Dass sich das, was in einer E-Mail steht, so leicht lesen lässt wie eine Postkarte, dürfte sich inzwischen herumgesprochen haben. Doch solche digitalen Nachrichten vor den Blicken übergriffiger Geheimdienste und krimineller Banden zu schützen, das war bislang vor allem eines: umständlich.
Zumindest für die 30 Millionen Menschen, die eine E-Mail-Adresse mit der Endung web.de und gmx.de haben, wird dies nun deutlich einfacher: Der deutsche E-Mail-Anbieter 1 und 1 erweitert das digitale Postfach um eine Sicherheitsstufe, mit der sich E-Mails so verschlüsseln lassen, dass nur Sender und Empfänger die Nachricht lesen können.
Die Methode, auf die der Anbieter setzt, heißt Pretty Good Privacy (zu deutsch: ziemlich gute Privatsphäre) und gilt als eine der sichersten, die es bislang gibt. Die Mails werden beim Absender mit einem öffentlichen Schlüssel codiert und erst beim Empfänger mit einem privaten Schlüssel decodiert. Wer die Nachricht unterwegs abfischt, sei es beim E-Mail-Anbieter, oder indem er die Leitung anzapft, sieht nur unleserlichen Buchstabensalat.
Verschlüsselungsprogramm gibt es nur für Chrome und Firefox
Die Methode ist seit 20 Jahren bekannt, verwendet wird sie trotzdem nur von einem Bruchteil aller, die im Internet unterwegs sind. Denn die Sache ist umständlich. 40 Schritte, das haben sie bei 1 und 1 nachgezählt, braucht es mit den bisher verfügbaren Programmen.
Das Unternehmen hat das Prozedere nun auf wenige Schritte reduziert: Man muss zunächst ein zusätzliches Modul in seinem Browser installieren. Das generiert den Schlüssel für das Schloss, hinter dem man seine E-Mail gewissermaßen versperrt. Um ihn zu nutzen, wählt man ein Passwort, nachdem man später beim Senden und Empfangen der E-Mail immer wieder gefragt wird. Man erhält auch einen Beleg, den man sich ausdrucken oder auf mehreren Geräten abspeichern kann. So kann man auch dann an den Schlüssel kommen, wenn man das Passwort vergisst. Schließlich kann man eine Einladung an seine Freunde, mit denen man E-Mails austauscht, verschicken. Nur wenn sie sich ihrerseits einen Schlüssel besorgen, mit dem sie das Schloss beim Empfangen der E-Mail wieder aufsperren können, läuft der sichere Austausch.
Wer den sicheren E-Mail-Dienst nutzen will, muss dazu allerdings die Internetbrowser Chrome oder Firefox nutzen. In dem auf Windows-Rechnern vorinstallierten Internet Explorer und im Safari auf Apple-Rechnern gibt es das Modul, auf das 1 und 1 setzt, nicht. Und wer den E-Mail-Austausch auf dem Smartphone erledigt, ist auf die App von gmx und web.de angewiesen. Die E-Mail-Programme, die auf iPhones oder Android-Smartphones in der Regel installiert sind, unterstützen diese Art der Verschlüsselung bislang nicht.
Fraunhofer-Institut entwickelt eine PGP-Software
Wer sich nicht so eng an 1 und 1 binden will, muss sich noch etwas in Geduld üben: Sowohl bei der Telekom als auch beim E-Mail-Anbieter Freenet heißt es, dass man ebenfalls über eine Einführung von PGP nachdenke. Mit beiden Unternehmen hat sich 1 und 1 bereits zusammengetan hat, um die Wege, auf denen eine E-Mail verschickt wird, besser abzuschirmen.
Einen Schritt weiter ist immerhin das Fraunhofer-Institut: Ende September will es eine ebenfalls auf PGP basierende Technologie kostenlos zum Testen anbieten. Diese Software, die es zunächst nur für Windows geben soll, erzeugt die Schlüssel und tastet die auf dem Rechner installierten Browser und E-Mail-Programme ab. Wenn sie darunter ein Programm findet, das die Verschlüsselung unterstützt, stellt sie diese so ein, dass sie die E-Mails fortan verschlüsselt senden - und zwar unabhängig davon, welchen E-Mail-Anbieter man nutzt.
Auch Google lässt gerade von Experten eine in Chrome eingewebte PGP-Software testen. Dabei übernimmt dann - ebenfalls unabhängig vom E-Mail-Anbieter - der Browser die Aufgabe, aus dem Buchstabensalat eine lesbare E-Mail zu machen. Bislang ist unklar, wann diese Technologie reif für größere Verbreitung ist.
E-Mail-Verschlüsselung Lavabit nach Geheimdienst-Druck eingestellt
Weltweit nutzen 900 Millionen Menschen Googles E-Mail-Dienst Gmail. Damit hat der amerikanische Internetkonzern also am ehesten das Zeug dazu, die Verschlüsselungsmethode PGP aus der Nische zu holen.
Noch vor zwei Jahren war das undenkbar: Damals nutzte ein gewisser Edward Snowden den E-Mail-Dienst Lavabit, über den sich ebenfalls per PGP verschlüsselte Nachrichten austauschen ließen. 2013, nach den ersten Enthüllungen des Whitsleblowers musste Lavabit-Gründer Ladar Levison Snowdens Nachrichten herausgeben. Als die US-Behörden von Levison jedoch auch noch verlangten, die E-Mails aller anderen Kunden sowie seine Sicherheitstechnik preiszugeben, zog der Entwickler die Reißlinie: Er stellte den Dienst aus Protest ein.