Das Internet ist ein denkbar indiskreter Ort. Was nicht verschlüsselt wird, das kann grundsätzlich mitgelesen werden, theoretisch von jedem, der sich Zugang dazu verschafft. Das ist auch der Grund, wieso Webseiten heute in der Regel Daten verschlüsselt übertragen, und auch Messenger wie WhatsApp verschlüsseln heute die Kommunikation, ohne dass wir das groß merken.

Aber ausgerechnet die E-Mail, die wir täglich nutzen und der wir vieles anvertrauen, läuft heute in der Regel unverschlüsselt ab. Was bedeutet – siehe oben – jeder kann mitlesen. Das soll anders werden, denn jetzt wurde ein Projekt namens Volksverschlüsselung gestartet.

Volksverschlüsselung

Volksverschlüsselung: Das klingt nach einem deutschen Projekt. Wer steckt dahinter?

Das ist richtig: Die Volksverschlüsselung ist eine Idee und ein Projekt von Telekom und Fraunhofer Institut für sichere Informationstechnologie. Die beiden zusammen wollen das Verschlüsseln von E-Mails deutlich einfacher machen als bisher – und den Austausch von E-Mails für uns alle sicherer.

Das wurde schon im November vergangenen Jahres angekündigt und auch auf der CeBIT im März diesen Jahres noch mal angekündigt, jetzt ist es aber so weit, der Startschuss ist gefallen. Das ist wichtig, denn das Verschlüsseln von E-Mails ist zwar möglich, aber immer noch vergleichsweise schwierig, weil man sich Extra-Software besorgen muss und damit kommt nicht jeder klar.

VERSCHLÜSSELUNG

Wer kann denn da mitmachen – und wie geht es?

Erst mal Kunden der Telekom. Die Möglichkeit zur Volksverschlüsselung soll da demnächst im Portal angeboten werden. Man muss sich mit Personalausweis registrieren, denn es geht ja gerade darum, dass jeder User auch wirklich überprüft ist.

Wenn jemand von mir eine Mail bekommt, die zertifiziert ist, muss auch sicher sein, dass nicht nur Jörg Schieb drauf steht, sondern auch Jörg Schieb dahinter steht. Später soll man sich auch in den T-Punkten der Telekom vorstellen können: Personalausweis herzeigen und Volksverschlüsselungskonto eröffnen.

Zertifikate

Brauche ich spezielle Software dafür?

Allerdings, es ist Spezial-Software nötig. Im Augenblick gibt es die nur für Windows-Rechner und da auch nur für die Mail-Programme Outlook und Thunderbird. Wer ein anderes Mail-Programm benutzt, kann den Austausch von verschlüsselten Nachrichten nicht über sein Mail-Programm erledigen. Gängige Browser wie Edge, Chrome und Firefox werden unterstützt, damit man auch Web-Mail benutzen kann.

Die Unterstützung für macOS und iOS ist für später angekündigt, andere Betriebssysteme werden noch was länger dauern. Das ist schon ein Ding, dass nicht macOS, iOS und Android von Anfang an unterstützt werden, denn das schränkt die angebliche „Volks“verschlüsselung doch gleich erheblich ein. In Wahrheit ist es eine Windows-Verschlüsselung, zumindest noch. Angesichts der langen Vorbereitungszeiten ist mir das unerklärlich.

 

Also gut: Wenn ich also Windows-User bin und die passende Software haben, wie einfach ist es dann mit dem Verschlüsseln?

Wenn man die Volksverschlüsselungs-Software geladen hat, müssen beim ersten Start die nötigen Schlüssel erzeugt und hinterlegt werden. Man braucht immer Schlüsselpaare, bestehend aus öffentlichem Schlüssel – den darf jeder sehen, zum Ver- und Entschlüsseln der Nachrichten, die mit mir ausgetauscht werden – und privaten Schlüssel.

Den darf ich auf keienn Fall herausgeben, der gehört nur mir. Das erledigt die Software automatisch. Die Mail-Software wird entsprechend konfiguriert, damit die Mails verschlüsselt werden. Damit wird dann eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht.

Bildschirmfoto 2016-06-29 um 11.20.23

Ist denn das wirklich sicher?

Dass in diesem Fall das Fraunhofer Institut mitmacht und es ist das Institut, das die Schlüssel generiert und verwaltet, macht die Sache glaubwürdig. Wenn die Telekom die Schlüssel erzeugen würde, wären sicher viele skeptisch. Die Telekom verwendet hier das X.509-Zertifikat. Das ist nicht nur weit verbreitet, sondern auch OpenSource, das bedeutet, jeder kann sich davon überzeugen, dass es keine Hintertüren gibt. Das ist schon gut durchdacht.

 

Wie sieht es denn mit anderen Anbietern aus?

Die Telekom-Konkurrenz 1&1 mit Web.de und GMX hat schon vor einigen Monaten die Verschlüsselung von Mails per PGP eingeführt. Die De-Mail von Web.de und Co. funktioniert nach einem ähnlichen Konzept, auch hier muss man sich mit Personalausweis anmelden, dafür kann man rechtssicher kommunizieren, auch mit Banken und Behörden. Das Angebot wird allerdings praktisch nicht benutzt, zum einen, weil kaum Behörden das unterstützen und viele die Anmeldung mit Personalausweis scheuen.

 

Wie ist das Angebot?

Es ist begrüßenswert, dass sich in diesem Bereich was tut. Warum man allerdings nur ein Betriebssystem unterstützt und so wenig Software, ist mir schleierhaft. Das sorgt nicht für den nötigen Effekt, schließlich müssen Sender und Empfänger in der Lage sein, mit verschlüsselten Nachrichten klarzukommen. Je weniger Betriebssysteme und Software unterstützt werden, um so schlechter.