Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Herbert Braun 1441

Kommentar: Weg mit PGP, her mit alltagstauglicher Mail-Verschlüsselung

GnuPG

Bild: pixabay.com

E-Mail, das wichtigste private Kommunikationswerkzeug im Internet, ist kaputt – und keiner regt sich darüber auf. Und auch PGP ist da keine Hilfe, findet Herbert Braun.

"Ah, danke für deine Mail. Aber kannst du sie mir nochmal unverschlüsselt senden?" Wer PGP benutzt, kennt diese Reaktion. Das Gegenüber hat Enigmail noch nicht eingerichtet. Oder den Schlüssel irgendwann mal angelegt und nie benutzt. Oder ruft die Mails von einem Webmailer oder Smartphone ab (ja, ich weiß, das kann man lösen) .

Anzeige

Diese Antwort habe ich in den letzten paar Wochen von vier verschiedenen Kontakten bekommen. Ich selbst habe auch schon solche Mails geschrieben: als jemand einen uralten Key auf einem Schlüsselserver fand und als ich mir meinen letzten Rechner gekauft habe und nach drei, vier Monaten tatsächlich eine verschlüsselte Nachricht im Posteingang fand.

Ich kann solche Probleme lösen, ebenso wie meine Kontakte (zwei von ihnen Programmierer, einer c't-Redakteur), und Sie wahrscheinlich auch. Aber damit gehören wir zu einer Minderheit. Und dass wir es können, heißt noch lange nicht, dass wir auch genügend Sinn darin sehen, uns dem zu unterziehen.

Ein Kommentar von Herbert Braun

Herbert Braun ist Webentwickler und hat 2004 bei der c't angeheuert, wo er sich als Redakteur um Webtechniken, Browser und Online-Trends gekümmert hat. 2013 verließ er schweren Herzens (aber auf eigenen Wunsch) die Redaktion, um sich von Berlin aus als freier Autor und Webentwickler durchzuschlagen.

Derzeit bekomme ich schätzungsweise zwei verschlüsselte Mails pro Monat, überwiegend von c't-Redakteuren – und ich bewege mich in einem technik- und datenschutzaffinen Umfeld. PGP hatte über 20 Jahre Zeit, die Öffentlichkeit zu überzeugen, und ist damit gescheitert. Aus technischer Sicht mag es großartig sein, und wenn Sie Edward Snowden sind oder ein CEO, der eine feindliche Übernahme vorbereitet, werden Sie dankbar sein, dass PGP existiert.

Nur: Verschlüsselung ist kein optionales Feature für Geheimnisträger und Datenschutz-Idealisten. Wenn ich meiner Frau "Bin gleich da, brauchen wir Milch?" per WhatsApp aus der U-Bahn schreibe, ist das Ende-zu-Ende-verschlüsselt, ohne dass es mir irgendeine Anstrengung abverlangt. Diese Webseite, in der Sie diesen Text lesen, ist verschlüsselt – ebenso wie sämtliche Inhalte von zirka 20 anderen Domains, die bei ihrem Aufruf angefordert werden.

Wenn ich dagegen meinem Steuerberater schreibe, weiß ich nicht, wer mitlesen kann: STARTTLS verschlüsselt auf dem Weg zu meinem Mail-Provider, aber alles weitere liegt nicht in meiner Hand, und die SMTP-Server kriegen die Nachricht sowieso im Klartext. Niemand würde in einem unverschlüsselten Web-Shop einkaufen, aber die Mail mit der Rechnung lässt sich abfangen und manipulieren. Das Recycling-Unternehmen, das meine Papiertonne abholt, hätte das Formular für den Lastschrifteinzug gern per Fax. Und meine Arztpraxis darf mir meine eigenen Röntgenbilder nicht mailen, weil Mails so unsicher sind. Ich würde dieser Einschätzung gerne widersprechen können.

Ebenso wichtig wie Verschlüsselung wäre ein anderer Vorteil, den PGP verspricht: Authentifizierung. Eine Mail unter einer gefälschten Absenderadresse zu versenden, ist trivial. Hätten wir signierte Mails als allgemein üblichen Standard, wäre unser Spam-Problem wesentlich kleiner und die Chance größer, dass eine legitime Mail auch tatsächlich ankommt.

Anzeige

Dass es de facto keine sichere, robuste E-Mail für 99 Komma irgendwas Prozent der Internet-Nutzer gibt, ist ein anhaltender Skandal. Statt verschlüsselte und signierte Nachrichten für alle zu ermöglichen, flicken wir seit Jahrzehnten mit Spam-Filtern und anderen Notnägeln an der Fassade herum. Seit ich vor zehn Jahren über Spam schrieb, ist das Problem allenfalls größer geworden.

Für viele große Websites war es ein hartes und teures Stück Arbeit, alles auf HTTPS umzustellen – dennoch tun es immer mehr. Warum kriegen wir dieses Problem bei E-Mails nicht in den Griff? Warum probiert man es nicht einmal? Der Bedarf wäre doch noch größer. Aber E-Mail hat keine Lobby, denn die Internetriesen lancieren lieber eigene Kommunikationskanäle. Vielleicht hat auch all das "E-Mail ist tot"-Geschwafel Spuren hinterlassen – nur ist meine Inbox da anderer Meinung.

Es wäre eine Katastrophe, wenn alles über proprietäre Messenger-Inseln liefe. Das Internet unterliegt derzeit einer so starken Zentralisierung, dass wir die alten dezentralen Strukturen hegen und pflegen sollten. Stattdessen entstehen parallele Mail-Systeme – allein in Deutschland EGVP, beA und E-Postbrief. Ein Sonderfall ist De-Mail, der vielleicht ambitionierteste Versuch, E-Mail vor sich selbst zu retten. Die Kritik daran ist bedenkenswert, die Häme nicht.

Die perfekte Welt, in der alle mit PGP Ende-zu-Ende-verschlüsseln, wird es nicht geben. PGP macht Arbeit und nervt. Dagegen hat das System HTTPS Schwächen, und der Verschlüsselung in WhatsApp würde ich nicht vertrauen, wenn der Einsatz hoch wäre. Aber sie sorgen ganz von selbst für eine halbwegs sichere und zuverlässige Kommunikation. Hätten wir dieses Level an Verschlüsselung und Authentifizierung bei E-Mails, wäre schon viel gewonnen.

In meiner Timeline lese ich viel Empörung über dünne DSL-Leitungen, schlechte Mobilfunkversorgung und WLAN-Hänger. Ich wünsche mir, dass ein Bruchteil dieses Ärgers dafür übrig bleibt, dass ein Eckpfeiler der digitalen Kommunikation, den jeder im Internet benutzt, seit Jahrzehnten kaputt ist – damit wir ihn hoffentlich irgendwann reparieren können. Sicher ist nur: Diese Lösung wird nicht PGP sein.

Siehe dazu auch:

(Herbert Braun) / (axk)

1441 Kommentare

Themen:

Anzeige
  1. Umfrage: Nur 16 Prozent der Deutschen verschlüsseln ihre E-Mails

    E-Mail, Verschlüsselung, PGP

    Obwohl die Mehrheit der Deutschen eine E-Mail-Verschlüsselung für wichtig hält, nutzen nur 16 Prozent das Verfahren, um ihre elektronische Post zu schützen. Laut einer Umfrage ist vielen die Einrichtung zu kompliziert.

  2. WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

    WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

    Seit einem Jahr werden Nachrichten auf WhatsApp Ende-zu-Ende verschlüsselt, wodurch nicht einmal der Betreiber sie lesen kann. Durch eine Besonderheit bei der Implementierung kann das aber wohl umgangen werden, was Sicherheitsbehörden ausnutzen könnten.

  3. WhatsApp verschlüsselt inzwischen Backups in der iCloud

    WhatsApp

    Die iPhone-App legte das Backup der Ende-zu-Ende-verschlüsselten Nachrichten bislang im Klartext auf Apples Servern ab und ermöglichte so Angreifern bei Kenntnis der iCloud-Zugangsdaten weitreichende Einblicke in die Kommunikation.

  4. So bekämpft Whatsapp verschlüsselten Spam

    Verkaufsstand "Natural Viagra"

    Der Inhalt verschlüsselter Nachrichten ist für Spamfilter nutzlos. Whatsapp konnte dennoch den Spam halbieren. Die Analyse von Metadaten beschert genügend Information.

  1. E-Mails verschlüsseln - lohnt sich das?

    E-Mail-Verschlüsselung ist seit Jahren ein Thema. Und seit Jahren setzt sie sich nicht durch. Das hat verschiedene Gründe. Wir zeigen trotzdem, wie es geht.

  2. Test: Hinter den Kulissen der WhatsApp-Verschlüsselung

    Test: Hinter den Kulissen der WhatsApp-Verschlüsselung

    WhatsApp verschlüsselt schon länger Ende-zu-Ende mit dem bei Krypto-Experten angesehenen Signal-Protokoll – jedenfalls manchmal. Verlassen konnte man sich darauf nicht. Wir versuchen die Frage zu beantworten, ob sich das geändert hat.

  3. Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?

    Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?

    In der Anzeige von WhatsApp tauchen plötzlich Namen auf, die aus dem privaten Adressbuch stammen. Spioniert die neue Version etwa im Auftrag des Konzerns in den Kontakten der Anwender? heise Security ging dem Verdacht eines Lesers nach und stieß auf spannende WhatsApp-Interna.

  1. Ein zweites Video zeigt die ganze Hinrichtung Saddams

    "See how Saddam Hussein was executed. He is peeing in his pants."

  2. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  3. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

  4. Plagiats-Jägerin: Kaum Fortschritte im Kampf gegen Ideen-Klau bei Doktorarbeiten

    Schavan

    Weil die frühere Bildungsministerin Annette Schavan in ihrer Doktorarbeit plagiiert hat, trat sie vor fünf Jahren zurück. Was hat sich seitdem an den Unis getan?

Anzeige