Das Internet ist ein denkbar indiskreter Ort. Was nicht verschlüsselt wird, das kann grundsätzlich mitgelesen werden, theoretisch von jedem, der sich Zugang dazu verschafft. Das ist auch der Grund, wieso Webseiten heute in der Regel Daten verschlüsselt übertragen, und auch Messenger wie WhatsApp verschlüsseln heute die Kommunikation, ohne dass wir das groß merken.
Aber ausgerechnet die E-Mail, die wir täglich nutzen und der wir vieles anvertrauen, läuft heute in der Regel unverschlüsselt ab. Was bedeutet – siehe oben – jeder kann mitlesen. Das soll anders werden, denn jetzt wurde ein Projekt namens Volksverschlüsselung gestartet.
Volksverschlüsselung: Das klingt nach einem deutschen Projekt. Wer steckt dahinter?
Das ist richtig: Die Volksverschlüsselung ist eine Idee und ein Projekt von Telekom und Fraunhofer Institut für sichere Informationstechnologie. Die beiden zusammen wollen das Verschlüsseln von E-Mails deutlich einfacher machen als bisher – und den Austausch von E-Mails für uns alle sicherer.
Das wurde schon im November vergangenen Jahres angekündigt und auch auf der CeBIT im März diesen Jahres noch mal angekündigt, jetzt ist es aber so weit, der Startschuss ist gefallen. Das ist wichtig, denn das Verschlüsseln von E-Mails ist zwar möglich, aber immer noch vergleichsweise schwierig, weil man sich Extra-Software besorgen muss und damit kommt nicht jeder klar.
Wer kann denn da mitmachen – und wie geht es?
Erst mal Kunden der Telekom. Die Möglichkeit zur Volksverschlüsselung soll da demnächst im Portal angeboten werden. Man muss sich mit Personalausweis registrieren, denn es geht ja gerade darum, dass jeder User auch wirklich überprüft ist.
Wenn jemand von mir eine Mail bekommt, die zertifiziert ist, muss auch sicher sein, dass nicht nur Jörg Schieb drauf steht, sondern auch Jörg Schieb dahinter steht. Später soll man sich auch in den T-Punkten der Telekom vorstellen können: Personalausweis herzeigen und Volksverschlüsselungskonto eröffnen.
Brauche ich spezielle Software dafür?
Allerdings, es ist Spezial-Software nötig. Im Augenblick gibt es die nur für Windows-Rechner und da auch nur für die Mail-Programme Outlook und Thunderbird. Wer ein anderes Mail-Programm benutzt, kann den Austausch von verschlüsselten Nachrichten nicht über sein Mail-Programm erledigen. Gängige Browser wie Edge, Chrome und Firefox werden unterstützt, damit man auch Web-Mail benutzen kann.
Die Unterstützung für macOS und iOS ist für später angekündigt, andere Betriebssysteme werden noch was länger dauern. Das ist schon ein Ding, dass nicht macOS, iOS und Android von Anfang an unterstützt werden, denn das schränkt die angebliche „Volks“verschlüsselung doch gleich erheblich ein. In Wahrheit ist es eine Windows-Verschlüsselung, zumindest noch. Angesichts der langen Vorbereitungszeiten ist mir das unerklärlich.
Also gut: Wenn ich also Windows-User bin und die passende Software haben, wie einfach ist es dann mit dem Verschlüsseln?
Wenn man die Volksverschlüsselungs-Software geladen hat, müssen beim ersten Start die nötigen Schlüssel erzeugt und hinterlegt werden. Man braucht immer Schlüsselpaare, bestehend aus öffentlichem Schlüssel – den darf jeder sehen, zum Ver- und Entschlüsseln der Nachrichten, die mit mir ausgetauscht werden – und privaten Schlüssel.
Den darf ich auf keienn Fall herausgeben, der gehört nur mir. Das erledigt die Software automatisch. Die Mail-Software wird entsprechend konfiguriert, damit die Mails verschlüsselt werden. Damit wird dann eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht.
Ist denn das wirklich sicher?
Dass in diesem Fall das Fraunhofer Institut mitmacht und es ist das Institut, das die Schlüssel generiert und verwaltet, macht die Sache glaubwürdig. Wenn die Telekom die Schlüssel erzeugen würde, wären sicher viele skeptisch. Die Telekom verwendet hier das X.509-Zertifikat. Das ist nicht nur weit verbreitet, sondern auch OpenSource, das bedeutet, jeder kann sich davon überzeugen, dass es keine Hintertüren gibt. Das ist schon gut durchdacht.
Wie sieht es denn mit anderen Anbietern aus?
Die Telekom-Konkurrenz 1&1 mit Web.de und GMX hat schon vor einigen Monaten die Verschlüsselung von Mails per PGP eingeführt. Die De-Mail von Web.de und Co. funktioniert nach einem ähnlichen Konzept, auch hier muss man sich mit Personalausweis anmelden, dafür kann man rechtssicher kommunizieren, auch mit Banken und Behörden. Das Angebot wird allerdings praktisch nicht benutzt, zum einen, weil kaum Behörden das unterstützen und viele die Anmeldung mit Personalausweis scheuen.
Wie ist das Angebot?
Es ist begrüßenswert, dass sich in diesem Bereich was tut. Warum man allerdings nur ein Betriebssystem unterstützt und so wenig Software, ist mir schleierhaft. Das sorgt nicht für den nötigen Effekt, schließlich müssen Sender und Empfänger in der Lage sein, mit verschlüsselten Nachrichten klarzukommen. Je weniger Betriebssysteme und Software unterstützt werden, um so schlechter.
Bloß weil die Bundesregierung die De-Mail als sicher erklärt, ist sie es nicht. Vertrauen genießt die von einigen deutschen Providern wie Telekom und United Internet angebotene De-Mail bislang nicht. Dabei soll die De-Mail alles einfacher machen: Sich ausweisen, die eigene Identität bestätigen, mit Behörden und Versicherungen kommunizieren und Verträge abschließen. Macht aber kaum jemand. Weil es an einer Ende-zu-Ende-Verschlüsselung mangelt. Die soll ab April aber nun kommen: Dann kann jeder seine Mails mit PGP verschlüsseln.
E-Mail ist eine praktische Sache: Schnell geschrieben, noch schneller abgeschickt und in der Regel blitzschnell beim Empfänger. Und das auch noch kostenlos. Aber eins ist die E-Mail bislang eher nicht: Sicher. Oder vertrauenswürdig. Jeder kann eine E-Mail mit meiner Absenderkennung versenden.
Ein ernsthaftes Problem, weil man sich überhaupt nicht darauf verlassen kann, dass der angebliche Absender auch der tatsächliche Absender ist. Was im Privatbereich einfach nur blöd ist, das ist im Geschäftsleben ein Unding. Hier gibt es Bereiche, da ist man zwingend darauf angewiesen, sich darauf verlassen zu können, dass die Email Adresse des Absenders auch stimmt. Bei Vertragsfragen zum Beispiel, oder wenn es um vertrauliche Dinge geht. Auch im Bereich der öffentlichen Verwaltung wäre es sinnvoll, wenn sich die Echtheit eines Absenders ermitteln ließe.
Aus diesem Grund wurde die De-Mail erfunden. Die De-Mail soll eine E-Mail zur „sicheren, vertraulichen und nachweisbaren Kommunikation im Internet“ sein, wie es offiziell heißt. Großer Vorteil: E-Mails und Dokumente lassen sich hier verschlüsselt verschicken. Abhörsicher. Doch der viel größere Pluspunk: Absender und Empfänger müssen sich bei der Einrichtung ihres De-Mail-Postfachs identifizieren (etwa mit Personalausweis) und bei jeder(!) verschickten E-Mail ausweisen. Dadurch soll die De-Mail im Gegensatz zur regulären E-Mail weitgehend fälschungssicher sein. Man kann der Absenderangabe vertrauen.
Kunden von Telekom und 1&1 können vertrauliche Dokumente an Behörden und Firmen verschicken können, auch der Empfang ist möglich. Das Versenden einer solchen sicheren E-Mail ist allerdings mit Kosten verbunden: In der Regel kostet die De-Mail 39 Cent. Für viele Firmen ist das trotzdem sehr interessant, schließlich kostet ein Brief mindestens 55 Cent, wer auch noch Papier, Druck, Umschlag etc. dazu rechnet, ist schnell bei 70 Cent. Das Einsparpotenzial ist daher erheblich.
Die De-Mail ist ein großes Geschäft – und dürfte für die Post zu einem erheblichen Problem werden. Knapp zehn Milliarden Euro geben die Deutschen pro Jahr für Porto aus. Schätzungen zufolge lassen sich rund 80 Prozent davon elektronisch abwickeln, wenn Versand und Empfang nur sicher sind. Darum brachte die Deutsche Post bereits vor zwei Jahren den E-Postbrief auf den Markt. Der E-Postbrief ist mit 55 Cent allerdings deutlich teurer als die De-Mail und setzt nach wie vor auf Papier.
Es geht also los mit der De-Mail. Das ist auch dringend nötig. Denn zwar reden alle vom papierlosen Büro, doch wenn es ernst wird, wenn wir etwas erledigen wollen, was relevant ist, kommt man am Papier bislang nicht vorbei. Das könnte die De-Mail ändern, die es auch als Freemail gibt. Sie funktioniert zwar bislang nur innerhalb Deutschlands, ist aber ein interessanter Anfang. Noch ist die De-Mail weitgehend unbekannt. Ob sich das ändert, wird vor allem davon abhängen, wie viele Unternehmen und Behörden mitmachen. Je mehr man online elektronisch erledigen kann, um so interessanter wird der neue Service.
Die De-Mail soll E-Mail zur “sicheren, vertraulichen und nachweisbaren Kommunikation im Internet” machen. Vorteil: E-Mails und Dokumente lassen sich hier verschlüsselt verschicken. Abhörsicher. Absender und Empfänger müssen sich bei der Einrichtung ihres De-Mail-Postfachs identifizieren (etwa mit Personalausweis) und bei jeder(!) verschickten E-Mail ausweisen. Dadurch soll die De-Mail im Gegensatz zur regulären E-Mail weitgehend fälschungssicher sein. Man kann der Absenderangabe vertrauen.
De-Mail-Anbieter wie Telekom und 1&1 starten jetzt mit De-Mail. Rund 40 Partner machen von Anfang an mit, darunter Versicherungen und Banken, die naturgemäß ein großes Interesse an rechtsverbindlichen E-Mails haben. Kunden von Telekom und 1&1 sollen ab nächster Woche vertrauliche Dokumente an Behörden und Firmen verschicken können, auch der Empfang ist möglich. Wer gleich von Anfang an bei der De-Mail mitmachen will: Ab sofort kann sich jeder bei der Telekom für die De-Mail registrieren. Bis Ende des Jahres sind monatlich 50 De-Mails kostenlos enthalten, danach nur noch drei De-Mails pro Monat, jede weitere wird dann mit 0,39 Euro berechnet. Bei 1&1 sieht es ganz ähnlich aus. Hier können sich auch Geschäftstreibende registrieren, wenn sie im großen Stil De-Mails empfangen und verschicken wollen.
Wer sich mit seinem Smartphone oder Tablet im App-Store mit Apps versorgt, muss immer wieder ellenlange Nutzungsbedingungen akzeptieren, die so genannten AGB. Niemand liest sich die seitenlangen und zu allem Überfluss auch noch schwer verständlichen Texte durch, schon gar nicht auf dem winzigen Display eines Smartphone. Ein Fehler, denn die AGB enthalten mitunter folgenreiche Klauseln. Zu viele sind zum Nachteil der Verbraucher, finden Verbraucherschützer. Die haben sich nämlich mal die AGB von Google, Apple, Microsoft, Samsung und Nokia angeschaut – und mehr oder weniger die Hände über den Kopf zusammengeschlagen. Weil Klauseln die Konsumenten benachteiligen, zum Beispiel beim Datenschutz.
Alle Anbieter wurde abgemahnt. Microsoft und Nokia haben ihre AGB gleich angepasst. Löblich. Samsung hat einen Teil korrigiert. Apple und Google hingegen haben auf stur geschaltet – und kein Entgegenkommen gezeigt. Deshalb haben die Verbraucherschützer Google und Apple nun verklagt. Immer wieder bedenklich, wie wenig sich amerikanische Onlinedienste um Verbraucherschutz scheren.
“Angry Birds” kennt fast jeder – und jetzt macht “Angry Kremlins” von sich Reden. Es wird genauso gespielt wie das berühmte Vorbild und sieht auf den ersten Blick auch fast genauso aus. Allerdings gibt es im Detail durchaus Unterschiede: Bei Angry Kremlinks katapultiert der Spieler keine verärgerten Vögel, sondern die Köpfe von Patriarch Kirill und Präsident Wladimir Putin durch die Gegend… Er soll die maskierten Gesichter der drei Bandmitglieder der Punkband “Pussy Riots” erwischen. Pro Treffer gibt es 666 Punkte – die symbolische Zahl des Teufels. Wenn alle Bandmitglieder aus dem Spiel erwischt wurden, erscheint der Schriftzug “You defeated those riots” (Du hast diese Riot-Mädels besiegt.)
Das Ganze ist ein symbolischer Aufschrei, ein Spiel als Protest gegen die verhängte Lagerhaft der drei Frauen der russischen Punkband “Pussy Riot”, die weltweit für Empörung gesorgt hat. Entwickelt wurde das Browser-Game von einigen Software-Tüftlern in Estland. Das eigentliche Spiel ist etwas träge. Aber es geht ja schließlich um andere Dinge: Es geht darum, mehr Aufmerksamkeit auf den unfairen Prozess zu lenken. Das könnte gelingen.
