Bloß weil die Bundesregierung die De-Mail als sicher erklärt, ist sie es nicht. Vertrauen genießt die von einigen deutschen Providern wie Telekom und United Internet angebotene De-Mail bislang nicht. Dabei soll die De-Mail alles einfacher machen: Sich ausweisen, die eigene Identität bestätigen, mit Behörden und Versicherungen kommunizieren und Verträge abschließen. Macht aber kaum jemand. Weil es an einer Ende-zu-Ende-Verschlüsselung mangelt. Die soll ab April aber nun kommen: Dann kann jeder seine Mails mit PGP verschlüsseln.

Wahrscheinlich geht es den meisten so wie mir: Ihr habt zwar mal ein  De-Mail-Postfach eingerichtet, aber dann doch irgendwie nie benutzt. Mir jedenfalls geht es so: Mein De-Mail-Postfach weist gähnende Leere auf. Inaktiv vom ersten Tag an.

Vor allem deswegen, weil es kaum Gelegenheit gibt, die Deutschland-Mail zu benutzen. Außerdem bin ich skeptisch, was die Sicherheit der De-Mail anbelangt. Denn bislang war es nicht möglich, den Datenverkehr sicher zu verschlüsseln. Die sogenannte Ende-zu-Ende-Verschlüsselung, die alle Experten einstimmig fordern, wurde bei der De-Mail bislang nicht angeboten. Warum? Ganz klar: Damit Geheimdienste und Behörden im Zweifel alles mitlesen können.

demail

Ende-zu-Ende-Verschlüsselung mit PGP

Das macht eine angeblich “sichere” E-Mail natürlich zu einem Witz. Denn eine E-Mail, deren wichtigstes Verkaufsargument “Sicherheit” sein soll, die aber das eingebaute Feature hat, dass der Staat alles mitlesen kann, wenn er nur will, ist eben vor allem eins nicht: Sicher. Das musste wohl auch die Betreiber von De-Mail erkennen. Denn sie greifen die wichtigste und am häufigsten zu hörende Kritik nun tatsächlich auf und führen ab April eine Ende-zu-Ende-Verschlüsselung bei De-Mail ein.

Private User, Unternehmen und Ämter können dann per De-Mail künftig leichter vertrauliche Inhalte per PGP Ende-zu-Ende schützen. Bislang können die Server dazwischen die Daten unverschlüsselt lesen. In Zukunft nicht mehr, das haben die De-Mail-Anbieter Deutsche Telekom, United Internet (1&1, GMX und Web.de) sowie Francotyp-Postalia jetzt angekündigt. Die Betreiber wollten wohl nicht mehr länger zusehen: Ein wirtschaftlicher Erfolg ist das aufwändig vermarktete Produkt De-Mail nämlich bislang nicht gerade.

Ohne Vertrauen wird es trotzdem nichts

Aber was bedeutet das konkret? Die Daten werden jetzt nicht mehr nur bei der Kommuikation zwischen meinem PC und dem Server verschlüsselt, sondern zwischen Sender und Empfänger. Mit einem geheimen Schlüssel, den die Mail-Betreiber nicht kennen. Das macht ein Abhören der Daten deutlich schwieriger bis unmöglich, je nach verwendetem Schlüssel.

Zum Einsatz kommt das populäre Pretty Good Privacy (PGP). Konkret setzen die De-Macher die offene Erweiterung “Mailvelope” ein, die allerdings nur unter den Webbrowsern Firefox und Google Chrome läuft.

Lässt sich De-Mail so pushen?

Wird das De-Mail aus der Versenkung holen? Ich denke nein. Dass nun konsequent die PGP-Verschlüsselung verwendet werden kann, ist gut. Aber: Sie ist nicht Standard. Man muss sich als Benutzer selbst drum kümmern, dass sie zum Einsatz kommt. Doch was wohl viel tragischer ist: Der Schritt kommt viel zu spät. Das Vertrauen ist eigentlich längst verspielt.

Die meisten können sowieso nicht wirklich beurteilen, wie De-Mail technisch funktioniert. Sie hören aber von Politikern, die die Vorratsdatenspeicherung wieder einführen wollen und auch, dass die Verschlüsselung generell gelockert werden soll. Sie gehen also sowieso davon aus, dass der Staat alles mitliest und mithört. Warum dann also den Aufwand betreiben und eine De-Mail einrichten?

De-Mail soll sicherer werden: Ab April mit #pgp Ende zu Ende Verschlüsselung möglich #instaSchieb

Ein von schieb.de (Jörg Schieb) (@schiebde) gepostetes Video am