15

PGP bei GMX & Web.de Nie war verschlüsseln einfacher

Vor ein paar Monaten musste man noch halber Informatiker sein, um seine Mails so zu verschicken, dass sie auch ungelesen ankommen. Jetzt haben Freemail-Anbieter eine ziemlich einfache Lösung für ihre Kunden im Angebot. Nur: Wie sicher ist das?

Von: Frank Seibert

Stand: 06.11.2015 | Archiv

E-Mails mit einem Schlüssel absperren - wenn es so einfach wäre... | Bild: BR

Jeder von uns hat inzwischen eine Vorstellung davon, was mit unseren Daten passiert, wo sie abgefangen werden können, wer sie speichert. Wer sich dagegen wehren will, wer nicht möchte, dass andere in seine Mails reinlesen, dem bleibt nur eine Möglichkeit: Verschlüsselung. Aber: Wer sich jemals mit dieser Technik beschäftigt hat, der weiß auch, dass das gar nicht so einfach ist. Klar - für Informatiker oder Besucher von Crypto-Partys mag das nicht zutreffen. Für die meisten stellt es aber ein ziemliches Problem dar.

Pretty Good Privacy

Sehr sicher lässt sich über PGP kommunizieren. Die Abkürzung steht für "Pretty Good Privacy" und bei dem Verfahren geht es darum, die Mails beim Abschicken in ein Wirrwarr aus Buchstaben und Zahlen zu verwandeln, damit sie unterwegs nicht abgefangen und gelesen werden können. Nur der Empfänger kann sie wieder als sinnvolle Botschaft anzeigen lassen.

Vereinfacht geht das so: Jeder PGP-User erstellt sich einen öffentlichen und einen privaten "Schlüssel" mit einem Programm. Den einen gebe ich preis, den anderen behalte ich für mich. Den öffentlichen tausche ich mit all den Mailkontakten aus, die auch PGP benutzen. Denn nur, wenn beide Seiten das System installiert haben, können die Nachrichten sicher chiffriert durchs Netz wandern. Den privaten Schlüssel, mit dem die Nachricht kodiert oder dekodiert werden kann, habe nur ich. Und der ist mit einem Passwort gesichert.

Unknackbar seit den 90ern

Die Technik wurde zwar schon in den 90ern entwickelt - PGP gilt aber bis heute als unknackbar. Trotzdem: Auf den Servern, auf den Nutzer ihren öffentlichen Schlüssel hochladen können, liegen nur wenige Millionen davon - bei etwa drei Milliarden Internetnutzern. Verschlüsseln per PGP, das machen also immer noch sehr wenige.

Das könnte sich bald ändern. Denn seit kurzem erscheint bei jedem GMX- und Web.de-Account ein zusätzliches Symbol. Ein kleiner Brief mit einem Schloss darauf. Die beiden Freemail-Anbieter haben eine Lösung gefunden, mit der wirklich jeder seine Nachrichten verschlüsseln kann. Auch mobil. Alles was man dazu braucht, ist das Browser-Plugin "Mailvelope" und ein gutes Passwort.

"Nach den Geschehnissen um Edward Snowden ist das Sicherheitsbedürfnis bei den Verbrauchern gestiegen. Als Marktführer in Deutschland unter den E-Mail-Anbietern möchten GMX und Web.de Deutschland zum Verschlüsselungsstandort Nummer Eins machen," sagt Sebastian Schulte, Pressesprecher der beiden Unternehmen. Weil PGP sehr sicher sei, habe man sich auf dieses Verfahren konzentriert. Schulte sagt, dass inzwischen auch sehr viele Kunden das Angebot nutzen. Wie viele genau, will er zum jetzigen Zeitpunkt nicht verraten.

Sicherheit für den Otto-Normal-Nutzer

Einfache Verschlüsselung, volle Sicherheit - geht das? Jörn Mueller-Quade, Professor für Kryptographie und Sicherheit, hat den Eindruck, dass das gut funktioniert. "Besonders bequem ist es, wenn man mit anderen GMX- oder Web.de-Kunden kommuniziert." Will man mit Nutzern verschlüsselt schreiben, die nicht Kunde bei den Mail-Anbietern sind, kann man den Schlüssel aber auch ziemlich einfach manuell einfügen. Vor allem die Übertragung der eigenen Schlüssel auf andere Geräte per QR-Code findet Müller-Quade sehr praktisch und einfach. Früher sei das schwieriger gewesen, sagt er.

"Als Dissident würde ich mich zwar eher nicht auf die Technik verlassen - aber für den Otto-Normal-Nutzer ist es das richtige Tool. In jedem Fall besser, als gar nicht zu verschlüsseln!"

Und dann gibt er noch einen Tipp - für alle, die noch eine Nummer sicherer gehen wollen: "Es wäre gut, wenn man einen Browser extra nur für die Mails benutzt - und seine Mails nicht mit dem gleichen Browser schreibt, in dem auch viele andere Pop-Ups und Fenster und Tabs offen sind." Damit könne man ausschließen, dass jemand irgendwelche Sicherheitslücken im Browser ausnutzt.

Restrisiko Metadaten

Übrigens: Ein Problem hat PGP dann doch. Zwar wird der Inhalt der Nachricht zuverlässig verschlüsselt - nicht aber, wer mit wem kommuniziert hat, die so genannten Metadaten. Auch der Betreff wird nicht kodiert. Deshalb solltet ihr wichtige Dinge nicht in die entsprechende Zeile schreiben.


15

Keine Kommentare mehr möglich. Hinweise zum Kommentieren finden Sie in den Kommentar-Spielregeln.)

im, Sonntag, 08.November 2015, 09:45 Uhr

1.

ihr könntet das nochmal ergänzen um die Bestrebungen von MemoryHole und PrettyEasyPrivacy .
MemoryHole wird Metadaten in den verschlüsselten Teil verschieben und aussen lesbar steht Kauderwelsch.
PrettyEasyPrivacy will die Verschlüsselung automatisieren, so dass der Nutzer sich nicht damit beschäftigen muss.
Schlüsselserver werden ausgelassen da man dabei sowohl seine Kontaktenetzwerke offenbart als auch jede Menge Datenschrott verursacht.
Das sind veraltete Schlüssel oder solche die nicht vom Besitzer der Email-Adresse stammen und die er folglich nicht entschlüsseln kann.