Mehr Verschlüsselung im Netz: Datenskandal zeigt Wirkung

BERLIN taz | Die Erkenntnisse über massenhafte Überwachung durch Geheimdienste zegen Wirkung: Der Anteil von Daten, deren Transport durch das Internet verschlüsselt wird, nimmt zu. So zeigt eine Auswertung des Technologiekonzerns Google, dass immer mehr E-Mails auf dem Weg von einem Server zum anderen verschlüsselt werden. Geheimdienste, die Daten an den Verbindungskabeln abzapfen, sehen dann nur unverständliche Zeichenketten. Das betrifft sowohl den Inhalt der E-Mail als auch Anhänge und Metadaten, also etwa Sender und Uhrzeit.

Zur Verschlüsselung gehören immer zwei: Arbeitet entweder der Server des Senders oder der des Empfängers ohne Verschlüsselung, wird die E-Mail im Klartext gesendet. Der Nutzer kann das nicht beeinflussen – im Unterschied zur Ende-zu-Ende-Verschlüsselung, bei der beide Nutzer ihre Kommunikation mit einer speziellen Software für Dritte komplett – also auch für den Provider und legal zugreifende Behörden – unlesbar machen.

Den Angaben von Google zufolge liefen im vergangenen Dezember um die 30 Prozent der über andere Anbieter eingehenden E-Mails über verschlüsselte Verbindungen. Bei den ausgehenden war der Anteil ein paar Prozentpunkte höher. Mittlerweile sind von den eingehenden Nachrichten über 50 Prozent, von den ausgehenden über 70 Prozent verschlüsselt. Die Unterschiede zwischen ein- und ausgehenden E-Mails kommen laut einem Google-Sprecher unter anderem dadurch zustande, dass Nachrichten wie Newsletter häufig von unverschlüsselten Servern kommen und und meist unbeantwortet bleiben.

Andere Provider, sowohl die Telekom als auch web.de und GMX, die erst vor einem Jahr eine Transportverschlüsselung einführten, wollten auf Anfrage keine Daten nennen, genauso wenig wie Yahoo. Zahlen des kleineren Providers JP-Berlin bestätigen die Tendenz der Google-Auswertung jedoch: „Aktuell werden rund eineinhalb mal mehr E-Mails TLS-verschlüsselt verschickt als noch vor einem Jahr“, sagt Peer Heinlein, Geschäftsführer der JPBerlin. Rund 70 Prozent der Mailserver würden derzeit die Verschlüsselung unterstützen.

Veraltete Standards

Verschlüsselte Verbindungen spielen nicht nur bei E-Mails eine Rolle, sondern auch beim Aufrufen von Internetseiten. Ein Bereich, in dem es besonders wichtig ist, dass Dritte nicht mitlesen können, sind Bankgeschäfte im Internet. Auch eine zwar vorhandene, aber schlechte Verschlüsselung ist hier eine Gefahr. Sie macht es Betrügern leicht, die übertragenen Daten wie PIN und TAN mitzulesen und damit das Konto abzuräumen. Bei einer Recherche der taz im vergangenen Dezember zeigte sich, dass eine Reihe von Instituten ihr Online-Banking nur mit dem veralteten Standard namens RC4 absichern, der als geknackt gilt.

Mittlerweile hat sich da einiges getan: Unter den hundert größten Banken setzt keine mehr ausschließlich auf RC4. Dennoch unterscheiden sich die verwendeten Sicherheitsstandards stark: So können Angreifer bei den meisten Banken immer noch erzwingen, dass der unsichere Verschlüsselungsstandard verwendet wird – und diesen dann leicht knacken. Zudem fehlt etwa bei vielen Internetseiten der Sparkassen noch eine Ergänzung, die verhindert, dass einmal gespeicherte Kommunikation mit einem nachträglich abgefangenen Schlüssel dekodiert wird. Ein Sprecher des Sparkassenverbandes sagte, das neue System werde „schrittweise“ eingeführt. Positiv fallen GLS-Bank, Deutsche Bank und Ethik-Bank mit hohen Verschlüsselungsstandards auf.

Auch bei mancher Behörde gibt es Nachholbedarf: Wer eine E-Mail etwa an das Finanzamt Kempten oder die bayerische Polizei schickt, kann nicht sicher sein, dass Dritten das Mitlesen unterwegs nicht möglich ist. Das zuständige IT-Dienstleistungszentrum des Freistaats Bayern teilte zwar mit, dass man Transportverschlüsselung verwende, doch Tests zeigen, dass zumindest ein Teil der Verbindungen unverschlüsselt erfolgt.

Das Behördenportal der Stadt Stuttgart läuft nach einer Anfrage der taz verschlüsselt. Laut einem Sprecher hatte es eine Serverumstellung gegeben – daher seien die Dienste temporär nicht verschlüsselt gewesen.