Das Verschlüsseln von E-Mails ist bis jetzt noch eine Randerscheinung. Doch die Anbieter haben den Mangel inzwischen erkannt.
Stuttgart - Alles, was das Verschlüsseln von Daten fördert, ist hochgradig sinnvoll.“ So lautet das Credo von Sebastian Schreiber, Computer-Sicherheitsfachmann aus Tübingen. Bislang sind die Hürden für den Nutzer jedoch meist vergleichsweise hoch. Man muss sich in das Thema einarbeiten, Verschlüsselungssoftware etwa für E-Mails installieren und pflegen. Die Branche arbeitet deshalb an einfacheren Konzepten. Ein Pionier in Sachen Einfachheit ist Whatsapp. Der amerikanische Chatdienst, über den man auch Dateien verschicken kann, hat quasi über Nacht eine Ende-zu-Ende-Verschlüsselung eingeführt. „Das scheint sicher, ist aber nicht transparent“, erklärt Schreiber, der in Tübingen eine IT-Sicherheitsfirma mit rund 80 Mitarbeitern leitet.
Nicht jedem ist wohl dabei, über einen US- Server zu kommunizieren. „Verträge würde man ja auch nicht über Whatsapp weiterreichen“, meint Schreiber. Trotzdem zieht er seinen Hut vor dem Chatdienst: Die Verschlüsselung sei so nutzerfreundlich wie überhaupt nur möglich, da der Nutzer gar nichts davon mitbekomme. Monopolisten wie Whatsapp, die gerade mal eine einzige App entwickeln, haben es einfacher als offene Systeme wie die E-Mail-Kommunikation, wo Dutzende Betriebssysteme, Mail-Programme und Schnittstellen berücksichtigt werden müssen.
Einen grundsätzlichen Weg gehen das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt und die Deutsche Telekom mit der sogenannten Volksverschlüsselung. Im Rahmen des Projekts soll eine Infrastruktur aufgebaut werden, um sich für die Verschlüsselung zu registrieren. Bislang ist das nur auf Messen, mit der elektronischen Funktion des neuen Personalausweises oder mit den Login-Daten der Telekom möglich. Angedacht ist, dass sich Kunden künftig auch in Telekom-Shops registrieren können.
Registrierung mit Personalausweis
Zur Registrierung muss der Nutzer seinen Personalausweis vorlegen, um seinen persönlichen Registrierungscode zu erhalten. Mit diesem kann er über eine Software die kryptografischen Schlüssel für die sichere E-Mail-Kommunikation auf dem heimischen PC erzeugen. Der Pferdefuß: Passende Software gibt es nur für Windows.
Das persönliche Erscheinen zur Registrierung ist eine hohe Hürde. Wohl auch deshalb will der Fraunhofer-Experte Michael Herfert keine Nutzerzahlen der Volksverschlüsselung nennen, die seit der Messe Cebit im März 2016 angeboten wird. „Es ist schon kurios, dass man hier zunächst nur Windows unterstützt“, meint Schreiber. Schließlich wisse ein E-Mail-Schreiber nicht, ob der Adressat ebenfalls an einem Windows-Gerät sitzt.
Wann die Volksverschlüsselung für Linux, Apple oder Android verfügbar ist, vermag Herfert noch nicht zu sagen. Schreiber rauft sich da fast die Haare. „Verschlüsselung gibt es schon seit fast 6000 Jahren“, sagt er mit Blick auf die Tontafeln der Sumerer. „Es ist schon ein Jammer, dass wir das noch nicht nutzerfreundlich und flächendeckend geschafft haben.“ Der Computerfachmann plädiert dafür, die Grundzüge der Verschlüsselung schon im Informatikunterricht an Schulen zu behandeln.
Es braucht eine kritische Masse
Um Verschlüsselung in der Breite einzuführen, braucht es eine kritische Masse. An diese kommen die E-Mail-Dienste von GMX und Web.de schon recht nahe heran. Beide Dienste firmieren unter dem Dach der Unternehmens 1&1 in Karlsruhe. Mit rund 30 Millionen monatlich aktiven E-Mail-Nutzern decke man rund 50 Prozent des deutschen Marktes ab, sagt Christian Friemel von 1&1. Seit Mitte 2015 bieten die Karlsruher für die Internet-Browser Chrome und Firefox eine Erweiterung an, die E-Mails verschlüsselt, wenn man diese als Webmail im Browser bearbeitet. Nutzer mit Outlook oder Thunderbird als separatem E-Mail-Programm auf dem PC bleiben außen vor und müssen sich anderweitig mit Verschlüsselungssoftware versorgen.
1&1 nutzt die Browser-Erweiterung des gleichnamigen Heidelberger Unternehmens Mailvelope (www.mailvelope.de). Da der offene und transparente Verschlüsselungsstandard nach OpenPGP genutzt wird, kann man seine E-Mails mit Personen austauschen, die ebenfalls PGP nutzen. „Rund 700 000 Nutzer bei GMX und Web.de haben die Ende-zu-Ende-Verschlüsselung mit PGP inzwischen aktiviert“, erklärt Friemel. Die privaten Schlüssel liegen dabei in den Rechnern der Nutzer. Das gilt als sinnvoll. Hinzu kommt: Wenn Nutzer innerhalb des GMX-Web.de-Kosmos Mails verschicken, läuft eine E-Mail erst gar nicht über externe, eventuell unsichere Internetknoten.
Hohe Einstiegshürde
Mailvelope für den Webbrowser könnte man auch für Gmail oder Yahoo installieren, erläutert Thomas Oberndörfer, Entwickler und Geschäftsführer von Mailvelope. Das funktioniert auf Windows, dem Mac und Linux-Systemen. Viele nutzten den Browser für die E-Mail, meint Oberndörfer. Schreiber zieht dagegen den Download der E-Mails auf das Endgerät, also in der Regel den Laptop, vor. „Dann kann ich unabhängig von der Qualität der Internetverbindung arbeiten“, sagt er. Neben den Kunden von GMX und Web.de haben sich weitere 223 000 Nutzer Mailvelope aus dem Google-Webstore heruntergeladen. Für Firefox liegen keine Daten vor. Oberndörfer sieht das Fraunhofer-Projekt „Volksverschlüsselung“ als gute Ergänzung. Allerdings sei die Einstiegshürde mit dem Identitätsnachweis per Personalausweis hoch. Das hatte unlängst auch die Gesellschaft für Informatik bemängelt: Verschlüsselung sei gut und wichtig, der Einstieg sollte aber möglichst kinderleicht sein.
Jede Verschlüsselung steht und fällt natürlich auch damit, dass auch der Empfänger mitmacht. Im GMX-Web.de-Kosmos sucht die Software automatisch nach dem öffentlichen Schlüssel des Adressaten. Ist dieser angelegt und vorhanden, wird automatisch verschlüsselt. Andernfalls muss sich ein Nutzer über öffentliche Schlüsseldienste selbst auf die Suche machen.
Für Sicherheitsfachmann Schreiber ist der Stein der Weisen noch nicht gefunden. Anzustreben sei zumindest der offene, transparente Standard OpenPGP. „Die Sicherheit dieser Verfahren muss prinzipiell prüfbar sein“, meint Schreiber. Klar ist: Die E-Mail wird auch im geschäftlichen Umfeld noch lange die Kommunikationsmethode der Wahl sein. Das Thema Verschlüsselung bleibt uns also mit Sicherheit erhalten.
Asymmetrische Verschlüsselung
Prinzip Da die verschlüsselte Kommunikation aus zwei Schlüsseln bestehen, einem öffentlichen und einem privaten, wird das Verfahren asymmetrisch genannt. Symmetrisch hieße, dass die Daten mit einem einzigen geheimen Schlüssel verschlüsselt und auch wieder entschlüsselt werden. Das gilt als unsicher.
Öffentlicher Schlüssel Um Bob eine Nachricht zukommen zu lassen, nutzt Alice den öffentlichen Schlüssel von Bob. Damit verschlüsselt sie ihre Botschaft. Nur Bob kann dann mit seinem geheimen, privaten Schlüssel die Botschaft wieder entschlüsseln. Der öffentliche Schlüssel ist im Internet auf sogenannten Key-Servern vorrätig. Kommunikationspartner können die öffentlichen Schlüssel auch untereinander austauschen. Im Endgerät des Nutzers werden diese Schlüssel dann mitsamt der E-Mail-Adresse in einem speziellen Adressbuch oder Schlüsselverzeichnis gespeichert.
Privater Schlüssel Dieser ist geheim. Wird er öffentlich (Fachleute sagen dann: Er ist kompromittiert), so kann jeder die damit verschlüsselten Botschaften mitlesen. Daten, die andere mit dem öffentlichen Schlüssel von Bob an Bob senden, kann Bob nur mit diesem besonderen privaten Schlüssel wieder lesen.