Rund 30 Millionen aktive Kunden haben die United-Internet-Marken GMX und Web.de zusammen. Das sind 30 Millionen Menschen, die ab sofort Ende-zu-Ende-verschlüsselte E-Mails senden und empfangen können. Also E-Mails, die nur Sender und Empfänger lesen können, während Schnüffler im selben Netzwerk oder auch die E-Mail-Provider selbst allenfalls kryptische Zeichenfolgen erkennen können.

Vor einigen Tagen haben die beiden Mailprovider eine entsprechende Möglichkeit eingeführt. Sie basiert auf dem OpenPGP-Format, funktioniert in den Browsern Chrome und Firefox sowie den Android- und iOS-Apps der Anbieter und ist darüberhinaus kompatibel mit anderen PGP-Systemen.

PGP steht für Pretty Good Privacy, eine Verschlüsselungssoftware aus den neunziger Jahren. OpenPGP ist eine Art Open-Source-Version von PGP, die als Grundlage für viele E-Mail-Verschlüsselungsprogramme dient. Beides gilt bis heute als sicher, aber auch mitunter als schwer zu bedienen und einzurichten.

Die deutschen Anbieter haben die Installation und Nutzung vergleichsweise simpel gestaltet. Es ist ein ambitionierter und löblicher Versuch, die verschlüsselte E-Mail zum Standard zu machen. Und im Großen und Ganzen klappt das gut, wie unser Praxistest zeigt.

Die Installation

Die neue Ende-zu-Ende-Verschlüsselung in GMX und Web.de ist schnell eingerichtet. © Screenshot ZEIT ONLINE

Eingerichtet wird die PGP-Verschlüsselung im Webmailer von GMX oder Web.de mit wenigen Schritten. Nach dem Einloggen auf gmx.net oder eben web.de müssen sich Nutzer über den Menüpunkt Einstellungen zu Verschlüsselung und schließlich zu Verschlüsselte Kommunikation einrichten durchklicken. Oder sie klicken auf das neue Schlosssymbol neben dem Button E-Mail schreiben oben links im Browser. Der erste Klick öffnet dann den Einrichtungsassistenten.

Ein Pop-up-Fenster zeigt nun die notwendigen Schritte zur Einrichtung an. Der erste besteht im Download der Browsererweiterung Mailvelope, die es für den Firefox- und den Chrome-Browser gibt. Mit Mailvelope werden Schlüsselpaare erzeugt und verwaltet sowie Mails ver- und entschlüsselt. (siehe Infobox oder Mailvelope) Die Erweiterung ist mit zwei Klicks und nach wenigen Sekunden installiert, das Ganze ist selbsterklärend.

Anschließend werden Nutzer aufgefordert, ein Passwort für die Verschlüsselung einzugeben. Mit dem wird der nun im Hintergrund von Mailvelope generierte private Schlüssel gesichert. Das bedeutet: Um eine Mail zu entschlüsseln oder eine eigene Mail zu signieren, brauchen Nutzer später den lokal in ihrem Browser gespeicherten privaten Schlüssel und dieses Passwort.

Nach dem Festlegen eines Passworts generiert Mailvelope das Schlüsselpaar. © Screenshot ZEIT ONLINE

Wer die Einrichtung an dieser Stelle beendet, kann bereits ver- und entschlüsseln. Der soeben erzeugte private Schlüssel verbleibt lokal auf dem jeweiligen Gerät gespeichert, der öffentliche Schlüssel landet auf einem Server von United Internet. Damit ist sichergestellt, dass sich Nutzer von GMX und Web.de untereinander reibungslos verschlüsselte Mails schicken können.

Die Mailprovider empfehlen aber noch einen dritten Schritt: die Sicherung der Schlüssel.

Sicherung einrichten – zum Wiederherstellen und zur Einrichtung der Verschlüsselung auf weiteren Geräten © Screenshot ZEIT ONLINE

In einem neuen Fenster erscheinen dazu ein Wiederherstellungscode und ein QR-Code, die Nutzer ausdrucken und sicher verwahren sollen. Benötigt wird der Wiederherstellungscode zum einen, wenn man sein Verschlüsselungspasswort vergisst. Zum anderen können Nutzer mit dem Wiederherstellungscode oder mit dem QR-Code auch auf anderen PCs sowie auf dem Smartphone oder Tablet die soeben erzeugten Schlüssel nutzen. Diese Möglichkeit zur Übertragung eines privaten Schlüssels auf weitere Geräte ist in anderen PGP-Systemen mitunter komplex, hier ist es vergleichsweise gut gelöst.

Dazu erzeugt Mailvelope an dieser Stelle einen Container, der den privaten und den öffentlichen Schlüssel des Nutzers sowie sein Verschlüsselungspasswort enthält. Der Container wird mit einem zufälligen 26-stelligen Passwort nach dem Standard AES-256 verschlüsselt und anschließend in einem gesonderten Bereich auf den Servern von United Internet abgelegt. Das Passwort aber wird nur lokal angezeigt, Nutzer sollen es ausdrucken oder abschreiben und sicher verwahren. Die Mailprovider bekommen es nicht zu sehen und können den Container auf ihren Servern deshalb unter keinen Umständen öffnen. Mailvelope ist Open-Source-Software, ebenso wie die dazugehörige OpenPGP-Implementierung für JavaScript. Experten können sich also davon überzeugen, dass die Software wirklich nur das tut, was sie soll.