Vorhängeschloss für E-Mails
Karlsruhe · Seit den Snowden-Enthüllungen ist das Bedürfnis nach Schutz vor Überwachung gestiegen. Größtes Manko von Verschlüsselung-Software ist die komplizierte Nutzung. Das könnte sich aber in diesem Jahr ändern.
Jeden Tag werden in Deutschland 1,4 Milliarden Mails verschickt, fast alle unverschlüsselt und damit so offen lesbar wie eine Postkarte. Um das zu verhindern, führten einige Web-Mail-Dienste die DE-Mail ein. Sie sollte die Inhalte persönlicher Nachrichten verriegeln. Im Gegensatz zur E-Mail können bei diesem Verfahren die Identität der Kommunikationspartner und der Versand und Eingang der Nachrichten nachgewiesen werden. Doch die DE-Mail hat sich bislang nicht durchgesetzt. Das Verfahren ist zu teuer und nach Expertenmeinung nicht sicher genug.
Jetzt arbeiten die Web-Mail-Anbieter Web.de und GMX an einem neuen Verfahren, die Verschlüsselung in ihre Angebote zu integrieren. "Es ist unser Ziel, 2015 die Ende-zu-Ende-Verschlüsselung massenmarktfähig zu machen", sagt der Geschäftsführer der zur deutschen United-Internet-Gruppe gehörenden Web-Mail-Dienste, Jan Oetjen. Mit der Ende-zu-Ende Verschlüsselung kommen die Mails nur verschlüsselt beim Anbieter an, sodass dieser nicht mitlesen kann. Oetjen meint: "Es wird eine große Herausforderung sein, solche Dienste anzubieten, die einfach zu nutzen sind."
Die meistverwendete Ende-zu-Ende-Verschlüsselungstechnik für E-Mails ist PGP - das steht für "Pretty Good Privacy" (ziemlich gute Privatsphäre ). Der Kern des Verfahrens ist ein Schlüsselpaar. Der öffentliche Schlüssel dient zur Verschlüsselung der E-Mails und der private Schlüssel zum Entziffern der Nachrichten.
Komplizierte Einführung
PGP gibt es schon seit 1991. Der US-Entwickler Phil Zimmermann verfolgte damals das Ziel, den elektronischen Versand persönlicher Mitteilungen so zu ermöglichen, dass Geheimdienste nicht mitlesen können. Allerdings ist das Verfahren bis heute ziemlich kompliziert. Die Nutzer müssen zuerst die PGP-Software installieren und ihr E-Mail-Programm dafür einrichten. Die größte Hürde aber ist es, auch die E-Mail-Partner dazu zu bringen. Denn die Mail-Verschlüsselung funktioniert nur, wenn beide Kommunikationspartner die Technik nutzen.
"PGP ist die einzige Möglichkeit für sichere Mail-Kommunikation", sagt Holger Bleich von der Fachzeitschrift c't. "Aber nur, wenn der private Schlüssel auch sicher verwahrt wird." Auf eine mögliche Aufbewahrung in der Cloud, also in den Datenspeichern des Internets, treffe das nicht zu. Es bleibe abzuwarten, wie die Web-Mail-Dienste das technisch lösen wollten. "Wenn der Schlüssel nicht vom Nutzer selbst verwaltet wird oder der Nutzer ihn aus der Hand gibt, halte ich wenig davon", so Bleich. Die Technik sicher einzusetzen, sei stets mit einem Aufwand verbunden, der viele Mail-Nutzer abschrecke. Dies sei das große Manko beim Einsatz von Verschlüsselungstechnik, heißt es auch im Bundesamt für Sicherheit in der Informationstechnik (BSI). Jeder Schritt in Richtung einer einfacheren Nutzung der PGP-Technik sei zu begrüßen.
Die Enthüllungen von Edward Snowden seit Juni 2013 haben dem privaten Verschlüsseln Auftrieb gegeben und PGP bekannter gemacht. In vielen deutschen Städten gab es "Krypto-Partys", auf denen Teilnehmer ihre persönlichen PGP-Schlüssel erstellten. In Karlsruhe etwa kamen jeweils mehr als 500 Menschen zu den bislang drei Ausgaben der "Anti-Ausspäh-Party". Zurzeit werden weltweit jeden Tag neue PGP-Schlüssel erstellt.
"Dennoch haben wir unterschätzt, wie lange es dauert, bis sich die Ende-zu-Ende-Verschlüsselung in Browsern oder Betriebssystemen durchsetzt", sagt Oetjen. Web.de und GMX haben nach seinen Angaben zusammen 34 Millionen Nutzer und liegen damit nicht nur vor T-Online , sondern auch vor US-Anbietern wie Google, Yahoo oder Microsoft . Damit unterscheidet sich der deutsche Markt von Großbritannien, Frankreich, Spanien oder den skandinavischen Ländern, wo nationale Anbieter klar in der Minderheit sind.
Mit der Verbindung von Sicherheit und einfacher Nutzung will der Web-Mail-Marktführer in Deutschland seine Position weiter stärken. Oetjen sagt: "Datenschutz und Verschlüsselung haben an Brisanz gewonnen. Das sind die Themen, die uns dieses Jahr beschäftigen."
Zum Thema:
HintergrundPGP steht für "Pretty Good Privacy" (ziemlich gute Privatsphäre ). Es handelt sich dabei um ein Verschlüsselungs-Programm, das wie ein Vorhängeschloss funktioniert: Jeder kann es abschließen, aber nur einer kann es öffnen. Dazu gibt es zwei Schlüssel. Mit dem öffentlichen Schlüssel können Nachrichten in einen Kauderwelsch aus Zahlen und Buchstaben verwandelt werden. Mit dem privaten Schlüssel, den nur der Empfänger besitzt, können dann die verschlüsselten Nachrichten wieder entziffert werden. red
