E-Mail-Verschlüsselung mit REDDCRYPT getestet

reddcrypt-verschluesselung-e-mail-testberichtIch arbeite hauptberuflich im Support bei einem Webhoster. Dort stosse ich auf ein häufiges Missverständnis. Da im E-Mail-Client SSL aktiviert wird, gehen die Anwender oft davon aus, dass auch der E-Mail-Inhalt verschlüsselt wird. Dies ist jedoch nicht der Fall. Durch die Aktivierung von SSL wird lediglich die Übertragung von Benutzernamen und Kennwort verschlüsselt. Im ursprünglichen, schon sehr alten, E-Mail-Protokoll war eine Übertragung im Klartext vorgesehen.

SSL + E-Mail-Client = E-Mail-Verschlüsselung – Nein!

Auch bei aktiviertem SSL bleibt der Inhalt also unverschlüsselt. Eine Methode, E-Mails zu verschlüsseln, ist Pretty Good Privacy, kurz PGP.  Bei PGP benötigen Sender und Empfänger einen privaten und einen öffentlichen Schlüssel. Mit dem öffentlichen Schlüssel wird verschlüsselt, mit dem privaten wieder entschlüsselt. Das grundsätzliche Prinzip ist also ähnlich wie bei SSL, was hier näher erläutert ist.

Das ganze aufzusetzen, ist für den wenig IT-affinen Anwender jedoch nicht ganz einfach. Die größte Hürde der E-Mail Verschlüsselung liegt darin, dass die Erstellung und der Austausch von Zertifikaten für den Laien viel zu kompliziert ist. Hier will REDDCRYPT in die Presche springen und verspricht E-Mail-Verschlüsselung für jedermann. Grund genug für mich, das Produkt mal genauer anzuschauen.

So funktioniert REDDCRYPT

Du meldest dich bei REDDCRYPT App mit der E-Mailadresse und einem Passwort. Dabei wird automatisch ein Schlüsselpaar – bestehend aus öffentlichem und privatem Schlüssel – generiert. Der private Schlüssel wird mit einem Passwort-Hash verschlüsselt und dann gemeinsam mit dem öffentlichen Schlüssel bei REDDCRYPT hochgeladen.

Dieser sehr kompliziert klingende Vorgang passiert bei REDDCRYPT im Hintergrund. Du als Anwender musst lediglich E-Mailadresse und Passwort eingeben.

Ist der Empfänger auch ein REDDCRYPT Nutzer, erfolgt diese Verschlüsselung mit dem öffentlichen Schlüssel des Empfängers. Das heisst, für dich passiert alles automatisch im Hintergrund.

Ist der Empfänger bisher kein REDDCRYPT Nutzer, definierst du für das erste E-Mail ein spezielles Passwort, mit der der Empfänger die E-Mail entschlüsseln kann. Dieses spezielle Passwort teilst du dem Empfänger zum Beispiel über eine SMS oder einen Anruf mit. Per E-Mail würde kein Sinn machen, da zu dem Zeitpunkt die E-Mail ja noch nicht verschlüsselt ist.


Meine Empfehlungen für meine Leser:


Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=beta4b1b0K8

E-Mail-Verschlüsselung mit REDDCRYPT ausprobiert

Ich habe REDDCRYPT für dich ausprobiert.

REDDCRYPT musst du nicht installieren. Du kannst es direkt über das Web bedienen. Hierzu rufst du die App über die Adresse app.reddcrypt.com auf.

e-mails verschluesseln mit reddcrypt

Bist du zum ersten Mal hier,  kannst du rechts oben deine E-Mail-Adresse eingeben. Du erhältst eine Validierungs-Pin an deine E-Mail-Adresse gesendet. Damit stellt REDDCRYPT sicher, dass niemand Femdes Zugriff auf das Konto versucht bekommt.

e-mails verschluesseln mit reddcrypt

Hier fehlt mir der Hinweis, das so eine E-Mail auch mal im Spam landen kann oder möglicherweise etwas länger dauern kann. Bei mir hat das aktivierte Greylisting – ein recht wirksamer Spamschutz – für eine deutlich Verzögerung gesorgt.

Hat das mit der PIN geklappt setzt du das Passwort für die REDDCRYPT-App.

e-mails verschluesseln mit reddcrypt

Und nun kann man loslegen und Verschlüsseln. Am Einfachsten geht das in der Web-App, die ein eigenes Webmail darstellt. Hierzu klickst du rechts oben auf «Neue E-Mail».

e-mails verschluesseln mit reddcrypt

Anschliessend erstellst du deine E-Mail mit dem geheimen Inhalt.

e-mails verschluesseln mit reddcrypt

Hat der Empfänger noch nie eine mit REDDCRYPT verschlüsselte E-Mail erhalten, musst du zunächst ein Passwort festlegen, dass der Empfänger einmalig zum Entschlüsseln benötigt. In der nächsten Maske ist das entsprechend erläutert.

e-mails verschluesseln mit reddcrypt

Hier fehlt mir persönlich der Hinweis, dass man das Passwort irgendwie speicher muss und dem Empfänger über einen anderen Kanal mitteilen sollte, zum Beispiel SMS. Da E-Mail als Medium prinzipiell nicht sicher ist, macht es hier keinen Sinn, das Passwort per E-Mail zu senden.

Ich persönlich finde es einfacher, dem Empfänger mit separater E-Mail einfach darauf hinzuweisen, dass er sich bei REDDCRYPT anmelden soll, denn dann kann man sich das Versenden des Passwortes sparen.

Das Passwort wird hier jedenfalls nicht angezeigt, also pass bitte genau auf, was du hier festlegst. Hier liesse sich bezüglich der Benutzerfreundlichkeit sicher noch etwas machen.

Der Empfänger enthält darauf folgendes E-Mail:

E-Mail verschlüsseln mit reddcrypt

Der Empfänger muss also erst einmal ebenfalls durch das Registrationsprozedere. Ausserdem braucht er für das erste Öffnen zusätzlich dein Passwort.

Danach kann er in der App das E-Mail öffnen.

reddcrypt

REDDCRYPT – „E-Mail-Verschlüsselung für Jeden“?

Das klappt erst einmal ganz gut. Aber REDDCRYPT wird mit dem Slogan „E-Mail-Verschlüsselung für Jeden“ angeboten. Ich wollte das genauer wissen und habe zwei Personen eine verschlüsselte E-Mail geschickt und um Feedback gebeten.

Beide Personen (77 Jahre männlich und 44 Jahre weiblich) sind kein IT-ler, nutzen aber den Computer als reine Anwender  für Internet, E-Mail, E-Banking, Online-Shopping, Office, etc. versiert.

Das Ergebnis kommt für mich nicht unerwartet. Beide hatten Schwierigkeiten mit dem Anmeldeprozedere. Die Anweisungen zum Entschlüsseln im ersten E-Mail sind einfach zu generisch.

Hier muss aus meiner Sicht klarer die Verwendung der Anmeldedaten bei REDDCRYPT, der PIN und des Passworts, das man vom Absender separat erhält dargelegt werden.

Konkretes Feedback der Anwenderin

«Ich würde das Vorgehen nummeriert schrittweise formulieren. Zum Beispiel

so:
2. Auf der geöffneten Seite die Registrierung für die Erstanwendung
durchführen. Dazu deine e-mail eingeben und ein Passwort, das dir
zugeschickt wird.
3. …
4. …
5.
Dieses muss zum öffnen der E-Mail eingegeben werden, nachdem!!! (einfacher formulieren. 2 Sätze machen und nicht NACHDEM verwenden) Sie sich eingeloggt haben.»

REDDCRYPT, Outlook und Co?

Webmail ist oftmals etwas verpönt. Es gibt aber ausserdem noch eine APP für iOS (also iPhone oder iPad), Android, eine für Windows und ein Plugin für Outlook). Outlook aber leider nur für Windows. Ich teste hier auch mal noch kurz das Plugin für Outlook.

Das Plugin kann man derzeit unter reddcrypt.com/apps/outlook-plugin herunterladen. Das Installationspaket, das lediglich als MSI-Paket daherkommt, kann durch Doppelklick gestartet werden.

reddcrypt

Das ist nicht ganz alltäglich, danach startet aber der übliche Installationsassistent.

reddcrypt

Nach dem Start von Outlook kann man direkt ein REDDCRYPT Konto konfigurieren.

reddcrypt

reddcrypt

Das Verschlüsseln kann man dann direkt im E-Mail-Fenster von Outlook mit Klick auf die entsprechende Taste aktivieren.

reddcrypt

Beim Versenden erhält man noch ein paar Hinweise, die man aber auf für weitere Male ausblenden kann.

reddcrypt

Beim Empfang enttäuscht mich das Plugin etwas. Ich erhalte den gleichen Standardtext, wie beim Empfang in einem E-Mail-Client ohne installiertem Plugin. Es fehlt der Hinweis, dass man das E-Mail mit Klick auf «Entschlüsseln» (immerhin prominent rechts oben) entschlüsseln kann. Noch besser fände ich es, wenn das Plugin gleich das E-Mail entschlüsseln würde.

Hersteller REDDOX antwortete mir auf meine Anfrage, was ich schon vermutet habe. Technisch ist hier keine Unterscheidung möglich. Man prüft aber die Änderung des Hinweistexts.

reddcrypt

Was kostet REDDCRYPT?

REDDCRYPT ist bis 31.12.2019 komplett kostenlos. Danach bleibt nur noch die Webapp kostenlos. Will man die anderen Apps oder das Outlook-Plugin dann weiterhin nutzen, werden 2,00 € zzgl. MwSt., pro E-Mailadresse/Monat bei jährlicher Abrechnung fällig.

Wer steckt hinter REDDCRYPT?

REDDCRYPT ist eine Marke der REDDOXX GmbH. Das 2005 gegründete Unternehmen aus dem deutschen Kirchheim ist spezialisiert auf die Bereiche E-Mail Management und IT-Sicherheit spezialisiert und laut einigen Daten im deutschsprachigen Raum mit über 3.500 Installationen des E-Mail-Gateways einer der führenden Hersteller für Lösungen rund um die E-Mail Kommunikation.

Fazit E-Mail-Verschlüsselung mit REDDCRYPT

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=bDFzwyENZLQ

Die ganze Lösung wirkt sehr durchdacht und ich finde auch das Preis-/Leistungs-Verhältnis vollkommen in Ordnung.

Nur habe ich Bedenken, ob das Produkt dem Anspruch «E-Mail-Verschlüsselung für Jeden» gerecht wird. Man merkt dem Produkt an, dass es von Techies gemacht wurde. Ich arbeite selber im Support bei einem Webhoster und da stosse ich regelmässig auf Probleme, die ich mir in meiner Tech-Welt kaum vorstellen kann.

Hier die Probleme, mit denen ein Nicht-Techie in der jetzigen Version des Produkte stolpern wird:

  • Die Notwendigkeit, dass beim erstmaligen Anmelden eine PIN eingegeben werden muss, dürfte dem Laien nicht einleuchten. Hier sollten ein paar erklärende und einfach geschrieben Worte hinzugefügt werden, die das dem Anwender klar machen.
  • Eines unserer häufigsten Fragen sind Probleme mit den Passwörtern. Das eigentlich E-Mail-Konto verwendet eine E-Mail-Adresse und ein Passwort. REDDCRYPT verwendet ebenfalls die gleiche E-Mail-Adresse und ein Passwort. Beide müssen nicht gleich sein. Das wird dem ein oder anderen Anwender Kopfzerbrechen bereiten.
  • Beim erstmaligen Versenden an einen Empfänger ohne REDDCRYPT-Konto muss man ein Passwort generieren und dieses dem Empfänger zukommen lassen. Das Prozedere ist aber für den Laien ebenfalls nicht trivial. Das Passwort kann nur verdeckt eingegeben werden und muss auch nicht wiederholt werden. An dieser Stelle fehlt dann auch der Hinweis, dass eine Übertragung per E-Mail nicht sinnvoll ist, da Standard-E-Mail nicht sicher ist. Hier würde ich mir die Möglichkeit wünschen, dem Empfänger vorab per Knopfdruck eine E-Mail zu senden, dass er ein Konto bei REDDCRYPT eröffnen soll, um meine verschlüsselten E-Mails zu empfangen. Dann ist das umständliche Hingeschicke eines individuellen Passwortes nich mehr nötig. Immerhin findet sich im Support eine entsprechende Vorlage für ein Anschreiben an Geschäftspartner.
    Ausserdem müssen die Anweisungen in dem E-Mail, dass der Empfänger einer verschlüsselten E-Mail enthält, klarer sein.

Der Support-Bereich auf der Website wirkt noch sehr dürftig. Es ist auf den ersten Blick unklar, wie man Support erhalten kann. Scheinbar ist dazu nur das Forum vorhanden. Dazu braucht es einen Benutzernamen und ein Passwort. Absolut unverzeihlich finde ich hier, dass hier der Benutzername und Passwort für REDDCRYPT nicht funktioniert und so also eine erneute Anmeldung nötig zu sein scheint. War zumindest bei meinem Test so. Das ist eine weitere Hürde für den hilfesuchenden Anwender.

Aus meiner Sicht muss REDDOX bei der Benutzerfreundlichkeit noch «draupacken», um eine «Verschlüsselung für Jeden» zu werden.

Technisch gesehen ist das Meckern auf hohem Niveau. REDDCRYPT hat das Zeug dazu, die E-Mail-Verschlüsselung wirklich voran zu bringen. Wäre schade, wenn es an der Benutzerfreundlichkeit und dem Support scheitern würde.

 

 

Das könnte dich auch interessieren:

4 Kommentare

  1. Zitat:
    Der private Schlüssel wird mit einem Passwort-Hash verschlüsselt und dann gemeinsam mit dem öffentlichen Schlüssel bei REDDCRYPT hochgeladen.

    Dies hier ist für mich bereits das erste Ausschlusskriterium. Für Privatanwender vielleicht gerade noch so verschmerzbar. Private Schlüssel haben jedoch auch privat zu bleiben. Ich habe jedoch einige Firmen aus dem Energie-Sektor zur Betreuung. Dort wäre das ein absolutes No-Go…

    1. Guten Tag,

      vielen Dank für Ihren Kommentar, auf den ich gerne kurz eingehen möchte.

      Dass der Private Key bei uns liegt, ist korrekt. Allerdings ist dieser komplett verschlüsselt und nur nach Passworteingabe des Users nutzbar. Da wir das Kennwort nicht kennen und es zu keinem Zeitpunkt an uns übermittelt wird (deshalb der Passworthash), gibt es keine Möglichkeit, dass wir die E-Mails lesen. Im Gegensatz zu Lösungen wie WhatsApp und Co. sprechen wir hier also über eine „echte“ Ende-zu-Ende Verschlüsselung made in Germany. Wir wir genau mit dem Key umgehen und warum wir nichts lesen können, haben wir hier beschrieben: https://www.reddcrypt.com/technologie/

      Warum liegt der Key bei uns? Das hat zwei Gründe.
      Zum einen, weil die Erfahrung zeigt, dass selbst viele IT-Administratoren nicht genau wissen, welche Zertifikate für was verwendet werden. Das bedeutet, dass sowohl die Zertifikatserstellung, als auch der Austausch an sich schon so große Hürden darstellen, dass man häufig gar nicht erst anfängt. Und wenn dann eine Seite kein IT-Administrator ist, wirds ein fast aussichtloses Unterfangen.

      Zum anderen stellen wir damit sicher, dass die Verschlüsselung über jedes beliebige Endgerät immer genau dann möglich ist, wenn man die Mail schreiben möchte. Müsste der Nutzer vorher seine Keys selber von Endgerät zu Endgerät transferieren, erfordert dies erneut technisches Verständnis und stellt ebenfalls eine enorme Hürde dar.

      Viele Grüße
      Christian Schröder, REDDOXX GmbH

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.