piwik no script img

Kommentar E-Mail-VerschlüsselungGute Nachricht mit Haken

Kommentar von Svenja Bergt

Die Ankündigung von Google und Yahoo ist vielversprechend. Dennoch besteht Manipulationsgefahr. Die Frage nach dem Vertrauen bleibt.

Wie sicher sind die Daten hinter dem Schlüssel der Konzerne? Bild: dpa

M an braucht wirklich kein Informatikstudium, um schon heute eine E-Mail zu verschlüsseln. Ganz unkompliziert ist es aber auch nicht: Programm installieren und einrichten, Erweiterung runterladen, privaten Schlüssel erzeugen, Haken setzen, öffentliche Schlüssel herunterladen – vermutlich gibt es eine ganze Reihe an Nutzern, die irgendwo in diesem Prozess die Motivation verlieren. Wenn also Google und Yahoo ankündigen, die Mail-Verschlüsselung ganz einfach im Browser anzubieten, ist das erst einmal eine gute Nachricht.

Vor allem deshalb, weil einige Indizien darauf hindeuten, dass die Konzerne es ernst meinen. So wollen sie auf den Standard PGP setzen, den auch Edward Snowden als sicher einstuft. Und Yahoo hat einen Experten angeworben, der zuvor bei der Electronic Frontier Foundation tätig war – einer NGO, die sich für Privatsphäre und Verbraucherrechte im Netz einsetzt und nicht im Verdacht steht, sich für PR-Zwecke vor den Karren eines Konzerns spannen zu lassen.

Trotzdem. Bei der Verschlüsselung im Browser bleibt immer ein Restrisiko. Der Anbieter kann den Code ändern und so den hoch geheimen privaten Schlüssel zu sich übertragen. Und dann doch die Mails entschlüsseln. Nutzer müssen ihrem Anbieter also vertrauen. Zwar wäre es ziemlich geschäftsschädigend, wenn herauskommt, dass eines der Unternehmen heimlich private Schlüssel abgreift, egal ob aus eigenem Interesse oder auf Druck von Behörden. Doch Google hatte mit seinen Street-View-Fahrzeugen auch ohne Wissen der Nutzer WLAN-Daten mitgeschnitten. Unvorstellbar ist es also nicht.

Für alle, die es bequem und trotzdem verschlüsselt habe wollen, gilt also: Bei Google oder Yahoo lernen, wie es geht. Und sobald es Alternativen gibt, zu einem Anbieter wechseln, dem man wirklich vertraut.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Redakteurin für Wirtschaft und Umwelt
schreibt über vernetzte Welten, digitale Wirtschaft und lange Wörter (Datenschutz-Grundverordnung, Plattformökonomie, Nutzungsbedingungen). Manchmal und wenn es die Saison zulässt, auch über alte Apfelsorten. Bevor sie zur taz kam, hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet. Autorin der Kolumne Digitalozän.
Mehr zum Thema

2 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • Das Problem ist, dass Apple über eine Technologie verfügt und auch angeblich zwecks Verbesserung der Programme anwendet, mit welcher alle Tastaturbefehle der user aufgezeichnet werden können. Das Problem ist dann, wie sperre ich meine Tastatur vor Mac & NSA, sonst ist alle Text- Kryptographie für die Katz. Oder?

  • Die Bedenken gegenüber Ende-zu-Ende-Verschlüsselung im Browser richten das Interesse der Crypto-Community hoffendlich mal auf ein gravierendes Problem, das die ganze Zeit fröhlich ignoriert wird – weil kaum jemand (auch unter Informatikern) Kryptografie "richtig" macht, da das unbequem ist und von den Tools bisher nicht unterstützt wird: Wir haben bisher keinerlei Transparenz über die Sicherheit von Schlüsseln (und den Computern, auf denen sie verwendet werden) und über die der Authentifizierung (Identitätsprüfung) der vermeintlichen Schlüsselbesitzer. Es ist kein großes Problem, dass ein bestimmter Schlüssel wenig sicher ist. Es ist aber ein großes Problem, dass die Kommunikationspartner das nicht auf einfache Weise wissen können – ganz egal, ob wir nun über Googles Browser-OpenPGP reden oder über das "gute alte" OpenPGP unter Linux. Mehr zu diesem Problem:

     

    http://www.crypto-fuer-alle.de/wishlist/securitylevel/

     

    Die wahrscheinlich größte Bedeutung dieser Aktion dürfte – je nachdem, wie Google u.a. das umsetzen – darin liegen, dass Kryptografie damit endlich im Alltag vieler Leute sichtbar wird. Solange das nicht passiert, braucht man auf echten Fortschritt nicht zu hoffen:

     

    http://www.crypto-fuer-alle.de/wishlist/sichtbarkeit/