5225254

Kommentar Webmaildienste verschlüsselt: Bequem die NSA besiegen

Zwei Maildienste mit Millionen Nutzerinnen führen bequeme Verschlüsselung ein. Nun gibt es keine Ausrede mehr, Postkarten durchs Netz zu schicken.

Zwei Schlösser hängen an einer blauen Wand

Ein bisschen wie PGP-Verschlüsselung: Vorhängeschlösser Foto: Gerti G. / photocase.de

Jetzt kann alles anders werden. Die wichtigsten deutschen Webmaildienste, Web.de und GMX, führen bequeme, aber starke Verschlüsselung ein. Endlich gibt es eine massenkompatible Lösung, um die extreme Datensammelei von Unbescholtenen durch Geheimdienste wie die NSA oder den deutschen Verfassungsschutz zu vereiteln. Es ist nicht zwingend, dass das passiert, aber endlich möglich – und das macht den Unterschied.

PGP, kurz für Pretty Good Privacy (“Ziemlich Gute Privatsphäre“), wurde 1991 entwickelt und weil die Entschlüsselung von PGP-Nachrichten zwar möglich ist, aber so furchtbar lange dauert, gilt die Technologie als unknackbar. Durchgesetzt hat sie sich aber nicht, weil sie unbequem ist. Um sie zu verwenden muss man einen „privaten Schlüssel“ nutzen, den niemand anderes kennen darf – deshalb dürfen diese Schlüssel nicht auf fremde Rechner geladen werden. Wenn aber nur der eigene Rechner verwendet werden darf, kann man Mails auch nicht mehr von beliebigen Standorten abrufen – einer der wesentlichen Vorteile von Webmail.

Und, um überhaupt nutzbar zu sein, müssen Absenderin und Empfängerin die Technologie verwenden – bisher waren es nur wenige Technikaffine. Für die meisten Menschen hieß es deshalb bislang: Man verschlüsselt gar nicht oder nur manche Nachrichten von manchen Leuten, die nur an bestimmten Rechnern gelesen werden können.

Web.de und GMX haben nun – das legt die Analyse des Fachmagazins c‘t nahe – eine praktikable Lösung gefunden, um Schutz und Bequemlichkeit in Einklang zu bringen. Bisher gab es das nur bei kleineren Maildiensten. Auch Gmail und Yahoo arbeiten an einem ähnlichen Projekt. Spätestens dann dürfte Verschlüsselung so vielen Menschen zur Verfügung stehen und so einfach sein, dass es keine Ausrede mehr gibt, nur Klartext zu verschicken.

Das Ende der Datensammelei

Damit beginnt ein Paradigmenwechsel bei der Mailnutzung. Bislang galten E-Mails als so sicher wie Postkarten in der Post: Wer die Daten abgreifen kann, kann die Nachricht im Klartext lesen. Das gilt für Geheimdienste, Behörden und die Mailanbieter, aber auch für Betreiber, über deren Server Mails weitergeleitet werden. Die Technik, die jetzt GMX und Web.de einsetzen, macht E-Mails für alle unlesbar – außer Absenderin und Empfängerin. Wie ein Brief im Umschlag – oder besser: ein Brief in einer unzerstörbaren Kiste, deren Schlüssel nur die Empfängerin besitzt.

Für die Geheimdienste bedeutet das: Einfach Daten sammeln und dann bei Bedarf durchsuchen geht nicht mehr. Für die Nutzerinnen heißt es: Selbst wenn ihre Mailanbieter mit Behörden oder Geheimdiensten kooperieren, können sie die Mails nicht im Klartext herausgeben, weil sie nur verschlüsselt vorliegen.

Freilich wäre selbst bei massenhafter Nutzung von PGP nicht alles gelöst. Die Metadaten von Mails verraten noch einiges – Absenderin, Empfängerin und Versandzeiten –, das für Spione und Überwacherinnen interessant ist. Und besonders engagierte Angreiferinnen werden auch andere Möglichkeiten finden, ihre Opfer auszuspionieren.

Türen abschließen verhindert nicht jeden Diebstahl, macht ihn aber schon mal viel schwieriger. Das gilt jetzt auch für E-Mails.

Und, sollte es jemand vergessen haben: Dass es endlich soweit ist, verdanken wir vor allem Edward Snowden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • sponor

    "Fairerweise" (ggü. taz, aber vor allem 1&1) sollte die Kritik aber auch stichhaltig sein:

    Wenn 1&1 nicht gerade in wirklich bösartiger (und sehr raffinierter) Weise manipuliert hat, dann bleibt der Schlüssel bei mir, weil das Open Source-Browser-Addon Mailvelope die PGP-Arbeit leistet. (Echte Cryptonerds rümpfen da natürlich die Nase -- Browser! womöglich gar Windows und kein airgapped Spezial-Linux!! -- Es geht hier aber um eine *massentaugliche* Lösung um es den Diensten schwerer zu machen, etwas Privatsphäre zurück zu gewinnen und nicht darum, Snowden-würdige Geheimnisse zu schützen.)

    Der "Sicherungsschlüssel" zum Importieren auf anderen Geräten bzw. Wiederherstellen, der optional(!) auf dem Server bleibt, ist ja seinerseits mit einem zufälligen Schlüssel geschützt.

    Wenn Browser und/oder Rechner nicht eh kompromittiert sind (was immer ein Problem ist), und 1&1 ihn nicht da abgreift (was die Pentester hoffentlich geprüft haben), sollte es keine Möglichkeit geben, den "Türschlüssel an die Polizei auszuhändigen".

    Vielleicht doch erst mal den verlinkten c't-Bericht lesen? Ist gar nicht lang!

  • nanymouso

    Ähm, nur der Vollständigkeit halber: Türen abschließen ist bestimmt eine gute Idee. Aber die "Technologie" von United Internet bedeutet in Ihre Bildsprache übersetzt, dass sie eine Firma engagieren, welche stellvertretend für Sie Ihre Türen auf- und zuschließt und den Schlüssel anschließend in der Firma verwahrt. Außerdem ist die Firma rechtlich verpflichtet u.U. Ihren Türschlüssel an die Polizei auszuhändigen.

    Sie sollten dieses Detail fairerweise Ihrem Beitrag beifügen.