Technologie-Übersicht 2026

E-Mail Verschlüsselung.

Sechs Ansätze im Vergleich -- von Transportverschlüsselung bis Ende-zu-Ende. Welche Lösung passt zu Ihrem Schutzbedarf?

Welche Lösung passt zu Ihnen?

Ein paar einfache Fragen – und Sie wissen, welche sichere Datenleitung zu Ihnen passt. Kein Fachwissen nötig, jeder Begriff wird erklärt.

Die Lösungen im Überblick

Von einfacher Transportverschlüsselung bis zum sicheren Dokumentenportal.

TLS

TLS-Gateway

Automatische Transportverschlüsselung zwischen Mail-Gateways. Transparent, zentral verwaltet, kein Nutzereingriff nötig.

Details ansehen
M365

Microsoft 365 TLS Connector

Erzwungene TLS-Verschlüsselung über Exchange Online Connectors. Bordmittel von Microsoft 365.

Details ansehen
MVS

Secure MVS Webmail

Portal-basierte Verschlüsselung. Empfänger ruft Nachrichten über ein sicheres Webportal ab.

Details ansehen
PGP

PGP / OpenPGP

Dezentrale Ende-zu-Ende-Verschlüsselung mit Web of Trust. Open Source und kostenlos.

Details ansehen
S/M

S/MIME

Ende-zu-Ende-Verschlüsselung und digitale Signatur auf Basis von X.509-Zertifikaten und PKI.

Details ansehen
SiB

Signaturbox / eDOCBox Postfach+

Sicheres Dokumentenportal mit digitalem Signatur-Workflow. DSGVO- und eIDAS-konform.

Details ansehen

Vergleich aller Lösungen

Welche Methode passt zu welchem Schutzbedarf?

Kriterium TLS Gateway M365 TLS S/MIME PGP Secure Webmail Signaturbox
Verschlüsselungstyp Transport Transport Ende-zu-Ende Ende-zu-Ende Portal Portal
Transportschutz Hoch Hoch Hoch Hoch Hoch Hoch
Inhaltlicher Schutz Keiner Keiner Hoch Hoch Hoch Hoch
Benutzerfreundlichkeit Sehr hoch Sehr hoch Mittel Gering Mittel Mittel
Kosten Gateway-Lizenz In M365 enthalten Zertifikate/Jahr Kostenlos Gateway-Lizenz Plattform-Lizenz
Aufwand Gering Gering Mittel-Hoch Mittel-Hoch Mittel Mittel
Endgeräte Empfänger Gewohnte App Gewohnte App Zertifikat/Gerät Software/Gerät Nur Browser Nur Browser
Digitale Signatur Nein Nein Ja Ja Nein Ja (eIDAS)
Administrator nötig Ja (Muss) Ja (Muss) Ja Ja Nein Nein
Transportverschlüsselung

TLS-Gateway-Verschlüsselung

Automatische Verschlüsselung des E-Mail-Transportwegs zwischen zwei Mail-Gateways mittels TLS.

Funktionsweise

  1. Absender sendet E-Mail unverschlüsselt an das lokale Gateway
  2. Gateway prüft Richtlinien: Forced TLS oder Opportunistic TLS
  3. Per STARTTLS wird eine verschlüsselte Verbindung zum Ziel-Server ausgehandelt
  4. E-Mail wird verschlüsselt über das Internet transportiert
  5. Am Ziel-Gateway wird die Transportverschlüsselung terminiert

Opportunistic vs. Forced TLS

Modus Verhalten
Opportunistic TLS TLS wird versucht; bei Fehlschlag wird unverschlüsselt übertragen
Forced / Mandatory TLS TLS wird erzwungen; bei Fehlschlag wird die Zustellung abgelehnt

Vorteile

  • Transparenz -- Keine Änderung am E-Mail-Client oder Nutzerverhalten nötig
  • Zentrale Verwaltung -- Richtlinien werden einmalig am Gateway konfiguriert
  • Keine Schlüsselverwaltung pro Nutzer -- Kein Zertifikats-Management auf Endnutzerebene
  • Automatisierung -- Alle E-Mails werden regelbasiert verschlüsselt
  • Compliance -- Erfüllt DSGVO Art. 32 (Transportverschlüsselung)

Nachteile

  • Keine Ende-zu-Ende-Verschlüsselung -- E-Mails liegen auf Mailservern im Klartext
  • Nur Transportweg geschützt -- Schutz endet am jeweiligen Gateway
  • Downgrade-Angriffe möglich -- Bei Opportunistic TLS kann die Aushandlung gestört werden
  • Abhängigkeit vom Gegenstellen-Support -- Empfänger-Server muss TLS unterstützen
  • Unverschlüsselt auf Gateway-Server des Providers -- Der Provider kann die E-Mail im Klartext lesen

Typische Anbieter

Zertificon Z1 SEPPmail NoSpamProxy Sophos Cisco ESA Totemo

Sicherheitsbewertung

Transportschutz
Hoch
Inhaltlicher Schutz
Keiner
Benutzerfreundlichkeit
Sehr hoch
Implementierungsaufwand
Gering
Microsoft 365

Exchange Online mit TLS Connector

Erzwungene TLS-Verschlüsselung über Exchange Online Connectors -- als Bordmittel in den Microsoft 365 Business-/Enterprise-Plänen (ab Business Basic) enthalten, nicht in Privat-Lizenzen.

Funktionsweise

  1. Im Exchange Admin Center wird ein Partner-Connector erstellt
  2. Connector definiert Regeln für ein-/ausgehenden Mailflow
  3. TLS wird als Pflicht konfiguriert (ggf. mit Zertifikatsvalidierung)
  4. Exchange Online erzwingt TLS bei der SMTP-Kommunikation
  5. Bei fehlgeschlagenem TLS-Handshake: E-Mail wird nicht zugestellt

Connector-Typen

Typ Richtung Zweck
Partner (Outbound) Ausgehend Erzwingt TLS zu bestimmten Domänen
Partner (Inbound) Eingehend Akzeptiert nur TLS-verschlüsselte Verbindungen
On-Premises Hybrid Für Hybrid-Szenarien mit lokalen Exchange-Servern

Vorteile

  • Keine zusätzliche Software -- Nutzung der vorhandenen M365-Infrastruktur
  • Kosteneffizient -- In den Microsoft 365 Business-/Enterprise-Plänen enthalten
  • Zentrale Verwaltung -- Konfiguration über EAC oder PowerShell
  • Zertifikatsvalidierung -- Schutz vor Man-in-the-Middle-Angriffen
  • Protokollierung -- Nachverfolgung über Message Trace

Nachteile

  • Nur Transportverschlüsselung -- Keine Ende-zu-Ende-Verschlüsselung
  • Abhängigkeit vom Partner -- Gegenseite muss TLS unterstützen
  • Pro-Partner-Konfiguration -- Jeder Partner braucht eigenen Connector
  • Microsoft als Vertrauensanker -- E-Mails auf Microsoft-Servern im Klartext

Sicherheitsbewertung

Transportschutz
Hoch
Inhaltlicher Schutz
Keiner
Benutzerfreundlichkeit
Sehr hoch
Implementierungsaufwand
Gering
Ende-zu-Ende

S/MIME

Ende-zu-Ende-Verschlüsselung und digitale Signatur auf Basis von X.509-Zertifikaten und einer Public-Key-Infrastruktur.

Verschlüsselung

  1. Absender benötigt das öffentliche Zertifikat des Empfängers
  2. E-Mail wird mit zufälligem symmetrischen Session Key verschlüsselt
  3. Session Key wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt
  4. Nur der Empfänger kann mit seinem privaten Schlüssel entschlüsseln

Digitale Signatur

  1. Absender erstellt einen Hash der E-Mail
  2. Hash wird mit dem privaten Schlüssel des Absenders signiert
  3. Empfänger verifiziert die Signatur mit dem öffentlichen Zertifikat
  4. Integrität und Authentizität der Nachricht sind nachweisbar

Zertifikatsklassen

Klasse Validierung Einsatz
Klasse 1 Nur E-Mail-Adresse Privatpersonen
Klasse 2 E-Mail + Identität Unternehmen
Klasse 3 Persönliche Identifikation Hochsicherheit

Kompatibilität (Beispiele, nicht abschließend)

Client Unterstützung
Outlook Desktop Vollständig
Apple Mail Vollständig
Thunderbird Vollständig
Outlook Web Eingeschränkt
Gmail Web Nur Google Workspace

Vorteile

  • Ende-zu-Ende-Verschlüsselung -- Schutz auch auf dem Mailserver
  • Digitale Signatur -- Nachweis von Authentizität und Integrität
  • Standardisiert -- RFC 8551, breit unterstützt
  • Native Unterstützung -- In Outlook, Apple Mail, Thunderbird integriert
  • Rechtliche Anerkennung -- Qualifizierte Signaturen nach eIDAS möglich

Nachteile

  • Zertifikatskosten -- Kommerzielle Zertifikate kosten pro Nutzer/Jahr
  • Komplexe Verwaltung -- Zertifikatslebenszyklus muss gemanagt werden
  • Schlüsselaustausch nötig -- Zertifikate müssen vorab ausgetauscht werden
  • Keine Forward Secrecy -- Kompromittierung gefährdet alle bisherigen Nachrichten
  • Metadaten ungeschützt -- Betreff, Absender, Empfänger bleiben sichtbar

Sicherheitsbewertung

Transportschutz
Hoch
Inhaltlicher Schutz
Hoch (E2E)
Benutzerfreundlichkeit
Mittel
Implementierungsaufwand
Mittel-Hoch
Open Source

PGP / OpenPGP

Dezentrale Ende-zu-Ende-Verschlüsselung mit Web of Trust. Seit 1991 bewährt, kostenlos und quelloffen.

Verschlüsselung

  1. Absender lädt den öffentlichen PGP-Schlüssel des Empfängers (z. B. Keyserver)
  2. Nachricht wird mit zufälligem symmetrischen Schlüssel verschlüsselt (AES-256)
  3. Symmetrischer Schlüssel wird mit dem Public Key des Empfängers verschlüsselt
  4. Nur der Empfänger kann mit seinem Private Key entschlüsseln

Vertrauensmodell: Web of Trust

  • Nutzer signieren gegenseitig ihre öffentlichen Schlüssel
  • Vertrauen wird transitiv weitergegeben
  • Kein zentraler Vertrauensanker -- keine CA nötig
  • Alternativen: TOFU (Trust on First Use), WKD (Web Key Directory)

Schlüsselverteilung

Methode Beschreibung
Keyserver keys.openpgp.org, SKS-Netzwerk
WKD Web Key Directory -- automatische Abfrage über Domain
Manuell Direkter Austausch per E-Mail, Website, QR-Code

Software & Tools

Tool Plattform Beschreibung
GnuPG (GPG) Alle Referenz-Implementierung
Gpg4win Windows GPG + Kleopatra-GUI + Outlook-Plugin
GPG Suite macOS Integration in Apple Mail
Thunderbird Alle Seit v78 native OpenPGP-Unterstützung
Proton Mail Web/App PGP-basierte E-Mail-Plattform

Vorteile

  • Ende-zu-Ende-Verschlüsselung -- Vollständiger Schutz der Inhalte
  • Dezentral -- Keine Abhängigkeit von Zertifizierungsstellen
  • Kostenlos & Open Source -- GnuPG ist frei verfügbar und auditierbar
  • Bewährt -- Seit 1991, kryptographisch solide
  • Plattformübergreifend -- Für alle Betriebssysteme verfügbar

Nachteile

  • Komplexes Schlüsselmanagement -- Für Laien schwer verständlich
  • Geringe Verbreitung -- Außerhalb technischer Communities wenig genutzt
  • Keine native Outlook-Integration -- Erfordert Plugins (Gpg4win)
  • Web of Trust skaliert schlecht -- In der Praxis kaum praktikabel
  • Schlüsselverlust = Datenverlust -- Ohne Private Key kein Zugriff

Sicherheitsbewertung

Transportschutz
Hoch
Inhaltlicher Schutz
Hoch (E2E)
Benutzerfreundlichkeit
Gering
Implementierungsaufwand
Mittel-Hoch
Web-Portal

Secure MVS Webmail

Portal-basierte Verschlüsselung -- verschlüsselte E-Mails werden in einem sicheren Webportal zum Abruf bereitgestellt.

Funktionsweise

  1. Absender kennzeichnet E-Mail als vertraulich (Betreff-Tag, Plugin, Regel)
  2. E-Mail-Gateway fängt die Nachricht ab und speichert sie im Webportal
  3. Empfänger erhält Benachrichtigungs-E-Mail mit Link zum Portal
  4. Beim ersten Zugriff: Registrierung am Portal (Einmal-Passwort)
  5. Empfänger liest die E-Mail samt Anhängen im Browser
  6. Optional: Verschlüsselte Antwort über das Portal

Varianten

Variante Beschreibung
Push-and-Pull Benachrichtigung per E-Mail, Abruf im Portal
PDF-Verschlüsselung E-Mail wird als verschlüsseltes PDF zugestellt
Einmalpasswort Zugang über SMS/Telefon übermitteltes Passwort
Selbstregistrierung Empfänger erstellt eigenes Portal-Konto

Vorteile

  • Kein Setup beim Empfänger -- Nur ein Browser wird benötigt
  • Universell einsetzbar -- Unabhängig vom E-Mail-System des Empfängers
  • Kein Schlüsselaustausch -- Keine Zertifikate beim Empfänger erforderlich
  • Kontrolle beim Absender -- Nachrichten können gelöscht oder befristet werden
  • Audit-Trail -- Nachvollziehbar, wann die Nachricht gelesen wurde
  • Sichere Rückantwort -- Empfänger kann verschlüsselt antworten

Nachteile

  • Medienbruch -- Empfänger muss separates Portal nutzen
  • Akzeptanzprobleme -- Portal-Zugang wird als umständlich empfunden
  • Phishing-Risiko -- Nutzer werden trainiert, Links zu klicken und Passwörter einzugeben
  • Portalverfügbarkeit -- Bei Ausfall kein Zugriff möglich
  • Kein automatischer Posteingang -- E-Mails liegen im Portal (lassen sich aber herunterladen und ins Maklerverwaltungsprogramm importieren)

Typische Anbieter

SEPPmail (GINA) Zertificon Z1 NoSpamProxy Totemo / Kiteworks Cisco CRES Proofpoint Microsoft OME

Sicherheitsbewertung

Transportschutz
Hoch
Inhaltlicher Schutz
Hoch
Benutzerfreundlichkeit
Mittel
Implementierungsaufwand
Mittel
Dokumentenportal

Signaturbox / eDOCBox Postfach+

Sicheres Dokumentenportal mit digitalem Signatur-Workflow. DSGVO- und eIDAS-konform.

Funktionsweise

  1. Dokumente werden in der eDocBox-Plattform bereitgestellt
  2. Externe Geschäftspartner erhalten Zugriff über ein sicheres Online-Portal
  3. Dokumente bleiben während der Bearbeitung dauerhaft in der eDocBox
  4. Geschäftspartner können einsehen, bearbeiten und digital unterschreiben
  5. Gesamter Prozess ist vollständig papierlos

Abgrenzung zur E-Mail-Verschlüsselung

Merkmal E-Mail-Verschlüsselung Signaturbox / eDOCBox Postfach+
Medium E-Mail Web-Portal
Zustellung Push (E-Mail) Pull (Portal-Zugriff)
Fokus Nachrichteninhalt Dokumentenmanagement
Workflow Kommunikation Bearbeitung & Signatur

Vorteile

  • DSGVO-konform -- Erfüllt die Anforderungen der Datenschutz-Grundverordnung
  • eIDAS-konform -- Elektronische Signaturen nach EU-Verordnung
  • Kein Ausdruck nötig -- Vollständig papierloser Prozess
  • Zentrale Speicherung -- Kein unkontrollierter Versand von Dokumentenkopien
  • Externe Einbindung -- Partner brauchen keine eigene eDocBox
  • Nachvollziehbarkeit -- Zugriff und Bearbeitung werden protokolliert

Nachteile

  • Kein E-Mail-Ersatz -- Nicht für klassische E-Mail-Kommunikation konzipiert
  • Portal-Zugang nötig -- Medienbruch für Empfänger
  • Anbieterabhängigkeit -- Plattformgebundene Lösung
  • Preistransparenz -- Preismodelle nicht öffentlich einsehbar

Sicherheitsbewertung

Transportschutz
Hoch
Dokumentenschutz
Hoch
Benutzerfreundlichkeit
Mittel
Implementierungsaufwand
Mittel