Sicheres Mailen bei Google und Yahoo: Verschlüsseln für Millionen

BERLIN taz | Die US-Konzerne Yahoo und Google wollen eine Möglichkeit zum Verschlüsseln von E-Mails im Browser anbieten. Das kündigte Alex Stamos, Chef für Informationssicherheit bei Yahoo, auf der Sicherheitskonferenz Black Hat in Las Vegas an. Laut Berichten soll die neue Funktion im kommenden Jahr starten und den als sicher geltenden PGP-Standard verwenden.

Die Verschlüsselung von E-Mails mit PGP macht Dritten, die eine Mail etwa während des Transports oder auf einem Server einsehen, das Lesen des Mail-Inhaltes unmöglich. Zu erkennen ist nur eine kryptische Zeichenfolge. Doch wer seine E-Mails komplett bis zum Empfänger verschlüsseln will, muss bislang ein Mailprogramm wie Thunderbird oder Outlook nutzen. Nutzer, die ihre Nachrichten über die Website ihres Anbieters im Browser lesen und verschicken, haben das Nachsehen.

Mehrere Unternehmen arbeiten bereits daran, das zu ändern. Etwa Posteo, eine kleine Firma aus Berlin, die schon jetzt in Datenschutzkreisen beliebt ist, unter anderem weil sie anonyme Postfächer anbietet. Google und Yahoo wollen nun auf eine Erweiterung (Add-on) für den Browser setzen. Stamos versprach in einem Interview mit dem australischen Portal ITnews eine „Ein-Klick-Lösung“. Damit könnte die Zahl der Nutzer von PGP-Verschlüsselung stark zunehmen. Denn: Googles Dienst Gmail war bereits vor zwei Jahren mit damals 425 Millionen Nutzern der größte E-Mail-Anbieter.

Die Konzerne würden mit dem Angebot allerdings einen Teil ihres Geschäftsmodells aufs Spiel setzen. Sind die Inhalte der Mails nicht lesbar, lassen sie sich nicht auf Begriffe scannen und passende Werbung einblenden. Auch Behörden, die die Herausgabe von Nachrichten verlangen, würden nur unverständliche Zeichenketten erhalten.

Hier zeigt sich auch der Unterschied zur reinen Transportverschlüsselung, wie sie etwa Google seit 2010, die Telekom immerhin seit vergangenem Jahr anbietet. Bei der Transportverschlüsselung sind die Mails nur unterwegs nicht lesbar. Auf den Servern liegen sie aber weiterhin im Klartext. Verschlüsselt der Nutzer die E-Mail selbst, ist die Nachricht auch auf dem Server nicht lesbar.

Im Wall Street Journal zeigte sich Stamos optimistisch, dass es ihm nicht gehen werde wie dem kleinen US-Anbieter Lavabit. Der hatte vor gut einem Jahr seinen Dienst eingestellt, als US-Behörden ihn zur Herausgabe persönlicher Schlüssel zwingen wollten. „Da ist ein Unterschied zu einem Multimilliarden-Dollar-Konzern mit einer Armee an Anwälten, die das gern bis zum Supreme Court durchfechten würden.“ Schließlich könne man argumentieren, dass die privaten Schlüssel ausschließlich bei den Nutzern lägen.

Offen bleibt dabei, inwieweit US-Behörden Unternehmen zu Änderungen am Programm zwingen können – mit denen die Schlüssel dann heimlich übertragen würden. Die Enthüllungen von Edward Snowden haben gezeigt, dass einige Unternehmen auf Wünsche der Behörden nach einer einfacheren Überwachung der Nutzer durchaus kooperativ reagierten.