E-MailGarantiert uns endlich Verschlüsselung

Wer sichere E-Mails will, muss Provider zwingen, sie anzubieten. Bei Gurten im Auto geschah das, bei Verschlüsselung nicht. Das ist sträflich, kommentiert Kai Biermann. von 

Ein Mitarbeiter im Rechenzentrum von Google in The Dalles

Ein Mitarbeiter im Rechenzentrum von Google in The Dalles  |  © Connie Zhou/AP Photo/dpa

Zum Wesen eines Briefes gehört, dass man ihn verschließen kann – der verklebte Umschlag zeigt jedem, dass kein Unbefugter die Botschaft darin lesen soll. Das hielten Gesellschaften einst für so wichtig, dass sie es per Gesetz schützten, sogar zum Grundrecht erklärten. Preußen, Frankreich und andere Länder drohten bereits im 18. und spätestens im 19. Jahrhundert jedem mit übler Strafe, der fremde Briefe öffnete.

Bei der Entwicklung des Internets wurde dieser Schutz der Kommunikation leider vergessen, das Grundrecht nicht wahrgenommen. Die Priorität war eine andere, es ging vor allem darum, das Teilen und Vernetzen so leicht wie möglich zu machen. Teilen können wir nun, global vernetzt sind wir auch. Höchste Zeit, dass wir das Vergessene nachholen und Sicherungen einbauen, um unsere Daten gegen den Blick Unbefugter zu verschließen.  

Anzeige

Denn E-Mails – noch immer die häufigste Form der elektronischen Kommunikation – sind wie Postkarten. Theoretisch kann jeder sie mitlesen. Was das Problem noch verschärft: Der Absender weiß aufgrund der verteilten Struktur des Internets nicht einmal, über welche Rechner und Knoten seine Mails laufen und wer sie deshalb alles abfangen kann. Vollständiger Kontrollverlust also.

Trotzdem verschlüsselt kaum jemand seine elektronischen Briefe. Menschen sind so. Sie wollen motiviert werden. Wege dazu gäbe es, aber sie werden nicht genutzt, zu viele profitieren von der Unsicherheit. 

Kai Biermann
Kai Biermann

Kai Biermann ist Redakteur im Team Investigativ/Daten bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

So gibt es kein Gesetz, das von den E-Mail-Anbietern fordert, eine Sicherung einzubauen. Ob GMail oder GMX, ob Thunderbird oder Applemail, kein Dienst, kein Mailprogramm ist gezwungen, seinen Nutzern eine unkomplizierte Verschlüsselung anzubieten. Daher tut es auch kaum einer. (Ja, es gibt S/Mime, das nutzt aber auch niemand.) Denn nirgendwo gibt es einen einfachen Knopf, der dazu führt, dass Mails automatisch und vor allem ohne weiteres Gefrickel verschlüsselt werden.

Warum eigentlich nicht?

Briefe kleben wir doch auch zu und schicken Postkarten, die jeder lesen kann, nur, wenn der Inhalt belanglos ist. Seit Phil Zimmermann 1991 das Programm PGP erfand und kostenlos zur Verfügung stellte, existiert ein sicheres System, um E-Mails zu verschlüsseln. Warum aber wird es allein dem Nutzer überlassen, warum soll das nur sein Problem sein? Wer verschlüsselt kommunizieren will, muss sich entsprechende Programme wie GnuPG selbst installieren. Er muss sich informieren, herumbasteln, ausprobieren. 

Technik genügt nicht, ist aber der erste Schritt

Das sei informationelle Selbstbestimmung und Autonomie, sagen Sie? Jeder dürfe selbst entscheiden, wie er mit seinen Daten umgehe? Nunja. Hier ist ein Gleichnis dazu:

Bevor es Sicherheitsgurte im Auto gab, war die Zahl der Menschen, die bei Unfällen in Deutschland starben, hoch, fast 20.000 im Jahr. Dann beschloss der Staat, etwas dagegen zu unternehmen. Er verpflichtete zuerst die Autofirmen, Gurte einzubauen und dann die Fahrer, sie auch zu benutzen. Schließlich verlieh er dem Gebot mit Werbekampagnen und vor allem mit Bußgeldern Nachdruck, weil das Anbieten einer Sicherheitstechnik längst nicht genügt, damit viele sie nutzen.

Das Ergebnis war eindeutig: Die Zahl der Angeschnallten stieg auf Werte um neunzig Prozent, die Zahl der Toten sank. Drastisch.

Leserkommentare
  1. ....wenn sich nur der Gesetzgeber endlich auf der Seite der Verbraucher einsetzen würde, hätten wir deutlich weniger Probleme. Aber die Internetausdrucker auf der Regierungsbank öffnen leider Lobbyisten Tür und Tor.

    25 Leserempfehlungen
  2. Eine berechtige Forderung.

    Aber das einzige was man von dieser Regierung noch erwarten kann, ist ein "10 Punkte-Plan" aus dem Hause Aigner.

    Wer aber ein ganzes Politikfeld zum "Neuland" erklärt, und sich daher lieber auf seine "Freunde" verlässt, als selbst zu erkunden, ...

    12 Leserempfehlungen
  3. Jammert nicht nach dem Staat ode dem Provider! Der Staat hat gerade eine Kommunikation für sicher erklärt, die beim Provider gescannt wird - auf Viren natürlich. Und die Provider? Welches Interesse sollten die haben? Spaß an der Hotline?
    Unter jeder meiner Nachrichten hängt mein Public Key und die Bitte, künftige Nachrichten zu verschlüsseln. Weder Journalisten, noch Behörden, Rechtsanwälte oder Finanzämter tun dies.
    Es ist zu mühsam, zu kompiziert und und und .
    Alles faule Ausreden. Wer verschlüsseln will kann das tun, aber er darf sich dabei aus naheliegenden Gründen nicht auf den Staat oder seine Helfer verlassen.

    6 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Wenn Sie alle Ihre E-Mails PGP-verschlüsselt abschicken, dann sind Sie, auf absehbare Zeit zumindest, davor gefeit, dass Unbefugte mitlesen können. Nur: Die Befugten sollten sie ja dann doch lesen können, oder? Ergo müssen die dann ebenfalls lesen können und daher PGP einsetzen. Nun wäre es schön, wenn alle dies täten. Tun sie aber nicht. Folglich sind Sie - wenn Sie weiterhin mit diesen Personen kommunizieren wollen und diese nicht bereit sind, PGP einzusetzen - eben doch gezwungen, unverschlüsselt zu kommunizieren.

    Genau an dieser Stelle nun könnte die Politik eingreifen, da trifft Herr Biermann den Nagel auf den unverschlüsselten Kopf: Auf die individuelle Vernunft zu setzen, ist hier eher gut gemeint als gut gemacht.

    Noch eins: Die Verschlüsselung als Schutz vor dem Lesen der Inhalte ist ja noch nicht der Sicherheitsweisheit letzter Schluss. Auch - mindestens! - SSL-Verschlüsselung müsste zwingender Standard sein. Auch das kann vernünftigerweise nur durch höfliche Nachhilfe "von oben", also qua gesetzlicher Standards erreicht werden.

    "Es ist zu mühsam, zu kompiziert"...

    Und genau das sind heutzutage komplette Unwahrheiten.

    Jeder, der Unfallfrei einen Firefox in betrieb nimmt, bekommt es hin, ein PGP zu installieren.

    1. Runterladen

    2. Installieren

    3. Plugin für das Mailprogramm der Wahl installieren

    4. Schlüssel erzeugen

    5. Schlüssel auf Keyserver hochladen

    6. Passwort nicht vergessen

    Bis auf Punkt sechs muss man das alles genau einmal machen. Bei mir hat das unter 10min gedauert.
    Mit Googeln!

    Unverschlüsselte email geht nur für erste Kontaktaufnahme. Und da schreibt man dann rein, dass man für weitere Kommunikation über Torchat zur Verfügung steht, und gibt seine Torchat-Id an.

    Für Leute die noch kein Torchat haben, kann man ja noch die Adresse zum kostenlosen Runterladen hinzufügen: https://github.com/prof7b...

  4. Eine Verschlüsselung auf Seiten der Anbieter würde von Gesetz wegen immer den Zugang für Ermittlungsbehörden enthalten. Inkl. herrlich demokratisch klingendem, in der Praxis eher stupide abgesegneten Richtervorbehalt.

    Solange es da widerspenstige Interessen gibt - nachzubeten in den Sonntagsreden von Pfarrer Hans-Peter Friedrich und seiner Kirche der GdP - werden solche Ansätze immer unterwandert. Und wenn staatliche Zugänge bereit gehalten werden müssen, ist es für die Geheimdiensterei nur noch ein bürokratischer Kleinakt ihre Schnüffelnasen in Position zu bringen.

    Es müsste daher ein dezentrales, idiotensicheres und vorinstalliertes System bzw. erweitertes Protokoll her. Ähnlich wie wenn morgen Chrome, Firefox usw. bekannt geben würden, per default allen Traffic durch TOR zu routen. "Hey Gretel, ist bei dir Youtube auch so langsam auf einmal?" Äh... ja daran könnte es schon scheitern. Würde nur klappen, wenn die Leute in ihrem Surf- und Mailverhalten keinen Unterschied merkten (Geschwindigkeit!).
    Bei Mail kommt noch das Problem des Schlüsselaustausches dazu. Man kann es ja verschlüsselt durchs Netz jagen (was schon einmal ein Fortschritt wäre), aber in der Endstelle kann es dann halt einfach gelesen werden.

    Zur Zeit gilt leider: Wer 99% Sicherheit haben will kann nicht 99% Bequemlickeit haben. Plus ein großer Markt (= ungedeckter Bedarf) scheint auch nicht vorzuliegen, denn wenn das lukrativ wäre, gäbe es da längst was.

    5 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • lukele
    • 28. Juni 2013 17:30 Uhr

    Viele glauben weiterhin, dass der End-User ein Verständnis der Technologie haben muss um diese einzusetzen, bezogen auf PGP.
    Dem ist aber ganz und gar nicht so, sondern die eingesetzten Tools müssen einfach nur so simpel gemacht werden, dass sobald ein User versteht wie Schlüssel und Schlüsselaustausch ermöglicht werden (nicht unbedingt wie das ganze funktioniert), dieser einfach seine E-Mail Kommunikation sichern kann.

    Aufzwingen bring in dem Fall gar nichts und dass der Autor dafür ist, dass "uns" jemand Verschlüsselung garantiert, ist der falsche Gedanke, da dann immer noch der Provider mitlesen kann.
    Das System funktioniert nur, wenn es dezentral ist.

    "Es müsste daher ein dezentrales, idiotensicheres und vorinstalliertes System bzw. erweitertes Protokoll her"

    Dezentral und vorinstalliert widerspricht sich. Wenn Sie Microsoft, Google oder Apple so weit vertrauen, dass die ein vorinstalliertes System OHNE Backdoor ausliefern, dann koennen Sie auch die Clouds der drei benutzen.

    Ich kenne ausser PGP/GnuPG kein System, das verbreitet ist, dessen Quellcode offenliegt und ueberpruefbar ist (nicht von jedem, aber von vielen) und dem ich auch nur annaehernd vertrauen wuerde.
    Aber einer vorgefertigten PGP-Installation von Apple oder MS wuerde ich nicht vertrauen.

  5. der Client (Browser/E-Mail App) muss verschlüsseln, nicht der Provider. Ein Schrank mit Zentralschlüssel sind so ziemlich genau das Gegenteil von dem was benötigt wird.

    8 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Sehr richtig. Und deswegen wäre Schritt Nr. 1, erst mal die Benutzung von Email-Klienten vorzuschreiben. Doch wenn ich da so in meinem Bekanntenkreis herum schaue ... dann sind Apple Mail, Outlook, Thunderbird & Co. eher die Ausnahme als die Regel. Die Webseite zum Email lesen zu verwenden spart einmalig 5 Minuten Beschäftigung mit der Einrichtung, damit wird sie zum de-facto Standard.

    Von meinem Kundenkreis sind kommen über 90% der Mails von gmail. Auch da dürfte jeder Versuch der Aufklärung zwecklos sein.

    Ein eigener kleiner Webserver mit eigener Adresse und eigenem Email kostet übrigens zwischen 0,99 und 1,99 Euro/Monat. Man könnte also für sehr wenig Geld völlig unabhängig vom Internet-Provider sein.

  6. Ach was?
    Ob jemand seine Emails verschlüsselt ist Privatsache.
    Das Problem ist seit den 80ern bekannt, und spätestens seit Anfang der 90er gibt es Abhilfe in Form von PGP und anderen Standards.

    Ein Ein-Klick-System geht damit problemlos, nur muss man sich vorher leider damit beschäftigen wie es funktioniert. Damit ist alles gesagt, elektronische Post ist halt nicht so intuitiv wie eine Brotmaschine.

    Faule Menschen werden ausspioniert, da braucht man nicht nach dem Staat schreien der das vielleicht eigentlich ganz praktisch findet.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Da kann man genauso gut sagen, die Inhaltsangaben von Produkten müssen nicht mehr außen draufgedruckt werden oder die Packungsbeilage bei Medikamenten ist auch nur was für faule Leute. Wer's wissen will soll sich halt informieren. Geht bestimmt auch mit Eigeninitiative über's Internet.

    Es macht aber durchaus Sinn, solche Sachen zu vereinfachen. Warum müssen sich ALLE mit PGP beschäftigen, wenn man's genauso gut direkt anbieten könnte!? Zumal eMails immer mehr den Briefverkehr ablösen und es dazu ja sogar Gesetze gibt.

  7. Private Provider wie GMail werden sicherlich keinen Finger krümmen, um unsere Mails zu verschlüsseln, immerhin lesen sie ja selber mit. Wer wirklich auf der sicheren Seite fahren möchte, der möge sich einen eigenen Server bereitstellen und kann darauf seine eigene Suppe kochen, inklusive Verschlüsselung.

    Eine Leserempfehlung
  8. 8. Genau!

    Kann dem Artikel in seiner kernaussage nur beipflichten! Was ich als Bürger möchte, ist ein System, das einfach und einigermaßen abhörsicher ist - wie auch immer das im Detail implementiert wird. Gibt es eine Petition dazu? Wie kann ich meinem Wunsch Gehör verschaffen?

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    das Leben als eine One-Click-App begreift, ist es kein Wunder, dass Regierungen und Konzerne die "zivilisatorische" Gesellschaft wie eine schlachtreife Herde wahrnehmen. Unser täglich like gib uns heute.

Bitte melden Sie sich an, um zu kommentieren

Service