Ausgerechnet Facebook, das Netzwerk formerly known as Datenkrake, wird zum Verschlüsselungsvorbild. Wohlgemerkt nur, um seine Nutzer vor Überwachung durch Dritte zu schützen. Ein Datenkrake bleibt Facebook, auf Nutzerdaten basiert sein Geschäftsmodell. Löblich ist die Entwicklung dennoch.

Schon zwei Monate nach Beginn der Snowden-Enthüllungen hatte Facebook alle Verbindungen zum und im Netzwerk mit der Transportverschlüsselung TLS abgesichert.Damit erschwerte es die automatisierte, massenhafte Analyse des Internetverkehrs, wie ihn zum Beispiel der britische Geheimdienst GCHQ im Rahmen des Programms Tempora betreibt. TLS verhindert, dass der Geheimdienst durch bloßes Überwachen der transatlantischen Glasfaserkabel erkennt, welche Daten ein Nutzer an einen Internetdienst sendet und welche er empfängt.

Im August 2014 führte Facebook eine Transportverschlüsselung für E-Mails ein, damit war zumindest der Übertragungsweg sicherer als vorher. Seit Oktober betreibt Facebook zudem einen Hidden Service im Tor-Netzwerk, damit Menschen in Ländern mit starker Internetzensur leichter auf Facebook zugreifen können.

Und nun führt das Unternehmen für bestimmte E-Mail-Funktionen eine Ende-zu-Ende-Verschlüsselung nach dem offenen OpenPGP-Standard ein. Mails, die so verschlüsselt sind, können nur vom Sender und vom Empfänger gelesen werden, auch wenn sie von Dritten abgefangen werden.

Mitglieder müssen dazu ihren öffentlichen PGP-Schlüssel in ihr Facebook-Profil hochladen. Mit diesem öffentlichen Schlüssel können Absender eine E-Mail an den Empfänger verschlüsseln. Nur dieser kann sie anschließend wieder entschlüsseln, nämlich mit seinem privaten Schlüssel. Wie das Prinzip der asymmetrischen Verschlüsselung genau funktioniert, ist zum Beispiel hier ausführlich beschrieben.

Auch Facebook möchte die öffentlichen Schlüssel seiner Nutzer verwenden. Zum Beispiel für E-Mails, die einen Link zum Zurücksetzen des Facebook-Passworts beinhalten. Wer diese Mails abfängt, indem er sich zum Beispiel Zugang zum Postfach des Empfängers verschafft, kann sie nicht lesen. Möglich ist das nur auf jenem Rechner, auf dem der passende private Schlüssel liegt. 

Zudem wird Facebook solche Mails mit dem eigenen privaten Schlüssel signieren. Wer möchte, kann dann mit Facebooks öffentlichem Schlüssel überprüfen, ob Mails wirklich von Facebook kommen.

Nebenbei könnte Facebook so zu einem alternativen Verzeichnis öffentlicher Schlüssel werden. Diese Aufgaben übernehmen bisher Schlüsselserver etwa vom Massachusetts Institute of Technology (MIT) oder das Global PGP Directory.

Auf mobilen Geräten funktioniert die Schlüsselverwaltung noch nicht. Facebook prüft nach eigenen Angaben aber, das zu ermöglichen.

Facebook spendete 50.000 Dollar an den GnuPG-Entwickler

Facebook hat sich für die freie PGP-Implementierung GnuPG (GPG) entschieden. Der Entwickler von GnuPG, der Deutsche Werner Koch, hatte im März bekannt gegeben, dass er von Facebook 50.000 US-Dollar für die Weiterentwicklung seines Open-Source-Projekts erhalten hat.

Dem Geschäftsmodell von Facebook schadet die Ende-Zu-Ende-Verschlüsselung nicht. Schließlich betrifft sie keine möglicherweise werberelevanten Informationen, die Nutzer untereinander austauschen. Insofern ist die neue Funktion ein Sicherheits-, kein Datenschutzfeauture. Aber sie taugt als Vorbild für die sichere Kommunikation mit Unternehmen, zum Beispiel Banken, oder mit Behörden.

In Deutschland ist es möglich, Ende-zu-Ende-verschlüsselte De-Mails an Behörden zu schicken. Ursprünglich war das System so ausgelegt, dass die E-Mail-Anbieter der Nutzer die De-Mails entschlüsseln konnten – angeblich um Spam und Viren aussortieren zu können. Nachdem unter anderem der Chaos Computer Club diese Argumentation als unsinnig und gefährlich entlarvt hatte, wurde das De-Mail-System erweitert. Eine echte Ende-zu-Ende-Verschlüsselung ist nun zumindest optional möglich, aber es ist nicht die Standardeinstellung.

Für die De-Mail wie auch für Facebook gilt aber: Wer die E-Mail-Verschlüsselung nutzen möchte, muss sich selbst ein PGP-Schlüsselpaar zulegen. Wie das geht, ist zum Beispiel hier und hier beschrieben.