1. Leben
  2. Internet

Der mühsame Weg zur sicheren Mail

Der mühsame Weg zur sicheren Mail

Die Verschlüsselung digitaler Botschaften ist eine gute Idee. Doch gibt's Sicherheit nur auf Kosten der Bequemlichkeit.

Sebastian Schreiber, Computer-Sicherheitsfachmann aus Tübingen und Chef des IT-Sicherheitsunternehmens Syss hat eine Mission. Er will die Sicherheit der E-Mail erhöhen. Und das beste Mittel dazu ist die Verschlüsselung. Doch das ist einfacher gesagt als getan. Man muss sich in das Thema einarbeiten, Software installieren und pflegen.

Champion in Sachen Einfachheit wäre Whatsapp. Der US-amerikanische Chat-Dienst, über den man auch Dateien verschicken kann, hat eine Ende-zu-Ende-Verschlüsselung eingeführt. "Das scheint sicher, ist aber nicht transparent", erklärt Schreiber. Außerdem ist nicht jedem wohl dabei, über einen US-amerikanischen Server zu kommunizieren. Doch Schreiber zieht seinen Hut vor dem Chatdienst. Die Verschlüsselung sei so bequem wie es nur möglich ist, da der Nutzer praktisch nichts davon bemerke.

Einen anderen Weg geht das Projekt Volksverschlüsselung des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt und der Telekom. Zum einen soll eine Infrastruktur aufgebaut werden, um sich für die Verschlüsselung zu registrieren, berichtet Michael Herfert vom SIT. Bislang war das nur auf Messen, mit der elektronischen Funktion des neuen Personalausweises oder mit den Login-Daten der Telekom möglich. Es gibt Überlegungen, es künftig auch über Läden des Telekommunikationskonzerns zu ermöglichen. Der Nutzer müsste dann mit seinem Personalausweis dort erscheinen und erhielte einen Registrierungs-code, mit dem er über eine Software die kryptografischen Schlüssel für die sichere E-Mail-Kommunikation auf dem PC erzeugen kann. Der Pferdefuß: Diese Software gibt es bisher nur für Win-dows. Das Projekt läuft sei der Messe Cebit im März 2016. Wie viele Nutzer sich registrieren ließen, ist nicht bekannt.

"Das ist schon kurios, dass man hier zunächst nur Windows unterstützt", kommentiert Sebastian Schreiber. Schließlich wisse ein E-Mail-Schreiber nicht, ob der Adressat ebenfalls an einem Windows-PC sitze. Wann die Volksverschlüsselung für Linux, Apple-Rechnersysteme und Android verfügbar ist, kann Herfert nicht sagen. IT-Sicherheitsfachmann Schreiber: "Es ist schon ein Jammer, dass wir das noch nicht nutzerfreundlich und flächendeckend geschafft haben." Um die Mail-Verschlüsselung auf breiter Front einzuführen, ist eine kritische Masse an Nutzern nötig. Da kommen die Mail-Dienste von GMX und Web.de nahe heran. Beide firmieren unter dem Dach des Unternehmens "1 und 1" in Karlsruhe. Mit 30 Millionen monatlich aktiven E-Mail-Nutzern decke es rund 50 Prozent des deutschen Marktes ab, erklärt Christian Friemel von "1 und 1". Seit 2015 bietet das Unternehmen für die Internet-Browser Chrome und Firefox eine Erweiterung an, die E-Mails verschlüsselt, wenn man sie als Webmail im Browser bearbeitet. Nutzer mit Outlook oder Thunderbird als separatem E-Mail-Programm bleiben außen vor und müssen sich selbst Verschlüsselungssoftware besorgen.

"1 und 1" nutzt die Browser-Erweiterung des gleichnamigen Heidelberger Unternehmens Mailvelope (www.mailvelope.de ). Da ein offener und transparenter Verschlüsselungsstandard (OpenPGP) genutzt wird, kann man Mails mit Personen austauschen, die ebenfalls dieses Verfahren nutzen. Das sind Menschen, die etwa Thunderbird mit der Erweiterung Enigmail nutzen. "Rund 700 000 Nutzer bei GMX und Web.de haben die Ende-zu-Ende-Verschlüsselung mit PGP inzwischen aktiviert", erklärt Friemel. Mailvelope für den Webbrowser können sich auch Kunden für Gmail oder Yahoo installieren, berichtet Thomas Oberndörfer, Entwickler und Geschäftsführer von Mailvelope in Heidelberg. Und das funktioniere auf Windows, Mac- und Linux-Systemen. Viele Menschen nutzen den Browser für die E-Mail, erklärt Oberndörfer. Kollege Schreiber zieht dagegen den Download der Mails auf das Endgerät vor, in der Regel den Laptop.

Mailvelope haben, wenn man von GMX/Web.de absieht, rund 225 000 Nutzer aus dem Webstore von Google geladen. Für Firefox liegen keine Daten vor. Oberndörfer sieht das Fraunhofer-Projekt Volksverschlüsselung als gute Ergänzung. Allerdings sei die Einstiegshürde mit dem Identitätsnachweis per Personalausweis hoch. Das hat unlängst auch die Gesellschaft für Informatik bemängelt. Verschlüsselung sei gut und wichtig. Der Einstieg sollte aber kinderleicht sein. Jegliche Verschlüsselung steht und fällt natürlich damit, dass auch der Adressat lesen und senden kann. In der Welt von GMX und Web.de sucht die Software automatisch nach dem öffentlichen Schlüssel des Adressaten. Ist der vorhanden, wird automatisch verschlüsselt. Andernfalls muss sich der Nutzer selbst auf die Suche machen.

Zum Thema:

So funktioniert das Verschlüsseln Ein asymmetrisches Verschlüsselungsverfahren nutzt zwei unterschiedliche Schlüssel. Einer ist öffentlich, den anderen muss der Besitzer geheim halten. Beide sind notwendig, um eine verschlüsselte Nachricht lesen zu können. Um einem Empfänger eine Nachricht zu senden, verschlüsselt der Sender sie mit dem öffentlichen Schlüssel des Empfängers. Nur der Empfänger kann sie dann mit dem geheimen Schlüssel lesen. Es gibt auch symmetrische Verfahren, die mit nur einem Schlüssel funktionieren. Doch dabei gilt der Austausch dieses Geheimcodes als Sicherheitsrisiko.