Berlin. Eine neue Software macht komplexe Verschlüsselung von E-Mails für jedermann möglich. Wir erklären, was die „Volksverschlüsselung“ kann.
Seit den Enthüllungen von Edward Snowden wissen die allermeisten Internetnutzer, dass elektronische Kommunikationsformen unsicher sind und potenziell mitgehört oder gelesen werden. Das betrifft auch eines der liebsten Medien: die E-Mail. Doch obwohl es kostenlose und sichere Möglichkeiten zum Verschlüsseln gibt, nutzt sie kaum jemand. Laut einer Umfrage im Auftrag des IT-Branchenverbands Bitkom gaben zum Jahresbeginn gerade einmal 15 Prozent der Nutzer an, E-Mail-Verschlüsselung zu verwenden, 2014 waren es 14 Prozent. Als Grund für den Verschlüsselungsverzicht gaben knapp zwei Drittel der Befragten an, dass sie sich mit der Technik schlicht nicht auskennen.
Das Fraunhofer-Institut für Sichere Informationstechnologie SIT will hier gemeinsam mit der Deutschen Telekom Abhilfe schaffen. Ab Donnerstag starten sie ihre „Volksverschlüsselung“ für Privatpersonen. Antworten auf die wichtigsten Fragen:
Können Mails tatsächlich einfach mitgelesen werden?
Das kommt darauf an: In einem offenen Wlan-Hotspot kann das schnell passieren. Wichtig ist deshalb zunächst, dass man überprüft (oder beim Anbieter nachfragt), ob der Datenaustausch zwischen Mail-Anbieter und Nutzer per „SSL“ beziehungsweise „TLS“ abgesichert ist. Damit wird die Verbindung zwischen Nutzer und Mailanbieter verschlüsselt, sodass Nachrichten, eingegebene Passwörter und so weiter nicht abgefangen werden.
Im Browser erkennt man eine abgesicherte Verbindung übrigens am „https“ statt nur einem „http“ am Anfang der Adresszeile. Wirklich sicher ist die Mail so aber trotzdem nicht. Denn auf dem Server des Mail-Anbieters liegt sie dann wieder unverschlüsselt und kann dort theoretisch von Geheimdiensten, Hackern oder auch dem Anbieter selbst eingesehen werden. Um auch dieses Risiko auszuschließen, muss der Mailtext selbst verschlüsselt werden. Für Laien nicht ganz trivial.
Was genau ist die „Volksverschlüsselung“?
„Volksverschlüsselung“ ist die Initiative von Fraunhofer SIT und Telekom, um Verschlüsselung einfacher und bequemer zu machen. Sie nutzt das sogenannte S/MIME-Verfahren. Es ist PGP zwar ähnlich, aber nicht dazu kompatibel – dazu gleich mehr. Ist die Volksverschlüsselung im Mailprogramm eingerichtet, genügen wenige Klicks, um eine E-Mail verschlüsselt zu versenden beziehungsweise zu empfangen.
Sind die so verschlüsselten Mails wirklich sicher?
Das verwendete S/MIME gehört zusammen mit PGP zu den meist verbreiteten und sichersten Verschlüsselungsverfahren. Beide sind sich recht ähnlich, wobei PGP bislang eher von Privatanwendern, S/MIME eher von Unternehmen genutzt wird.
Die Verfahren gelten – bei ausreichend komplexem Schlüssel – derzeit als nicht knackbar. Sie funktionieren nach dem Publik-Key-Verfahren. Das Besondere daran ist, dass es hier zwei Schlüssel gibt, einen öffentlichen und einen geheimen. Dank komplexer mathematischer Magie (namentlich dem RSA-Kryptoverfahren) lässt sich eine Nachricht mit dem öffentlichen Schlüssel zwar verschlüsseln, aber nicht entschlüsseln. Das wiederum klappt nur mit dem geheimen Schlüssel. Die öffentlichen Schlüssel sind bei der Volksverschlüsselung gemeinsam mit dem Namen und der E-Mail-Adresse des Nutzers auf einem Server hinterlegt – der private Schlüssel ist nur auf dem Rechner des jeweiligen Nutzers gespeichert. Will Person X nun eine verschlüsselte Mail an Person Y schreiben, sucht die Volksverschlüsselungssoftware auf dem Server nach dem öffentlichen Schlüssel von Y und codiert die Nachricht damit. Anschließend kann nur Y diese mit seinem privaten Schlüssel decodieren. Somit ist das Verfahren äußerst sicher, denn der Schlüssel zum Decodieren muss nicht übertragen und kann dementsprechend auch nicht abgefangen werden.
Kann ich damit dann ab sofort jede E-Mail verschlüsseln?
Ja und nein. Denn damit der Adressat die verschlüsselte Mail tatsächlich auch empfangen kann, muss dieser ebenfalls bei der Volksverschlüsselung registriert sein. Andernfalls gibt es eine Fehlermeldung.
Wie kann ich die Volksverschlüsselung nutzen?
Unter „volksverschluesselung.de“ steht ab Donnerstag ein Programm zum Download bereit. Dieses führt den Nutzer bei der Installation durch alle notwendigen Schritte. Zu Beginn ist eine Registrierung zwingend notwendig.
Wie registriert man sich?
Die Registrierung funktioniert über die Volksverschlüsselungssoftware. Beim ersten Einrichten muss man Namen und E-Mail-Adresse angeben und deren Echtheit bestätigen. Das geht entweder per Onlineausweisfunktion des neuen Personalausweises (samt entsprechendem Lesegerät) oder – falls man Festnetzkunde der Deutschen Telekom ist – mit den zugehörigen Zugangsdaten. Wer weder über das eine noch über das andere verfügt, kann sich auf Messen und Veranstaltungen des Fraunhofer SIT auch persönlich registrieren lassen. Künftig sollen aber noch weitere – unter anderem auch international nutzbare – Verfahren eingebunden werden.
Warum ist dabei eine Authentifizierung nötig?
Jeder Nutzer erhält ein digitales Identitätszertifikat. So stellt die Volksverschlüsselungssoftware sicher, dass Sender und Empfänger auch wirklich diejenigen sind, die sie vorgeben zu sein.
Für welche Systeme ist die Volksverschlüsselung verfügbar?
Derzeit ist die Software nur für Windows-PC verfügbar. Sie lässt sich mit MS Outlook und Mozilla Thunderbird nutzen. Für die Zukunft seien aber auch Versionen für MacOS und Linux sowie für Android und iOS geplant.