Das Problem ist bekannt, die Lösung eigentlich auch: E-Mails können auf ihrem Weg durchs Netz leicht mitgelesen werden, bei manchen Anbietern gehört das automatische Scannen sogar zum Geschäftsmodell. Um das zu verhindern, sollten die elektronischen Briefe verschlüsselt werden - das wäre die Lösung des Problems. Doch weil das für den normalen Nutzer und auch für manche Firma zu kompliziert ist, sausen die meisten E-Mails trotzdem wie Postkarten durch die Leitungen. Die Münchner Firma Virtual Solution möchte das ändern und bietet ein System namens Secure Pim mit sicherer Ende-zu-Ende-Verschlüsselung an, das sich jeder Smartphone- oder Tablet-Nutzer problemlos selbst einrichten kann.
Das Schwierige am Verschlüsseln von E-Mails ist die Verwaltung der Schlüssel. Es gilt erst einmal, einen privaten Schlüssel zu erzeugen, diesen zu verwahren, den öffentlichen Schlüssel bekannt zu machen. Geht ein Gerät verloren, muss der Schlüssel zurückgezogen, ein neuer ausgestellt werden - alle diese komplizierten Schritte nimmt Secure Pim dem Nutzer ab. Die App erzeugt auf dem Smartphone oder Tablet einen verschlüsselten Container, der getrennt ist von den übrigen Daten auf dem Gerät. Die Nutzer können zwar ihre gewohnten E-Mail-Zugänge bei beliebigen Anbietern weiter verwenden. Sie müssen jedoch über die App von Virtual Solution abgerufen werden, nicht über die normale E-Mail-App etwa von Apple.
Der Empfänger muss die Mail entschlüsseln können
Die Entwickler der Münchner Firma haben sich bemüht, ihr E-Mail-Programm ganz ähnlich der Standard-Software zu designen. Außer der Tatsache, dass man nicht das Standard-E-Mail-Programm verwenden darf, ändert sich also für den Nutzer kaum etwas - außer dass nun keiner mehr mitlesen kann.
Wie immer bei der Ende-zu-Ende-Verschlüsselung ist es so, dass die Gegenstelle ebenfalls in der Lage sein muss, mit Verschlüsselung umzugehen. Bei Secure Pim kommt der Standard S/Mime zum Einsatz. Beherrscht ihn auch der Adressat, kann man via Secure Pim damit sicher kommunizieren.
Aber wie sicher ist sicher? "Der private Schlüssel verlässt das Gerät nie", sagt Raoul Herborg, der Chef von Virtual Solution. Auch der Schweizer Dienstleister, der die Schlüsselverwaltung übernimmt, bekomme ihn nicht zu sehen. Und erzeugt wird er Herborg zufolge mit einem ausgeklügelten Zufallszahlen-Generator, der auch die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik bekommen hat. Wer es noch eine Spur wasserdichter möchte, kann zum Erstellen des privaten Schlüssels auch eine Smartcard verwenden.
Derzeit bietet Virtual Solution für Privatnutzer Apps für Geräte mit Apples iOS und Googles Android an. Die Apps können drei Monate lang kostenlos getestet werden, danach wird pro Jahr eine Gebühr von 24 Euro fällig. Am Computer funktioniert die Lösung derzeit noch nicht, die Münchner Firma arbeitet aber auch daran, dafür eine Lösung anzubieten.