· Rexoma Team · IT-Sicherheit · 5 min read
E-Mail-Verschlüsselung für KMU: S/MIME und PGP einfach erklärt
Unverschlüsselte E-Mails sind wie Postkarten – jeder auf dem Transportweg kann mitlesen. Wie KMU mit S/MIME oder PGP sensible Geschäftskommunikation schützen.
Eine E-Mail ohne Verschlüsselung ist rechtlich wie technisch so sicher wie eine Postkarte: Jeder, der den Transportweg kontrolliert – Provider, Netzwerkbetreiber, Angreifer im WLAN – kann mitlesen. Für kleine und mittlere Unternehmen, die täglich Angebote, Verträge, Personaldaten oder Patienteninformationen per E-Mail verschicken, ist das ein handfestes Risiko. Und seit der DSGVO auch ein rechtliches.
Transportverschlüsselung vs. Ende-zu-Ende – der entscheidende Unterschied
Die meisten Mail-Server transportieren E-Mails heute über TLS (Transport Layer Security) – das ist die Basisabsicherung zwischen Servern. Was viele nicht wissen: TLS schützt nur den Transportweg. Auf den Servern selbst liegen E-Mails in der Regel im Klartext. Ein Angreifer, der einen Mail-Server kompromittiert, liest alle alten und neuen E-Mails mit – vollständig.
Ende-zu-Ende-Verschlüsselung schließt diese Lücke. Die E-Mail wird auf dem Gerät des Absenders verschlüsselt und kann ausschließlich vom Empfänger entschlüsselt werden. Server, Provider und Netzwerkknoten sehen nur unlesbaren Ciphertext.
Die zwei Standards: S/MIME und PGP im Vergleich
S/MIME – der Unternehmensstandard
S/MIME (Secure/Multipurpose Internet Mail Extensions) ist das Verfahren, das in klassischen Unternehmensumgebungen dominiert. Es basiert auf X.509-Zertifikaten, ausgestellt von einer Zertifizierungsstelle (CA) – ähnlich wie HTTPS-Zertifikate für Websites.
Vorteile für KMU:
- Nahtlose Integration in Microsoft Outlook, Apple Mail und Thunderbird
- Funktioniert direkt mit Microsoft 365 und Exchange Online
- Digitale Signatur beweist die Identität des Absenders und die Unverändertheit der Nachricht
- Zertifikate kostenlos erhältlich (z.B. Actalis) oder günstig ab ca. 15–30 € pro Jahr und Postfach
Nachteile:
- Kommunikationspartner müssen ebenfalls S/MIME unterstützen
- Zertifikate laufen ab und müssen erneuert werden
- Schlüsselverwaltung für größere Teams erfordert Planung
PGP/GPG – der Open-Source-Ansatz
PGP (Pretty Good Privacy) bzw. sein freies Pendant GPG (GNU Privacy Guard) verfolgt ein anderes Modell: kein zentraler Vertrauensanker, sondern ein dezentrales “Web of Trust”. Jeder Nutzer erstellt selbst ein Schlüsselpaar aus öffentlichem und privatem Schlüssel.
Geeignete Tools:
- Thunderbird: PGP-Unterstützung seit Version 78 direkt eingebaut
- Outlook: Gpg4win (kostenlos, Open Source, von BSI gefördert)
- Webmail: Mailvelope als Browser-Erweiterung für Gmail, GMX etc.
Vorteile:
- Vollständig kostenlos und quelloffen
- Keine Abhängigkeit von kommerziellen Zertifizierungsstellen
- Verbreitet in technischen und sicherheitsbewussten Communities
Nachteile:
- Schlüsselaustausch muss manuell koordiniert werden
- In vielen normalen Büroumgebungen unbekannt – Kommunikationspartner müssen eingebunden werden
- Weniger benutzerfreundlich als S/MIME im Unternehmensalltag
Praxisanleitung: S/MIME in Microsoft 365 / Outlook einrichten
Für die meisten Dresdner KMU, die mit Outlook oder Microsoft 365 arbeiten, ist S/MIME der pragmatischere Einstieg. Hier der schnellste Weg:
Schritt 1: Kostenloses Zertifikat besorgen
Actalis bietet kostenlose S/MIME-Zertifikate für Privatpersonen und Einzelpostfächer an:
- Auf der Actalis-Website registrieren
- E-Mail-Adresse verifizieren
- Zertifikat als
.pfx-Datei herunterladen (enthält Schlüssel + Zertifikat)
Für professionelle Nutzung mit Unternehmensvalidierung bieten Sectigo, GlobalSign oder DigiCert günstige Business-Zertifikate ab ca. 25 € / Jahr.
Schritt 2: Zertifikat in Windows importieren
- Doppelklick auf die
.pfx-Datei → Zertifikat-Importassistent öffnet sich - Speicherort: Aktueller Benutzer
- Passwort eingeben (das bei der Erstellung vergebene)
- Zertifikatspeicher: Automatisch – Windows legt es unter “Eigene Zertifikate” ab
Schritt 3: Outlook konfigurieren
- Datei → Optionen → Trust Center → Einstellungen für das Trust Center
- Reiter E-Mail-Sicherheit
- Unter “Standardeinstellungen für diese verschlüsselte Nachrichten ändern”: Zertifikat auswählen
- Haken setzen bei “Ausgehende Nachrichten digital signieren”
Schritt 4: Kommunikationspartner einbinden
Signierte E-Mails transportieren automatisch Ihren öffentlichen Schlüssel. Sobald Ihr Gesprächspartner Ihnen ebenfalls eine signierte E-Mail schickt, kann Outlook den Schlüssel automatisch speichern. Ab diesem Moment können beide Seiten gegenseitig verschlüsseln.
Für wen ist E-Mail-Verschlüsselung besonders relevant?
Die DSGVO fordert “geeignete technische und organisatorische Maßnahmen” (Art. 32 DSGVO) zum Schutz personenbezogener Daten. E-Mail-Verschlüsselung ist eine solche Maßnahme – und bei bestimmten Kategorien besonders wichtig:
- Arztpraxen, Physio- und Ergotherapeuten: Patientendaten per E-Mail sind besondere Datenkategorien (Art. 9 DSGVO) – hier ist Ende-zu-Ende-Verschlüsselung dringend empfohlen
- Steuerberater und Kanzleien: Mandantendaten, Jahresabschlüsse, Vertragsunterlagen
- HR und Buchhaltung: Gehaltsabrechnungen, Bewerbungsunterlagen, Krankmeldungen
- Handwerksbetriebe und Dienstleister: Angebote mit Kalkulationen und Lieferantenkonditionen
Ostdeutsche KMU stehen hier oft unter besonderem Druck: Auftraggeber aus der Industrie und dem öffentlichen Sektor verlangen zunehmend nachweisbare IT-Sicherheitsmaßnahmen als Voraussetzung für die Zusammenarbeit.
Alternativen für einfacheren Einstieg
Wenn der Aufwand für S/MIME im ersten Schritt zu hoch ist, gibt es pragmatische Übergangslösungen:
Tresorit Send / WeTransfer Pro: Verschlüsselte Dateiübertragung als Ersatz für Anhänge mit sensiblen Dokumenten. Einfach, ohne Zertifikatsverwaltung.
ProtonMail / Tutanota: Ende-zu-Ende verschlüsselte E-Mail-Dienste mit einfacher Handhabung – geeignet für Neugründungen oder Teams ohne Exchange-Infrastruktur.
Nextcloud mit Freigabelinks: Für KMU, die bereits eine eigene Nextcloud-Instanz in Sachsen betreiben, lassen sich Dokumente über passwortgeschützte, ablaufende Links teilen – ohne E-Mail-Anhang.
Zentrale Zertifikatsverwaltung für das Team
Ab etwa 10 Mitarbeitern lohnt es sich, S/MIME-Zertifikate zentral zu verwalten. Mit einem Windows Active Directory und einer internen Microsoft CA (Certificate Authority) können Sie:
- Zertifikate automatisch an alle Mitarbeiter ausstellen
- Ablaufdaten zentral überwachen
- Zertifikate bei Mitarbeiterausscheiden sofort sperren
- Richtlinien über Gruppenrichtlinien (GPO) auf alle Geräte ausrollen
Dieser Ansatz reduziert den administrativen Aufwand erheblich und stellt sicher, dass keine Postfächer ungesichert bleiben.
Sie suchen Unterstützung in Dresden?
Rexoma IT unterstützt KMU in Dresden und Sachsen bei der Einführung sicherer E-Mail-Kommunikation – von der Zertifikatsbeschaffung über die Outlook-Konfiguration bis zur zentralen S/MIME-Verwaltung im Active Directory. Wir analysieren Ihre bestehende Mailinfrastruktur und empfehlen den passenden Ansatz für Ihre Unternehmensgröße und Ihren Schutzbedarf.
FAQ: E-Mail-Verschlüsselung für KMU
Ist TLS-Transportverschlüsselung nicht ausreichend? TLS schützt nur den Übertragungsweg zwischen Servern. Auf den Servern selbst liegen E-Mails unverschlüsselt. Für sensible Daten – Patientendaten, Verträge, Personaldaten – reicht TLS allein nicht aus. S/MIME und PGP verschlüsseln den Inhalt Ende-zu-Ende.
Kann ich verschlüsseln, wenn mein Gegenüber kein Zertifikat hat? Nein – Ende-zu-Ende-Verschlüsselung erfordert, dass beide Seiten das Verfahren unterstützen. Als ersten sinnvollen Schritt können Sie aber alle ausgehenden E-Mails digital signieren: Das beweist Ihre Identität und schützt vor Manipulation, ohne dass der Empfänger etwas installieren muss.
Was kostet ein S/MIME-Zertifikat für ein kleines Unternehmen? Kostenlose Einzelzertifikate gibt es bei Actalis. Für professionelle Unternehmens-Zertifikate mit Organisation Validation liegen die Kosten bei ca. 25–50 € pro Postfach und Jahr. Für interne Kommunikation innerhalb des Unternehmens können Sie eine kostenlose interne CA über Windows Server betreiben.
Funktioniert S/MIME auch mit Microsoft 365 und Exchange Online? Ja, vollständig. Microsoft 365 unterstützt S/MIME in Outlook für Windows, Mac und im Outlook Web App. Alternativ bietet Microsoft mit Purview Message Encryption eine eigene Lösung, die auch verschlüsselte E-Mails an Empfänger ohne Zertifikat ermöglicht.
Was passiert, wenn ich meinen privaten Schlüssel verliere? Alle mit dem zugehörigen Zertifikat verschlüsselten E-Mails können dann nicht mehr entschlüsselt werden. Deshalb ist ein sicheres Backup des privaten Schlüssels (z.B. auf einem verschlüsselten USB-Stick im Safe) essenziell. Im Unternehmenseinsatz sollte die IT-Abteilung Schlüssel-Backups zentral verwalten.
Rexoma IT