Seit den Enthüllungen von Edward Snowden über die Spähprogramme der NSA bemüht sich Google um mehr Sicherheit. Im vergangenen September stellte der Konzern sämtliche Suchanfragen auf die gesicherte HTTPS-Verbindung um. Erst kürzlich gab es Spekulationen, ob Google sichere Websites künftig höher in seinem Ranking platzieren würde, was wiederum Website-Betreiber anspornen könnte, auf mehr Sicherheit zu setzen. Und Ende März machte Google bei seinem E-Mail-Dienst Gmail die HTTPS-Verbindung zur Pflicht und stärkte außerdem die Verschlüsselung zwischen seinen Datenzentren.  

Das größte Projekt für die Daten- und Abhörsicherheit der Nutzer aber könnte noch kommen. Wie die Website Venturebeat von Insidern erfahren haben will, plant Google, das Verschlüsselungsprogramm PGP besser mit Gmail zu verzahnen, also zumindest die Nutzung der komplexen, aber sicheren Ende-zu-Ende-Verschlüsselung zu erleichtern. Details sind nicht bekannt, doch sollte es soweit kommen, wäre das ein Schritt, um Verschlüsselung der breiten Masse zugänglich machen. Geschätzte 500 Millionen Gmail-Konten gibt es bereits.

PGP: Gute Idee, schlechte Verbreitung

PGP ("Pretty Good Privacy") ist für Internetverhältnisse steinalt. Bereits seit 1991 gibt es die Software. Sie verschlüsselt die Inhalte einer Mail so, dass nur Sender und Empfänger sie lesen können. Wer sie unterwegs abfängt, bekommt nur Zahlen- und Buchstabensalat zu sehen.

Dazu benötigen die Nutzer jeweils ein Schlüsselpaar: einen privaten und einen öffentlichen Schlüssel. Den privaten kennt nur der jeweilige Nutzer, er ist in der Regel zusätzlich mit einem Passwort gesichert. Den öffentlichen Schlüssel dagegen stellen die Nutzer entweder auf ihre Website, als Signatur in ihre E-Mail oder auf einen sogenannten Keyserver, eine Art Telefonbuch für PGP-Nutzer.

Das ist wichtig, denn um jemandem eine E-Mail mit PGP zu schicken, muss der Sender den öffentlichen Schlüssel des Empfängers kennen. Landet die verschlüsselte E-Mail bei einem Empfänger, kann dieser, und nur dieser, sie mit seinem privaten Schlüssel wieder entschlüsseln. Zusätzliche Signaturen verstärken die Echtheit der Nachricht.

So einfach das Prinzip ist, so aufwändig ist die Umsetzung. Auch Lukas Pitschl, Entwickler des Verschlüsselungpakets GPGTools, kennt das Problem: "Es gibt nur wenige Mailprogramme, die PGP von Haus aus unterstützen, was den Einstieg schwierig macht", sagt Pitschl im Gespräch mit ZEIT ONLINE. Die Nutzer müssen deshalb nämlich auf zusätzliche Software wie eben GPGTools für Apple Mail oder Enigmail für Thunderbird zurückgreifen, die für die Verschlüsselung und die Verwaltung der Schlüssel sorgen.

Ein zusätzliches Hindernis ist, dass PGP für jedes Gerät eingerichtet werden muss. Mal eben die verschlüsselten E-Mails auf dem Smartphone oder einem öffentlichen Rechner abrufen ist nicht mehr möglich, ohne auch dort einen privaten Schlüssel einzurichten – für die meisten Nutzer ist das nicht praktikabel.

Wer hat Zugriff auf den privaten Schlüssel?

Wie könnte Google den Prozess vereinfachen? Für Pitschl wäre die einfachste Lösung, dass Google die PGP-Option einfach in seine bestehenden Dienste und Apps integriert. "Bereits bei der Registrierung eines neuen Kontos könnte das Schlüsselpaar erstellt werden", sagt Pitschl, "und das selbst, wenn die Verschlüsselung standardmäßig deaktiviert ist." Bei Bedarf könnte man die Verschlüsselung jederzeit aktivieren und müsste sich nicht mehr lange mit der Einrichtung beschäftigen.

Der private Schlüssel läge in diesem Fall etwa in einem Plugin für den Chrome-Browser lokal auf dem Rechner. Ähnliche Versuche von Drittanbietern gibt es bereits. Auf mobilen Geräten könnte die offizielle Gmail-App gleich alle nötigen Funktionen zur Erstellung von Schlüsseln und Signaturen bereithalten. Der Vorteil: Nutzer müssen keine zusätzliche Software installieren – wären allerdings auch an die offizielle App gebunden.