Arbeiten in Teams und mit Funktionsadressen

Dieser Artikel zeiget verschiedene Möglichkeiten, wie Sie GnuPG in Teams oder mit Funktionsadressen nutzen. Je nach Anforderung oder Szenario kommen dabei unterschiedliche Varianten infrage.

Hinweis: Im Kontext von VS-NfD (VS – NUR FÜR DEN DIENSTGEBRAUCH) gilt das Prinzip „Kenntnis nur, wenn nötig“ (Need-to-know). Teams, die denselben geheimen Schlüssel (secret key) oder Zugriff auf dasselbe Geheimnis erhalten, sollten deshalb aus möglichst wenigen Personen bestehen.

Varianten

Variante 1: Geheimen Schlüssel gemeinsam nutzen

Anwendungsfall

Diese Variante eignet sich, wenn mehrere Personen Zugriff auf dasselbe E-Mail-Postfach benötigen – etwa bei einer Funktionsadresse wie support@example.com.

Vorgehensweise

  1. Erstellen Sie einen regulären geheimen Schlüssel für die Funktionsadresse.
  2. Verteilen Sie diesen Schlüssel an alle Teammitglieder – zum Beispiel über Kleopatra (Datei / Sicherungskopie geheimer Schlüssel erstellen).

Funktionsweise

  • Alle Personen mit Zugriff auf das Funktionspostfach können verschlüsselte E-Mails lesen.
  • E-Mails, die vom Funktionspostfach gesendet werden, lassen sich mit dem gemeinsamen Schlüssel sowohl verschlüsseln als auch signieren.

→ Das gesamte Team kann eingehende Nachrichten lesen und verschlüsselt darauf antworten.

Wenn sich das Team ändert

  • Neue Teammitglieder erhalten den geheimen Schlüssel.
  • Wenn jemand das Team verlässt, wird der Schlüssel zurückgezogen und ein neuer erzeugt. Das zugehörige Widerrufszertifikat und der neue Schlüssel müssen an alle verbleibenden Teammitglieder verteilt werden.

Hinweis: Da der neue Schlüssel einen anderen Fingerabdruck hat, muss er erneut beglaubigt werden – durch eine interne CA oder die einzelnen Nutzerinnen und Nutzer.

Vorteile

  • Sehr einfache Einrichtung
  • Schnelle Umsetzung ohne zusätzliche Werkzeuge

Was Sie bedenken sollten

  1. Alle Personen mit Zugriff auf den geheimen Schlüssel können Änderungen am Zertifikat vornehmen.
  2. E-Mails werden immer mit der Funktionsadresse signiert – eine persönliche Zuordnung ist nicht möglich. (Das kann je nach Einsatzzweck aber auch gewünscht sein.)

Erweiterte Variante

Wenn Sie etwas mehr Kontrolle und Sicherheit wünschen, können Sie das Verfahren wie folgt erweitern:

1. Zentrale Verwaltung

Eine oder zwei Personen sind für die Verwaltung des vollständigen Schlüssels der Funktionsadresse verantwortlich. Nur sie haben Zugriff auf den Teil des Schlüssels, der Änderungen erlaubt – den Unterschlüssel mit der Fähigkeit Certify.

2. Zugriff für das Team begrenzen

Für alle anderen Teammitglieder wird eine Version des geheimen Schlüssels erstellt, die nur die Unterschlüssel zum Signieren (Sign) und Verschlüsseln (Encrypt) enthält – nicht den Certify-Unterschlüssel.

So kann das Team E-Mails verschlüsseln, entschlüsseln und signieren. Änderungen am Schlüssel (zum Beispiel neue Benutzerkennungen hinzufügen) sind aber nicht möglich.

Hinweis: Auf diese Weise verhindern Sie ungewollte Änderungen am Funktionsadressen-Schlüssel durch das Team. Gleichzeitig bleibt die Nutzung einfach – nur die Verwaltung ist etwas aufwändiger.

Anleitung: Team-Schlüssel für ein Funktionspostfach erstellen

Für eine saubere Verwaltung muss der Schlüssel über getrennte Fähigkeiten für Signieren und Beglaubigen verfügen.

Unter Windows können Sie das folgende Skript verwenden, um einen Team-Schlüssel zu erstellen:

Skript herunterladen

Signatur

Alternativ können Sie den Schlüssel auf der Kommandozeile manuell erstellen. Dazu geben Sie die folgenden Befehle in ein Terminal bzw. die Windows-Eingabeaufforderung (cmd.exe) ein.

1. Erzeugen Sie den Hauptschlüssel (nur zum Beglaubigen): 

gpg --quick-gen-key FUNKTIONS_MAIL rsa3072 cert

Ersetzen Sie FUNKTIONS_MAIL durch die Adresse des Funktionspostfachs. Nach dem Erzeugen zeigt GnuPG den Schlüssel samt Fingerabdruck an.

2. Fügen Sie die benötigten Unterschlüssel hinzu: 

> gpg --quick-add-key FINGERPRINT rsa3072 sign
> gpg --quick-add-key FINGERPRINT rsa3072 encrypt

Ersetzen Sie FINGERPRINT durch den zuvor angezeigten Fingerabdruck des Hauptschlüssels. Mit dem ersten Befehl erzeugen Sie einen Unterschlüssel zum Signieren, mit dem zweiten einen zum Verschlüsseln. Statt rsa3072 können Sie auch andere Algorithmen wie etwa brainpoolP384r1 verwenden – je nach Sicherheitsanforderung und Vorgabe.

3. Vollständigen Schlüssel verteilen:

Der vollständige Schlüssel liegt jetzt in Ihrem Schlüsselbund. Er enthält:

  • den Hauptschlüssel mit der Fähigkeit Certify (zum Signieren von Benutzerkennungen und zur Schlüsselverwaltung),
  • einen Unterschlüssel zum Signieren von Nachrichten
  • und einen Unterschlüssel zum Entschlüsseln eingehender E-Mails.

Hinweis: Nur ausgewählte Personen – etwa Schlüsselverwalter:innen – dürfen Zugriff auf die vollständige Version des Schlüssels erhalten. Mit ihr lassen sich Benutzerkennungen ändern, der Schlüssel verlängern, zusätzliche Unterschlüssel erstellen oder der Schlüssel bei Bedarf widerrufen.

4. Manipulationssichere Version erzeugen:

Erstellen Sie nun eine eingeschränkte Version des geheimen Schlüssels – ohne den Certify-Unterschlüssel: 

> gpg --export-secret-subkeys -a FINGERPRINT > TEAMKEY_SECRET_no-certify.asc

Ersetzen Sie TEAMKEY durch einen passenden Namen für Ihr Funktionspostfach und FINGERPRINT durch den Fingerabdruck des Hauptschlüssels.

Diese Datei enthält nur die geheimen Unterschlüssel zum Signieren und Verschlüsseln – nicht aber den Teil, mit dem sich der Schlüssel verändern lässt. Sie kann sicher an alle Personen verteilt werden, die mit dem Funktionspostfach arbeiten sollen.

5. Öffentlichen Schlüssel exportieren:

Den öffentlichen Schlüssel können alle Teammitglieder selbst aus ihrem Schlüsselbund exportieren und weitergeben – zum Beispiel, um ihn an Kommunikationspartner zu schicken oder auf einem Keyserver zu veröffentlichen.

Variante 2: Kleopatra-Gruppen verwenden

Anwendungsfall

Diese Variante ist geeignet für geschlossene E-Mail-Verteiler sowie für zentral verschlüsselte Dokumente, die einem definierten Personenkreis zur Verfügung stehen sollen.

Vorgehensweise

Im Folgenden bezieht sich der Begriff „Gruppe“ auf eine Kleopatra-Gruppe – also eine Zusammenstellung mehrerer öffentlicher Schlüssel.

  1. Jedes Teammitglied verfügt über ein eigenes Zertifikat.
  2. Eine verantwortliche Person erstellt eine Kleopatra-Gruppe mit den öffentlichen Schlüsseln aller Teammitglieder.
  3. Die Gruppendatei wird an alle Teilnehmenden verteilt und von ihnen importiert.
  4. [Optional] Die Gruppe kann auch an Dritte weitergegeben werden (siehe Abschnitt „Was Sie bedenken sollten“).

Funktionsweise

  • Alle Teammitglieder erhalten E-Mails direkt in ihr persönliches Postfach.
  • Die Gruppe kann als Empfänger verwendet werden, um eine Nachricht an alle gleichzeitig verschlüsselt zu senden.
  • Die Nachricht wird dabei für jede einzelne Empfängerin individuell verschlüsselt – mit deren persönlichem Schlüssel.
  • Beim Antworten an externe Personen erfolgt die Antwort immer von der eigenen Adresse aus – also nicht über eine Funktionsadresse. Die Nachricht wird dann auch mit dem eigenen Schlüssel unterschrieben.

Wenn sich das Team ändert

  • Neue Mitglieder werden der Gruppe hinzugefügt, ausscheidende entfernt.
  • Die überarbeitete Gruppendatei muss dann erneut an alle Teammitglieder verteilt und von ihnen importiert werden.

Vorteile

  • Es ist kein gemeinsamer geheimer Schlüssel nötig.
  • Jedes Teammitglied arbeitet mit seinem eigenen, bereits vorhandenen Zertifikat.
  • Die Verwaltung bleibt dezentral – keine zentrale Schlüsselpflege erforderlich.

Was Sie bedenken sollten

  1. Die Funktionsadresse selbst hat kein eigenes Zertifikat – sie kann also nicht als eigenständige, verschlüsselte Identität genutzt werden.
  2. Die Gruppendatei muss vorher an alle Beteiligten verteilt und importiert werden. Das funktioniert nur, wenn alle Teammitglieder GnuPG VS-Desktop® verwenden.
  3. Beim Antworten an externe Personen wird nicht die Funktionsadresse verwendet, sondern immer die eigene Adresse.
  4. Die Antwort wird mit dem eigenen Schlüssel signiert.
  5. Nachrichten, die Teammitglieder an Außenstehende senden, können nicht vom restlichen Team gelesen werden.
  6. Eine Antwort auf eine Nachricht innerhalb des Teams ist ebenfalls nur für den ursprünglichen Absender lesbar – nicht für das gesamte Team.

Hinweis: Die Punkte 3 und 4 können zu Verwirrung bei externen Kommunikationspartnern führen, die die Gruppe als eine gemeinsame Adresse wahrnehmen.

Erweiterte Variante

Um die genannten Nachteile abzumildern, können Sie folgende Maßnahmen ergreifen:

  • Beim Antworten auf externe Nachrichten setzen Sie das Reply-To-Feld auf die gemeinsame Funktionsadresse. Dadurch wird die Antwortadresse einheitlich, auch wenn die Mail technisch von der persönlichen Adresse kommt.
  • Nehmen Sie beim Antworten an externe Kontakte die Gruppe in CC. So bleibt die Kommunikation für das gesamte Team sichtbar, auch wenn nur eine Person antwortet.

Variante 3: Geteilter geheimer Schlüssel zum Verschlüsseln

Anwendungsfall

Diese Variante eignet sich für Funktions-Mailadressen, bei denen eingehende Nachrichten automatisch an die persönlichen Postfächer einzelner Teammitglieder weitergeleitet werden.

Vorgehensweise

  1. Jedes Teammitglied verfügt über ein eigenes Zertifikat.
  2. Es wird ein privater Schlüssel für die Funktionsadresse erzeugt.
  3. Aus diesem Schlüssel wird ein Zertifikat erstellt, das nur den geheimen Entschlüsselungsteil (Secret Encryption Key) enthält.
  4. Dieses Zertifikat wird an alle Teammitglieder verteilt.
  5. Die Teammitglieder importieren dieses Zertifikat mit dem geheimen Schlüssel zum Verschlüsseln.

Funktionsweise

  • E-Mails an die Funktionsadresse werden an die individuellen Postfächer der Teammitglieder weitergeleitet.
  • Durch den importierten geheimen Schlüssel zum Verschlüsseln können alle diese Nachrichten lesen.
  • Beim Antworten wird die Nachricht mit dem jeweils eigenen persönlichen Zertifikat signiert.

Wenn sich das Team ändert

  • Neue Mitglieder erhalten den geheimen Schlüssel zum Verschlüsseln.
  • Wenn Personen das Team verlassen, wird der Entschlüsselungs-Unterschlüssel ersetzt und erneut verteilt. Der Hauptschlüssel bleibt dabei unverändert – der Fingerabdruck des Zertifikats ändert sich nicht, sodass keine erneute Prüfung notwendig ist.

Vorteil

Die Kontrolle über den Schlüssel der Funktionsadresse bleibt zentral – es wird nur der Entschlüsselungsteil weitergegeben.

Was Sie bedenken sollten

  1. Wenn die Funktionsadresse beim Antworten nicht in das CC-Feld aufgenommen wird, kann das restliche Team die Antwort nicht mehr entschlüsseln.
  2. Für externe Empfänger ist nicht erkennbar, dass eine Nachricht vom Team stammt – sie sehen nur die persönliche Absenderadresse.

Erweiterte Variante

  • Tragen Sie beim Versenden die Funktionsadresse zusätzlich ins CC-Feld ein. So bleibt die Nachricht für alle entschlüsselbar.
  • Verwenden Sie beim Antworten das Feld Reply-To mit der Funktionsadresse. So bleibt die Kommunikation für Externe als Teamantwort erkennbar.

Zusätzliche technische Hinweise

Weitere Aspekte

Zentrales Schlüsselmanagement

Für größere Organisationen empfiehlt es sich, einen zentralen Vertrauensanker aufzubauen – zum Beispiel über eine eigene GnuPG-Infrastruktur mit Schlüsselbeglaubigung.

Damit behalten Sie die Kontrolle über ausgestellte Zertifikate: Wenn eine Person die Organisation verlässt, kann die zugehörige Beglaubigung gezielt zurückgezogen werden. So bleiben die verbleibenden Kommunikationspartner über gültige und vertrauenswürdige Schlüssel informiert.

Zu den Infrastructure Services

Verteilung von Zertifikaten

Je nach Anwendungsfall gibt es verschiedene Möglichkeiten, Zertifikate im Team oder nach außen bereitzustellen:

  • Intern: über ein zentrales Verzeichnis wie LDAP – auch für externe Zertifikate geeignet
  • Extern: über ein Web Key Directory (WKD)
  • Alternativ: klassisch per E-Mail oder eingebettet in die Signatur einer Nachricht
Lesen Sie dazu auch unser Whitepaper

Smartcards

Der Einsatz von Smartcards erhöht die Sicherheit: Wenn geheime Schlüssel ausschließlich auf der Karte gespeichert sind, können sie beim Ausscheiden einer Person einfach zurückgegeben und aus dem Umlauf genommen werden.

Diese Möglichkeit ist insbesondere für die Varianten 1 und 2 relevant, bei denen entweder zentrale oder individuelle Schlüssel verwendet werden.

Umschlüsseln von Daten bei Schlüsselrotation

Wenn ein geheimer Schlüssel ersetzt wird – etwa weil Teammitglieder das Unternehmen verlassen oder aus Sicherheitsgründen ein neuer Schlüssel erzeugt wurde –, müssen bestehende verschlüsselte Daten erneut verarbeitet werden. Dieser Vorgang wird als Umschlüsseln bezeichnet.

Dabei werden die betroffenen Dateien oder Nachrichten zunächst mit dem alten Schlüssel entschlüsselt und anschließend mit dem neuen Schlüssel erneut verschlüsselt. So stellen Sie sicher, dass nur noch berechtigte Personen Zugriff auf die Inhalte haben.

Je nach eingesetztem Verfahren betrifft das:

  • zentral gespeicherte verschlüsselte Dokumente,
  • Archivmails in Funktionspostfächern
  • oder gemeinsam genutzte Datenbestände, die mit einem Team-Schlüssel gesichert wurden.

Die Umschlüsselung kann manuell erfolgen oder – bei größeren Datenmengen – über ein Skript oder einen automatisierten Prozess.

Wichtig dabei: Während der Umstellung müssen die Daten im entschlüsselten Zustand vorliegen. Das bedeutet, die Person, die die Umschlüsselung durchführt, muss berechtigt und technisch in der Lage sein, die Daten zu entschlüsseln. Daher ist ein vertrauenswürdiges und sicheres System für diesen Vorgang zwingend erforderlich.

ADSK (Additional Decryption Subkey)

Unter bestimmten Voraussetzungen ist ein sogenannter ADSK (Additional Decryption Subkey) sinnvoll. Dabei wird einem bestehenden OpenPGP-Zertifikat ein zusätzlicher Unterschlüssel für die Entschlüsselung hinzugefügt – zum Beispiel ein zentral verwalteter Backup-Schlüssel oder ein Team-Schlüssel.

So lassen sich Nachrichten nicht nur mit dem persönlichen Schlüssel der Empfängerin entschlüsseln, sondern auch mit dem hinterlegten ADSK. Das ist besonders hilfreich, wenn:

  • ein zusätzlicher Backup-Zugriff bei Schlüsselverlust benötigt wird,
  • mehrere Personen Nachrichten entschlüsseln können sollen – ohne dass der Hauptschlüssel weitergegeben wird,
  • auf verschiedenen Geräten oder Smartcards jeweils eigene Schlüssel verwendet werden sollen.

Ein ADSK kann in Kleopatra hinterlegt und voreingestellt werden. Damit er aktiv wird, muss der zusätzliche Schlüssel jedoch durch den Inhaber des Hauptzertifikats signiert werden. Zudem muss die empfangende Software ADSKs unterstützen – andernfalls funktioniert die Entschlüsselung ausschließlich mit dem Hauptschlüssel.

Hinweis: ADSKs berühren das Prinzip „Kenntnis nur, wenn nötig“ (Need-to-know). Verwenden Sie diese Funktion daher mit besonderer Sorgfalt, und informieren Sie die betroffenen Personen transparent darüber, wie der zusätzliche Schlüssel funktioniert und wer Zugriff erhält.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2025 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2025-05-13.