Mail-Anbieter mit einfacher PGP-Lösung: Verschlüsseln für Anfänger
Ein neuer E-Mail-Provider bietet eine unkomplizierte Verschlüsselung von Nachrichten. Der Haken dabei: Der Nutzer gibt Kontrolle ab.
BERLIN taz | Kompliziert einzurichten, umständlich in der Bedienung – die E-Mail-Verschlüsselung per PGP gilt zwar als ungeknackt, aber wenig nutzerfreundlich. Der Email-Anbieter Startmail, der sein deutschsprachiges Angebot am Montag auf der Computermesse Cebit vorgestellt hat, will sie nun auch für technisch wenig versierte Nutzer attraktiv machen.
Anwender können direkt im Browser ihren Schlüssel erstellen und Emails verschlüsseln – mit deutlich weniger Aufwand als bei der Verwendung eines Email-Programms. Hinter dem neuen Dienst stecken die Macher der Suchmaschinen Ixquick und Startpage, die unter anderem das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein für ihre Privatsphäreeinstellungen ausgezeichnet hat.
„Das Angebot ist dafür geeignet, Nutzer an PGP heranzuführen“, sagt Dennis Romberg vom Verbraucherzentrale Bundesverband. Doch die einfache Bedienung hat einen Haken: Der private Schlüssel liegt nicht – wie sonst bei PGP üblich – auf dem eigenen Rechner, sondern beim Anbieter. Man muss also darauf vertrauen, dass er die Schlüssel wirksam vor Angriffen von außen schützt und sie auch selbst nicht missbraucht. „Je größer der Pool an geheimen Schlüsseln auf den Servern wird, desto attraktiver sind sie als Angriffsziel etwa für Geheimdienste“, sagt Romberg.
Wer eine verschlüsselte Nachricht an einem Empfänger senden will, der kein PGP verwendet, hat bei Startmail noch eine weitere Möglichkeit: Dabei wird die Mail verschlüsselt und mit einem Codewort versehen. Der Sender gibt eine Frage ein, deren Antwort – und damit das Codewort – nur der Empfänger kennt oder er gibt die Antwort auf einem anderen Kanal – etwa telefonisch – an den Empfänger weiter, der damit die Nachricht entschlüsseln kann.
Fast 50 Euro für ein Jahr
Knapp 50 Euro kostet der Account im Jahr. Derzeit wirbt das Unternehmen damit, dass es beim Abschluss eines Jahresvertrags zwei auf ein Jahr befristete Konten kostenlos dazu gibt, die Nutzer an Freunde verschenken sollen. Im Vergleich zu anderen Diensten mit Datenschutz-bewusster Zielgruppe ist der Preis eher hoch: Die Provider mailbox.org und Posteo, die ebenfalls auf Privatsphäre-freundliche Angebote setzen, kosten jährlich 12 Euro. Allerdings bieten sie keine Möglichkeit, direkt per Webmail einen PGP-Schlüssel zu erstellen und beim Anbieter zu hinterlegen.
Ähnlich wie Posteo will auch Startmail Nutzer ansprechen, die sich einen anonymen Account einrichten möchten. Dabei setzt Startmail auf eine Art Gutscheinkarte, die sich etwa an Tankstellen und Supermärkten kaufen lässt. Nutzer müssen hier also darauf achten, nicht mit EC- oder Kreditkarte zu bezahlen, wenn sie vermeiden wollen, dass die Zahlung Hinweise auf den Inhaber der Accounts gibt.
Laut Startmail-Sprecher Jörg Bauer haben sich in den vergangenen Monaten 24.000 Interessenten für den Dienst vorregistriert. Das US-Angebot, das bereits im Dezember gestartet ist, nutzten bislang knapp 10.000 Kunden.
Leser*innenkommentare
Hauke Laging
Dass es ein breites Spektrum an Technik gibt, aus der sich jeder raussucht, was ihm am meisten zusagt, ist grundsätzlich wünschenswert. Ein Riesenproblem ist aber, dass derzeit nicht brauchbar erkennbar ist, was von einem Schlüssel zu halten ist:
http://www.crypto-fuer-alle.de/wishlist/securitylevel/
Wer meint, es sei dem Absender egal, ob der private Schlüssel des Empfängers auf dessen eigenem Rechner oder dem eines Dienstleisters liegt, der hat entweder das System nicht kapiert, oder man muss ihm zu seinen Kommunikationspartnern kondolieren.
Wir brauchen aber nicht vor allem einfachere Technik, sondern Schulungen für viel mehr Leute. Mit Sachkenntnis kann man alles bedienen, aber ohne hilft einem auch die Einfachlösung kaum weiter.
Die Hochschulen müssten ihre Erstsemester entsprechend einnorden; an der FU passiert das schon in Ansätzen. Und auch an die Schulen muss das Thema, was aber noch viel weniger klappt als an den Hochschulen. Da müssten sich endlich mal die Eltern rühren und entsprechende Angebote einfordern (oder gleich mit aufbauen):
http://crypto.be.schule.de/
meierj
Die Mär von der Kompliziertheit der Verschlüsselung hält sich durch alle Medien, selbst bei heise findet man diesen Unsinn. Dadurch, dass alle schreiben, dass es irgendwie komplizert sei.
Es gibt z.B. mit GPG4Win eine Lösung die mit wenigen Clicks installiert und eingerichtet ist. Und dann werden von den unterstützten Mailprogrammen automatisch alle Mails an Absender deren Schlüssel man hat verschlüsselt und alle anderen signiert, so dass der_die Empfänger_in zumindest die Integrität der Mail überprüft werden kann.
Also bitte liebe TAZ (und andere) schreibt doch endlich mal darüber wie einfach es ist, verschlüsselt zu kommunizieren. Fangt damit an zu erklären, wie GnuPG funktioniert, mit einfachen Worten:
Der öffentliche Schlüssel ist eine Truhe, die ich verschenke und die ein Schnappschloss hat.
In diese Truhe packt der_die Absender_in den Mailinhalt und schließt sie.
Wenn die Mail bei mir ankommt stecke ich den privaten Schlüssel in das Schnappschloss und öffne sie damit.
So einfach ist das. Und es ist innerhalb von 10 Minuten zu installieren und einzurichten.
PS: Wenn dieser eher teure, unsichere und unnötige Dienst von der Firma hinter ixquick und startpage angeboten wird, muss ich wohl nochmal meine Suchmaschinenauswahl überdenken.
Peter Ulber
@meierj Naja, der Hund liegt u.a. im Schlüsselmanagement begraben. Für viele wäre es sicherlich am besten, wenn sie ähnlich eines physischen Schlüssels ein Toke in der Hand hielten. Dessen Bedeutung als privater Schlüssel(bund) wäre im wahrsten Sinne des Wortes leichter "begreiflich". Mailprogramme kommen aus der Mode, weil insbesondere die Freemailanbieter die Kunden lieber auf ihren mit "Mehrwerten" gespickten Webseiten hätten. Also: Ein Token wie der YubiKey, integrierte und ohne weiteres Zutun funktionierende Lesegeräte an allen Devices (Mobiltelefon geht u.a. mit NFC) und Betriebssysteme sowie Mailprogramme, welche das Verschlüsseln und Signieren nach einfacher Konfiguration sofort unterstützen, wäre eine Lösung, die definitiv Verbreitung finden würde. Als Doppelstandards böten sich OpenPGP (privater Gebrauch) und X.509 (Kommunikation mit Behörden usw.) an. Technisch alles machbar, aber schlichtweg nicht gewollt, und die Firmen müssten wegen des weiterhin möglichen Zugriffs auf Metadaten nicht mal ihr Geschäftsmodell umstellen ... naja, hierfür müsste man Mail neu erfinden, vgl. Dark Mail ;-)
Hauke Laging
Die Installation ist pillepalle, das stimmt, aber das ist nicht der Punkt. Die KORREKTE Nutzung ist das Problem. Und das liegt daran, dass die Thematik kompliziert ist; das kann man nicht hinter einem GUI verstecken.
Die wenigsten OpenPGP-Nutzer verstehen, was sie da tun:
http://www.openpgp-schulungen.de/verstaendnistest/
Mit dem "Vorzeigeprogramm" Enigmail ist in der aktuellen Version eine sinnvolle Nutzung nur erschwert möglich. Schon daran sieht man, dass kaum jemand es richtig macht.
Gute Schlüssel hat fast niemand.
http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/
Trotzdem ist das Hauptproblem zur Zeit nicht die Technik, sondern das es immer noch nicht gelingt, nennenswerte Mengen an Nutzern an brauchbare Kryptografie heranzuführen und dass das niemanden interessiert (insbesondere die Medien nicht). Nehmen wir mal großzügig an, dass in Berlin pro Jahr 2.000 Leute auf Cryptopartys geschult werden. Wann tritt dann ein messbarer Effekt ein? Wenn die heutigen Schlüssel alle schon von selbst zerfallen...
Informatiker
Abzocke!
Die beschriebenen Nachteile sind nicht hinnehmbar.
Peter Ulber
@Informatiker Sehe ich auch so. Hier wird eine völlig inaäquate Lösung für ein komplexes Sicherheitsproblem angeboten und mit dem Buzzwort "Ende-zu-Ende-Verschlüsselung" Schindluder getrieben. Abgesehen davon sollte einem zu denken, welche Gründe StartMail für die Nichtoffenlegung des Quellcodes angibt. Offenbar traut man dem eigenen Code nicht. Mailbox.org und Posteo sind in Deutschland DIE Anbieter des Vertrauens. Bei Mailbox.org ist das Hinterlegen des Public Keys (OpenPGP) zur Verschlüsselung möglich.