

Haken Sie dann im neuen Fenster den Punkt “Dieses Zertifikat kann Mail-Benutzer identifizieren” an und klicken Sie auf OK.

In einem letzten Schritt müssen Sie den Thunderbird noch anweisen, dass er das soeben importierte Zertifikat auch für das Verschlüsseln und Signieren von E-Mails verwenden soll. Schließen Sie dazu die Zertifikatverwaltung mit OK und wenden sich den zwei Zeilen direkt unter der Abschnittsüberschrift “S/MIME” zu. Klicken Sie bei “Persönliches Zertifikat für digitales Signieren” auf “Auswählen”.

Im Fall dass Sie mehrere gültige persönliche Zertifikate hätten, könnten Sie jetzt eines davon auswählen, wahrscheinlich müssen Sie aber nur das Zertifikat bestätigen, das Ihnen vorgeschlagen wird. Klicken Sie auf OK.

Thunderbird wird Sie daraufhin fragen, ob er das Zertifikat sowohl zum Signieren, als auch zum Verschlüsseln verwenden soll. Bestätigen Sie mit “Ja”.

Hier bietet sich jetzt eine Gelegenheit, zu überprüfen, ob alle Einstellungen erfolgreich vorgenommen worden sind. Wenn jetzt in beiden Zeilen Ihr Name mit der Seriennummer des Zertifikats in eckigen Klammern angezeigt wird. Dann sind die Einstellungen für Ihr persönliches Zertifikat korrekt.

Damit kann der Thunderbird Ihre Mails grundsätzlich verschlüsseln.

Damit Sie verschlüsselte E-Mails versenden können, müssen Sie jetzt die öffentlichen Zertifikate Ihrer Kommunikationspartner:innen in der Zertifikatverwaltung im Thunderbird importieren. Diese öffentlichen Zertifikate können Sie sich von der Arbeitsagentur herunterladen. Anweisungen dazu finden Sie in Kapitel 3.1 der PDF-Anleitung “E-Mail-Verschlüsselung für externe Kommunikationspartner” die Sie bei Ihrer Einladung zur verschlüsselten Kommunikation von der Agentur für Arbeit erhalten haben. Laden Sie sich vorsichtshalber sowohl das Zertifikat als auch die Ausstellerzertifikate herunter (“Download des Zertifikats und der Ausstellerzertifikate als ZIP-Datei”) und entpacken und speichern sie in Ihrem Dokumentenordner.

Sie erhalten zwei Ausstellerzertifikate und ein Benutzerzertifikat. Das Benutzerzertifikat erkennen Sie daran, dass es die gewünschte E-Mail-Adresse im Namen trägt.

Damit der Thunderbird ein Zertifikat Ihres Gegenübers für die Verschlüsselung verwenden kann, müssen auch die Ausstellerzertifikate der Agentur für Arbeit importiert und als vertrauenswürdig markiert werden. Diese Ausstellerzertifikate ändern sich nur selten, so dass dies nicht bei jeder neuen Gesprächspartnerin gemacht werden muss. Wenn man sich also sicher ist, dass die jeweiligen Zertifikate bereits im Thunderbird installiert sind, kann man sich hier einen Schritt sparen.

Öffnen Sie für den Import zunächst wieder die Zertifikatverwaltung (Sie haben sich hoffentlich gemerkt, wie Sie dort hin kommen – wenn nicht, lesen Sie gerne im ersten Kapitel nach) und wechseln dort in den Reiter “Zertifizierungsstellen”. Klicken Sie dort auf den Button “Importieren”.

Wählen Sie im folgenden Öffnungsdialog eines der beiden Ausstellerzertifikate aus. Beginnen Sie mit dem Zertifikat, das das Wort “Root” im Namen trägt.

Nach dem Klick auf Öffnen werden Sie im nächsten Dialog nach den Vertrauenseinstellungen gefragt. Haken Sie hier wieder den Punkt “Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren” an und klicken Sie auf OK.

Damit ist das Ausstellerzertifikat importiert. Wiederholen Sie diesen Vorgang mit dem anderen Ausstellerzertifikat. Falls eines der Ausstellerzertifikate bereits installiert ist, wird Sie der Thunderbird mit einer kurzen Meldung darauf hinweisen. Mit der Zeit entwickeln Sie ein Gefühl dafür, welche Ausstellerzertifikate bei Ihnen bereits installiert sind. Zur Kontrolle finden Sie die installierten Zertifikate auch immer im Reiter “Zertifizierungsstellen” unter der Überschrift “Bundesagentur fuer Arbeit”

Nach den Ausstellerzertifikaten können Sie nun das Benutzerzertifikat installieren. Wechseln Sie dafür in den Reiter “Personen” und klicken Sie dort auf “Importieren”.

Wählen Sie nun im Öffnungsdialog das Benutzerzertifikat aus und klicken Sie auf OK

Wenn die Einstellung gespeichert ist, können Sie an den betroffenen Kontakt verschlüsselte E-Mails senden.

Zum Schluss muss noch das eigene öffentliche Zertifikat bei der Agentur für Arbeit hochgeladen werden, damit auch die Kommunikationspartner verschlüsselt an Sie schreiben können. Verwenden Sie dafür die Datei mit der Endung .pem. Eine Anleitung zum Hochladen finden Sie in der PDF von der Arbeitsagentur im Kapitel 3.4.

Wenn Sie eine E-Mail verfassen, bei der sowohl für den Absender als auch für die Empfängerin gültige Zertifikate im Thunderbird installiert sind, wird Ihnen der Thunderbird automatisch anbieten, die E-Mail zu verschlüsseln. Das erkennen Sie an der Einblendung unten im Verfassen-Fenster.

Wenn Sie nun oben auf den Button “Verschlüsseln” klicken, wird die Verschlüsselung aktiviert. Das erkennen Sie unter anderem daran, dass im “Betreff”-Feld ein durchgestrichenes Vorhängeschloss erscheint. Lassen Sie sich davon nicht irritieren, das Icon soll Sie darauf hinweisen, dass zwar der Inhalt der E-Mail verschlüsselt wird, nicht aber der Betreff.

Sie können die E-Mail dann ganz normal absenden.