FAQ bei Anwendungsproblemen

Hier finden Sie Antworten auf häufig gestellte Fragen rund um typische Probleme in der Anwendung.

Weitere FAQ-Bereiche finden Sie hier:

FAQ zur Nutzung und Best Practices FAQ für Administrator:innen

Verschlüsselung mit öffentlichen Schlüsseln und Zertifikaten

Warum meldet Kleopatra „Kein geheimer Schlüssel“ beim Entschlüsseln?

Diese Fehlermeldung erscheint, wenn Kleopatra keinen passenden geheimen Schlüssel findet – also keinen, der zur Datei passt.

Häufige Ursachen:

  • Die absendende Person hat vergessen, beim Verschlüsseln Ihr Zertifikat als Empfänger hinzuzufügen.
  • Es wurde versehentlich ein falsches Zertifikat verwendet.
  • Sie selbst haben ein neues OpenPGP-Schlüsselpaar erstellt, das alte aber nicht widerrufen – jetzt gibt es zwei Zertifikate mit derselben Benutzerkennung, aber nur das neue enthält einen geheimen Schlüssel.

Was tun?

Bitten Sie die absendende Person, die Datei erneut zu verschlüsseln – und dabei im Dialog zur Dateiverschlüsselung unter Für andere verschlüsseln Ihr aktuelles Zertifikat auszuwählen.

Auswahl des Empfänger-Zertifikats beim Verschlüsseln

Wenn Sie unsicher sind, senden Sie der Gegenseite Ihr aktuelles Zertifikat einfach noch einmal – am besten gemeinsam mit eventuell vorhandenen älteren Versionen (abgelaufen oder widerrufen), die dieselbe Benutzerkennung tragen.

Wichtig: Für die Entschlüsselung zählt immer der Fingerabdruck des Zertifikats – nicht die Benutzerkennung. Es kann mehrere Zertifikate mit identischen Namen und E-Mail-Adressen geben, aber nur eines davon wird funktionieren.

Zum Artikel: „Was tun, wenn sich Name oder E-Mail-Adresse ändert?“

Warum wird (m)ein Zertifikat nicht (mehr) als VS-NfD konform angezeigt?

In Kleopatra sehen Sie in der Zertifikatsliste manchmal den Hinweis, dass ein OpenPGP-Zertifikat nicht VS-NfD-konform ist (rosa hinterlegt). Das bedeutet: Der verwendete Algorithmus entspricht nicht den Anforderungen für Verschlusssachen – Nur für den Dienstgebrauch (VS-NfD).

Das passiert nur, wenn das Zertifikat nicht mit GnuPG VS-Desktop® erstellt wurde.

In vielen Fällen liegt es daran, dass das Zertifikat den Algorithmus RSA-2048 verwendet – dieser wurde Anfang 2024 aus der VS-NfD-Zulassung entfernt. Auch die von Gpg4win standardmäßig erzeugten ECC-Algorithmen Ed25519 und Curve25519 sind aktuell nicht vom BSI für VS-NfD freigegeben.

Wenn Sie stattdessen einen Schlüssel mit dem ECC-Algorithmus auf Basis der Brainpool-Kurve verwenden, sieht das anders aus: Diese Variante ist für VS-NfD zugelassen und kann direkt mit GnuPG VS-Desktop® erzeugt werden.

Wie finde ich den Algorithmus meines Zertifikats heraus?

Ob ein Zertifikat den Anforderungen für VS-NfD entspricht, hängt vom verwendeten Algorithmus ab. Den finden Sie ganz einfach selbst heraus.

Für OpenPGP-Zertifikate:

  1. Doppelklicken Sie in Kleopatra auf das betreffende Zertifikat.
  2. Wechseln Sie zum Reiter Unterschlüssel.
  3. In der Spalte Algorithmus sehen Sie z. B. RSA 2048, ECC (Ed25519) oder ECC (Cv25519). Wird das Zertifikat als nicht konform angezeigt, liegt es oft an genau diesen Einträgen.

Für S/MIME-Zertifikate:

  1. Doppelklicken Sie auf das Zertifikat.
  2. Öffnen Sie den Reiter Zertifikatsdetails.
  3. Suchen Sie den Eintrag keyType. Hier steht etwa rsa4096 (konform) oder rsa2048 (nicht konform).

Und was bedeutet das für die Anzeige in Kleopatra? Zertifikate mit einem VS-NfD-konformen Algorithmus werden hellgrün hinterlegt und tragen den Status VS-NfD konform. Alle anderen sind zwar ggf. beglaubigt, aber nicht konform – sie erscheinen rosa hinterlegt mit dem Status beglaubigt.

Status-Darstellung für OpenPGP-Zertifikate

Wurzelzertifikate, denen vertraut wird, erscheinen in Kleopatra immer in Blau – unabhängig davon, ob sie VS-NfD-konforme Algorithmen verwenden oder nicht. In der Spalte Status steht dann entweder VS-NfD konform oder beglaubigt.

Wenn stattdessen nicht beglaubigt angezeigt wird, bedeutet das: Dem Zertifikat wird nicht vertraut. Um ein solches Wurzelzertifikat vollständig nutzen zu können, muss es von einer Administratorin oder einem Administrator installiert und als vertrauenswürdig eingestuft werden.

„Hinzufügen neuer Wurzelzertifikate“ lesen

Für die Anzeige der VS-NfD-Konformität gelten bei S/MIME-Zertifikaten dieselben Regeln wie bei OpenPGP – ausschlaggebend ist auch hier der verwendete Algorithmus.

Status-Darstellung S/MIME

Warum wird mein eigenes Zertifikat als „nicht beglaubigt“ angezeigt?

Wenn bei Ihrem eigenen OpenPGP-Zertifikat in Kleopatra der Status nicht beglaubigt erscheint, liegt das meist an einer Kleinigkeit: Beim Import eines Backups haben Sie nicht bestätigt, dass es sich um Ihr eigenes Zertifikat handelt.

Das lässt sich ganz einfach nachholen: Klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Sie den Eintrag Beglaubigungsvertrauen ändern.

Zum besseren Verständnis: Eigene öffentliche Schlüssel (Zertifikate), zu denen auch ein geheimer Schlüssel vorhanden ist, zeigt Kleopatra in fetter Schrift an. ##hier!

Warum schlägt das Verschlüsseln fehl? („Unbrauchbarer öffentlicher Schlüssel“)

Diese Fehlermeldung taucht auf, wenn Sie an eine Kleopatra-Gruppe verschlüsseln wollen, in der mindestens ein Zertifikat nicht korrekt verlängert wurde.

Typischer Fall: Das Zertifikat war abgelaufen und wurde mit Kleopatra (bis einschließlich GnuPG VS-Desktop® 3.1.26) verlängert – aber nur teilweise. In der Oberfläche wirkt alles okay: Das Zertifikat wird als gültig angezeigt. Intern fehlt dem Unterschlüssel für die Verschlüsselung aber die neue Gültigkeit – und damit ist er unbrauchbar. (Ticket T6473)

Lösung: Die Person, deren Zertifikat betroffen ist, muss den Unterschlüssel manuell verlängern.

So geht's:

1. Öffnen Sie in Kleopatra die Zertifikatsliste und doppelklicken Sie auf Ihr Zertifikat.

2. Klicken Sie im neuen Fenster unten links auf Weitere Details.

3. In der Detailansicht sehen Sie jetzt zwei Zeilen: In der ersten (für den Signatur-Unterschlüssel) steht korrekt, in der zweiten (für den Verschlüsselungs-Unterschlüssel) steht abgelaufen.

4. Klicken Sie mit der rechten Maustaste auf die zweite Zeile und wählen Sie Ablaufdatum ändern aus dem Kontextmenü.

das Ablaufdatum von Zertifikaten ändern

5. Wählen Sie nun als neues Ablaufdatum denselben Wert wie in der ersten Zeile und bestätigen Sie mit OK.

ein neues Ablaufdatum eintragen

6. Damit haben beide Unterschlüssel das gleiche Ablaufdatum – das Zertifikat ist wieder vollständig nutzbar, und alles funktioniert wieder wie gewohnt.

das neue Ablaufdatum gilt für beide Unterschlüssel

7. Testen Sie es kurz: Verschlüsseln Sie eine Datei oder Nachricht an sich selbst. Wenn das funktioniert, ist alles in Ordnung.

8. Zum Schluss sollten Sie das aktualisierte Zertifikat exportieren und an Ihre Kommunikationspartner weitergeben – damit auch sie die neue Gültigkeit sehen und verwenden können.

Warum wird mein Zertifikat nach der Verlängerung nicht mehr zum Verschlüsseln angeboten?

Das Zertifikat wirkt auf den ersten Blick völlig in Ordnung – in der Zertifikatsliste wird es als gültig angezeigt. Trotzdem erscheint es weder im Dialog zur Dateiverschlüsselung noch in Outlook zur Auswahl.

Dieses Verhalten tritt auf, wenn ein abgelaufenes Zertifikat mit Kleopatra aus GnuPG VS-Desktop® (bis Version 3.1.26) verlängert wurde – und dabei nicht vollständig.

siehe „Verschlüsseln fehlgeschlagen: unbrauchbarer öffentlicher Schlüssel“

Warum kann ich keinen Empfänger für die Dateiverschlüsselung auswählen?

Wenn Sie im Dialog zur Dateiverschlüsselung keine Empfänger auswählen können, liegt das meist an einer Einstellung in Kleopatra: Das Eingabefeld ist dann ausgegraut, weil Kleopatra nur symmetrisch verschlüsseln soll.

Der Dialog "Dateien signieren/verschlüsseln"

Schauen Sie in den Einstellungen unter Kryptografie-Aktionen nach, ob dort ist die Option Nur symmetrische Verschlüsselung verwenden aktiv ist.

Kryptografie-Aktionen in Kleopatra

Entfernen Sie den Haken, um wieder Empfänger auswählen zu können.

Passwortbasierte Verschlüsselung

Warum schlägt das Entschlüsseln mit der Meldung „Falsches Passwort“ fehl?

Sie haben ein falsches Passwort eingegeben – oder versehentlich ein zusätzliches Zeichen wie ein Leerzeichen mitkopiert. Bitte prüfen Sie die Eingabe sorgfältig und achten Sie auf Groß- und Kleinschreibung.

Die Passphrase ist falsch

Falls das Passwort von GnuPG VS-Desktop® generiert wurde, besteht es aus genau 30 Zeichen aus folgendem Zeichensatz: 13456789abcdefghijkmnopqrstuwxyz (Zur besseren Lesbarkeit sind die Zeichen 0, 2, l und v nicht enthalten.)

Wichtig: In der Darstellung können Leerzeichen auftauchen – diese dienen nur der besseren Lesbarkeit und gehören nicht zur Passphrase. Bitte geben Sie das Passwort ohne Leerzeichen ein.

GpgOL-Fragen

Was bedeutet die Meldung „Nicht alle Anhänge können angezeigt werden“?

Beim Öffnen verschlüsselter E-Mails kann es vorkommen, dass GpgOL meldet Nicht alle Anhänge können angezeigt werden. Ursache ist in der Regel die interne Arbeitsweise des Add-ons: Beim Entschlüsseln bleibt die verschlüsselte Originalnachricht erhalten, zusätzlich wird die entschlüsselte Version an das Mailobjekt angehängt. Dadurch verdoppelt sich die Größe der E-Mail temporär.

Wird dabei die maximale E-Mail-Größe überschritten (wie sie im Exchange-Server konfiguriert ist), zeigt GpgOL nur so viele Anhänge an, wie technisch möglich ist. Der Rest wird unterdrückt, und die genannte Meldung erscheint.

Relevant ist dabei auch das verwendete Verschlüsselungsverfahren:

  • S/MIME-Nachrichten werden nicht komprimiert, wodurch sie schneller das Limit erreichen.
  • OpenPGP-Nachrichten nutzen Kompression und bleiben in der Regel kleiner.

Workaround: Speichern Sie die betroffene E-Mail per Drag & Drop lokal und öffnen sie über den Explorer. So lässt sich die Nachricht außerhalb von Outlook vollständig entschlüsseln.

Falls dieses Verhalten regelmäßig auftritt, kann das Größenlimit auf dem Exchange-Server angepasst werden.

GpgOL/Web Fragen

Was ist der Unterschied zwischen GpgOL und GpgOL/Web

Das "Neue Outlook" (dsa auf der selben technischen Grundlage basiert wie "Outlook im Web (OWA)") ist technisch gesehen etwas ganz anderes als das bisherige "klassische" Outlook. Für das neue Outlook benötigen Sie das GpgOL/Web Add-In, für das klassische Outlook GpgOL. Aktuell ist GpgOL/Web nur für GnuPG Desktop® verfügbar, wird aber perspektivisch auch in GnuPG VS-Desktop® integriert werden.

Beim Versuch das Add-In in Outlook zu regstrieren, öffnet sich der Outlook Extension Manager nicht

Die Schlaftfläche "Outlook Extension Manger" öffnet den Outlook Extension Manager in Ihrem Standardbrowser. Sofern Sie gebeten werden, sich mit Ihrem Outlook-Konto anzumelden, tun Sie dies bitte. Es kann eine Weile dauern, bis die Seite vollständig geladen ist, haben Sie bitte etwas Geduld. Teilweise wurde uns zurückgemeldet, dass sich der Extension Manager einmalig, danach aber nicht erneut öffnen ließ. Es kann helfen, das Browserfesnter zu schließen und neu zu öffnen, oder einen anderen Browser (z.B. Firefox) zu verwenden, oder den Computer neu zu starten.

Falls das Problem weiterhin auftritt, können Sie auch die folgenden Alternativen Links zum Outlook Extension Manager auszprobieren.

Ich habe die Manifest-Datei in Outlook installiert, sehe aber kein GnuPG-Icon

Vergewissern Sie sich zunächst, dass die GpgOL/Web-Anwedung gestartet ist (Sie sollten das Symbol in der Statusleiste sehen). Ein Klick auf das Status-Icon öffnet eine Übersicht zum aktuellen Verbindungsstatus. Vergewissern Sie sich, dass der Proxy als ausgeführt und verbunden angezeigt wird.

Auf der Fehlerbehandlungs-Seite der Einstellungen finden Sie eine Schlaftfläche zum Testen auf Probleme im Zusammenhang mit dem von GpgOL/Web verwendeten SSL-Zerifikat. Sofern hier Probleme (etwa in Form einer Warnung vor einem möglichen Sicherheitsrisiko) angezeigt werden, sollten Sie versuchsweise ein neues Zertifikat generieren lassen (Seite "Proxy & SSL" der Einstellungen). Im Anschluss müssen Sie Outlook bzw. Ihren Browser neu starten.

Generell sollten Sie zuerst GpgOL/Web starten und erst danach Outlook. Andernfalls probieren Sie, das Browserfenster neu zu laden oder Outlook neu zu starten.

Outlook Add-Ins werden sukzessive über das Netzwerk geladen. Selbst wenn alles richtig installiert ist, kann es eine Weile dauern, bis das Icon erscheint, seien Sie also geduldigt. Je nach Ihrer Bildschrimbreite und diversen Einstellungen, wird das Icon eventuell nicht standardmäßig im Menüband angezeigt. In diesem Fall sollten Sie es nach einem Klick auf "Weitere Apps" sehen. Beim Rechtsklick auf das Icon sollte Ihnen die Option angeboten werden, das Icon an das Haupt-Menüband anzuheften.

Einige Browser fragen nach, ob Outlook auf Ihr lokales Netzwerk zugreifen darf. Bitte erlauben Sie dies, da das GpgOL/Web Add-In von Ihrem lokalen Computer geladen wird. Sollten Sie die Fragen bereits zuvor mit "Nein" beantwortet haben, durchsuchen Sie Ihre Browser-Einstellungen nach "Berechtigungen für Webseiten".

Sofern Sie einen Organisations- oder Schulaccount verwenden, muss ggf. Ihr Administrator die Zustimmung zur Verwendung des Add-Ins erteilen.

Das GnuPG-Icon wird angezeigt, ist aber grau und nicht aktiv

Das Add-In kann nur verwendet werden, solange eine E-Mail zur Anzeige ausgewählt ist. Wir hoffen dies in einer zukünftigen Version zu verbessern, aber derzeit bietet Outlook keine entsprechende Möglichkeit für Add-Ins.

Die GnuPG-Seitenleiste schließt sich jedes Mal, wenn ich eine andere Mail auswähle

Benutzen Sie das Stecknadel-Symbol oben in der Seitenleiste, um die Leiste zu fixieren.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2025 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2026-03-26.