piwik no script img

Kommentar Webmaildienste verschlüsseltBequem die NSA besiegen

Zwei Maildienste mit Millionen Nutzerinnen führen bequeme Verschlüsselung ein. Nun gibt es keine Ausrede mehr, Postkarten durchs Netz zu schicken.

Ein bisschen wie PGP-Verschlüsselung: Vorhängeschlösser Foto: Gerti G. / photocase.de

Jetzt kann alles anders werden. Die wichtigsten deutschen Webmaildienste, Web.de und GMX, führen bequeme, aber starke Verschlüsselung ein. Endlich gibt es eine massenkompatible Lösung, um die extreme Datensammelei von Unbescholtenen durch Geheimdienste wie die NSA oder den deutschen Verfassungsschutz zu vereiteln. Es ist nicht zwingend, dass das passiert, aber endlich möglich – und das macht den Unterschied.

PGP, kurz für Pretty Good Privacy (“Ziemlich Gute Privatsphäre“), wurde 1991 entwickelt und weil die Entschlüsselung von PGP-Nachrichten zwar möglich ist, aber so furchtbar lange dauert, gilt die Technologie als unknackbar. Durchgesetzt hat sie sich aber nicht, weil sie unbequem ist. Um sie zu verwenden muss man einen „privaten Schlüssel“ nutzen, den niemand anderes kennen darf – deshalb dürfen diese Schlüssel nicht auf fremde Rechner geladen werden. Wenn aber nur der eigene Rechner verwendet werden darf, kann man Mails auch nicht mehr von beliebigen Standorten abrufen – einer der wesentlichen Vorteile von Webmail.

Und, um überhaupt nutzbar zu sein, müssen Absenderin und Empfängerin die Technologie verwenden – bisher waren es nur wenige Technikaffine. Für die meisten Menschen hieß es deshalb bislang: Man verschlüsselt gar nicht oder nur manche Nachrichten von manchen Leuten, die nur an bestimmten Rechnern gelesen werden können.

Web.de und GMX haben nun – das legt die Analyse des Fachmagazins c‘t nahe – eine praktikable Lösung gefunden, um Schutz und Bequemlichkeit in Einklang zu bringen. Bisher gab es das nur bei kleineren Maildiensten. Auch Gmail und Yahoo arbeiten an einem ähnlichen Projekt. Spätestens dann dürfte Verschlüsselung so vielen Menschen zur Verfügung stehen und so einfach sein, dass es keine Ausrede mehr gibt, nur Klartext zu verschicken.

Das Ende der Datensammelei

Damit beginnt ein Paradigmenwechsel bei der Mailnutzung. Bislang galten E-Mails als so sicher wie Postkarten in der Post: Wer die Daten abgreifen kann, kann die Nachricht im Klartext lesen. Das gilt für Geheimdienste, Behörden und die Mailanbieter, aber auch für Betreiber, über deren Server Mails weitergeleitet werden. Die Technik, die jetzt GMX und Web.de einsetzen, macht E-Mails für alle unlesbar – außer Absenderin und Empfängerin. Wie ein Brief im Umschlag – oder besser: ein Brief in einer unzerstörbaren Kiste, deren Schlüssel nur die Empfängerin besitzt.

Für die Geheimdienste bedeutet das: Einfach Daten sammeln und dann bei Bedarf durchsuchen geht nicht mehr. Für die Nutzerinnen heißt es: Selbst wenn ihre Mailanbieter mit Behörden oder Geheimdiensten kooperieren, können sie die Mails nicht im Klartext herausgeben, weil sie nur verschlüsselt vorliegen.

Freilich wäre selbst bei massenhafter Nutzung von PGP nicht alles gelöst. Die Metadaten von Mails verraten noch einiges – Absenderin, Empfängerin und Versandzeiten –, das für Spione und Überwacherinnen interessant ist. Und besonders engagierte Angreiferinnen werden auch andere Möglichkeiten finden, ihre Opfer auszuspionieren.

Türen abschließen verhindert nicht jeden Diebstahl, macht ihn aber schon mal viel schwieriger. Das gilt jetzt auch für E-Mails.

Und, sollte es jemand vergessen haben: Dass es endlich soweit ist, verdanken wir vor allem Edward Snowden.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

2 Kommentare

 / 
  • "Fairerweise" (ggü. taz, aber vor allem 1&1) sollte die Kritik aber auch stichhaltig sein:

    Wenn 1&1 nicht gerade in wirklich bösartiger (und sehr raffinierter) Weise manipuliert hat, dann bleibt der Schlüssel bei mir, weil das Open Source-Browser-Addon Mailvelope die PGP-Arbeit leistet. (Echte Cryptonerds rümpfen da natürlich die Nase -- Browser! womöglich gar Windows und kein airgapped Spezial-Linux!! -- Es geht hier aber um eine *massentaugliche* Lösung um es den Diensten schwerer zu machen, etwas Privatsphäre zurück zu gewinnen und nicht darum, Snowden-würdige Geheimnisse zu schützen.)

     

    Der "Sicherungsschlüssel" zum Importieren auf anderen Geräten bzw. Wiederherstellen, der optional(!) auf dem Server bleibt, ist ja seinerseits mit einem zufälligen Schlüssel geschützt.

    Wenn Browser und/oder Rechner nicht eh kompromittiert sind (was immer ein Problem ist), und 1&1 ihn nicht da abgreift (was die Pentester hoffentlich geprüft haben), sollte es keine Möglichkeit geben, den "Türschlüssel an die Polizei auszuhändigen".

     

    Vielleicht doch erst mal den verlinkten c't-Bericht lesen? Ist gar nicht lang!

  • Ähm, nur der Vollständigkeit halber: Türen abschließen ist bestimmt eine gute Idee. Aber die "Technologie" von United Internet bedeutet in Ihre Bildsprache übersetzt, dass sie eine Firma engagieren, welche stellvertretend für Sie Ihre Türen auf- und zuschließt und den Schlüssel anschließend in der Firma verwahrt. Außerdem ist die Firma rechtlich verpflichtet u.U. Ihren Türschlüssel an die Polizei auszuhändigen.

     

    Sie sollten dieses Detail fairerweise Ihrem Beitrag beifügen.