Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Herbert Braun 1441

Kommentar: Weg mit PGP, her mit alltagstauglicher Mail-Verschlüsselung

GnuPG

Bild: pixabay.com

E-Mail, das wichtigste private Kommunikationswerkzeug im Internet, ist kaputt – und keiner regt sich darüber auf. Und auch PGP ist da keine Hilfe, findet Herbert Braun.

"Ah, danke für deine Mail. Aber kannst du sie mir nochmal unverschlüsselt senden?" Wer PGP benutzt, kennt diese Reaktion. Das Gegenüber hat Enigmail noch nicht eingerichtet. Oder den Schlüssel irgendwann mal angelegt und nie benutzt. Oder ruft die Mails von einem Webmailer oder Smartphone ab (ja, ich weiß, das kann man lösen) .

Anzeige

Diese Antwort habe ich in den letzten paar Wochen von vier verschiedenen Kontakten bekommen. Ich selbst habe auch schon solche Mails geschrieben: als jemand einen uralten Key auf einem Schlüsselserver fand und als ich mir meinen letzten Rechner gekauft habe und nach drei, vier Monaten tatsächlich eine verschlüsselte Nachricht im Posteingang fand.

Ich kann solche Probleme lösen, ebenso wie meine Kontakte (zwei von ihnen Programmierer, einer c't-Redakteur), und Sie wahrscheinlich auch. Aber damit gehören wir zu einer Minderheit. Und dass wir es können, heißt noch lange nicht, dass wir auch genügend Sinn darin sehen, uns dem zu unterziehen.

Ein Kommentar von Herbert Braun

Herbert Braun ist Webentwickler und hat 2004 bei der c't angeheuert, wo er sich als Redakteur um Webtechniken, Browser und Online-Trends gekümmert hat. 2013 verließ er schweren Herzens (aber auf eigenen Wunsch) die Redaktion, um sich von Berlin aus als freier Autor und Webentwickler durchzuschlagen.

Derzeit bekomme ich schätzungsweise zwei verschlüsselte Mails pro Monat, überwiegend von c't-Redakteuren – und ich bewege mich in einem technik- und datenschutzaffinen Umfeld. PGP hatte über 20 Jahre Zeit, die Öffentlichkeit zu überzeugen, und ist damit gescheitert. Aus technischer Sicht mag es großartig sein, und wenn Sie Edward Snowden sind oder ein CEO, der eine feindliche Übernahme vorbereitet, werden Sie dankbar sein, dass PGP existiert.

Nur: Verschlüsselung ist kein optionales Feature für Geheimnisträger und Datenschutz-Idealisten. Wenn ich meiner Frau "Bin gleich da, brauchen wir Milch?" per WhatsApp aus der U-Bahn schreibe, ist das Ende-zu-Ende-verschlüsselt, ohne dass es mir irgendeine Anstrengung abverlangt. Diese Webseite, in der Sie diesen Text lesen, ist verschlüsselt – ebenso wie sämtliche Inhalte von zirka 20 anderen Domains, die bei ihrem Aufruf angefordert werden.

Wenn ich dagegen meinem Steuerberater schreibe, weiß ich nicht, wer mitlesen kann: STARTTLS verschlüsselt auf dem Weg zu meinem Mail-Provider, aber alles weitere liegt nicht in meiner Hand, und die SMTP-Server kriegen die Nachricht sowieso im Klartext. Niemand würde in einem unverschlüsselten Web-Shop einkaufen, aber die Mail mit der Rechnung lässt sich abfangen und manipulieren. Das Recycling-Unternehmen, das meine Papiertonne abholt, hätte das Formular für den Lastschrifteinzug gern per Fax. Und meine Arztpraxis darf mir meine eigenen Röntgenbilder nicht mailen, weil Mails so unsicher sind. Ich würde dieser Einschätzung gerne widersprechen können.

Ebenso wichtig wie Verschlüsselung wäre ein anderer Vorteil, den PGP verspricht: Authentifizierung. Eine Mail unter einer gefälschten Absenderadresse zu versenden, ist trivial. Hätten wir signierte Mails als allgemein üblichen Standard, wäre unser Spam-Problem wesentlich kleiner und die Chance größer, dass eine legitime Mail auch tatsächlich ankommt.

Anzeige

Dass es de facto keine sichere, robuste E-Mail für 99 Komma irgendwas Prozent der Internet-Nutzer gibt, ist ein anhaltender Skandal. Statt verschlüsselte und signierte Nachrichten für alle zu ermöglichen, flicken wir seit Jahrzehnten mit Spam-Filtern und anderen Notnägeln an der Fassade herum. Seit ich vor zehn Jahren über Spam schrieb, ist das Problem allenfalls größer geworden.

Für viele große Websites war es ein hartes und teures Stück Arbeit, alles auf HTTPS umzustellen – dennoch tun es immer mehr. Warum kriegen wir dieses Problem bei E-Mails nicht in den Griff? Warum probiert man es nicht einmal? Der Bedarf wäre doch noch größer. Aber E-Mail hat keine Lobby, denn die Internetriesen lancieren lieber eigene Kommunikationskanäle. Vielleicht hat auch all das "E-Mail ist tot"-Geschwafel Spuren hinterlassen – nur ist meine Inbox da anderer Meinung.

Es wäre eine Katastrophe, wenn alles über proprietäre Messenger-Inseln liefe. Das Internet unterliegt derzeit einer so starken Zentralisierung, dass wir die alten dezentralen Strukturen hegen und pflegen sollten. Stattdessen entstehen parallele Mail-Systeme – allein in Deutschland EGVP, beA und E-Postbrief. Ein Sonderfall ist De-Mail, der vielleicht ambitionierteste Versuch, E-Mail vor sich selbst zu retten. Die Kritik daran ist bedenkenswert, die Häme nicht.

Die perfekte Welt, in der alle mit PGP Ende-zu-Ende-verschlüsseln, wird es nicht geben. PGP macht Arbeit und nervt. Dagegen hat das System HTTPS Schwächen, und der Verschlüsselung in WhatsApp würde ich nicht vertrauen, wenn der Einsatz hoch wäre. Aber sie sorgen ganz von selbst für eine halbwegs sichere und zuverlässige Kommunikation. Hätten wir dieses Level an Verschlüsselung und Authentifizierung bei E-Mails, wäre schon viel gewonnen.

In meiner Timeline lese ich viel Empörung über dünne DSL-Leitungen, schlechte Mobilfunkversorgung und WLAN-Hänger. Ich wünsche mir, dass ein Bruchteil dieses Ärgers dafür übrig bleibt, dass ein Eckpfeiler der digitalen Kommunikation, den jeder im Internet benutzt, seit Jahrzehnten kaputt ist – damit wir ihn hoffentlich irgendwann reparieren können. Sicher ist nur: Diese Lösung wird nicht PGP sein.

Siehe dazu auch:

(Herbert Braun) / (axk)

1441 Kommentare

Themen:

Anzeige
  1. WhatsApp verschlüsselt inzwischen Backups in der iCloud

    WhatsApp

    Die iPhone-App legte das Backup der Ende-zu-Ende-verschlüsselten Nachrichten bislang im Klartext auf Apples Servern ab und ermöglichte so Angreifern bei Kenntnis der iCloud-Zugangsdaten weitreichende Einblicke in die Kommunikation.

  2. Umfrage: Nur 16 Prozent der Deutschen verschlüsseln ihre E-Mails

    E-Mail, Verschlüsselung, PGP

    Obwohl die Mehrheit der Deutschen eine E-Mail-Verschlüsselung für wichtig hält, nutzen nur 16 Prozent das Verfahren, um ihre elektronische Post zu schützen. Laut einer Umfrage ist vielen die Einrichtung zu kompliziert.

  3. GMX und Web.de bieten verschlüsselten Cloud-Speicher

    E-Mail, Verschlüsselung, PGP

    Kunden von GMX und Web.de können ihre Dateien ab sofort verschlüsselt in der Cloud ablegen. Die Nutzung ist kostenlos und die Bedienung recht einfach. Dank Ende-zu-Ende-Verschlüsselung haben Dritte keinen Zugriff auf die Daten.

  4. WhatsApp und Signal: Forscher beschreiben Schwächen verschlüsselter Gruppenchats

    WhatsApp

    Zwar ist die Ende-zu-Ende-Verschlüsselung bei WhatsApp und Signal sicher, das Drumherum lässt aber eventuell zu wünschen übrig. So wird ein von Spionen gekaperter Kontrollserver mitunter zur Schwachstelle.

  1. E-Mails verschlüsseln - lohnt sich das?

    E-Mail-Verschlüsselung ist seit Jahren ein Thema. Und seit Jahren setzt sie sich nicht durch. Das hat verschiedene Gründe. Wir zeigen trotzdem, wie es geht.

  2. Ende-zu-Ende-Verschlüsselung - was genau ist das?

    Sie haben schon von der Ende-zu-Ende-Verschlüsselung gehört, können sich darunter aber nichts Genaues vorstellen? Wir erklären, worum es geht!

  3. Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?

    Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?

    In der Anzeige von WhatsApp tauchen plötzlich Namen auf, die aus dem privaten Adressbuch stammen. Spioniert die neue Version etwa im Auftrag des Konzerns in den Kontakten der Anwender? heise Security ging dem Verdacht eines Lesers nach und stieß auf spannende WhatsApp-Interna.

  1. Linux-Entwickler: Kernel-Community wird unter eigener Bürokratie zusammenbrechen

    Linux-Entwickler: Kernel-Community wird unter eigener Bürokratie zusammenbrechen

    Die Maintainer des Linux-Kernels werden in ein paar Jahren nicht mehr nachkommen, eingereichte Patches zu bearbeiten. Das System stehe vor dem Kollaps, falls sie es nicht schafften, die Arbeitslast zu verteilen, behauptet Kernel-Entwickler Daniel Vetter.

  2. PCIe-SSDs Samsung 970 Evo und 970 Pro: Schreiben mit 3 GByte/s

    Samsung 970 Evo und 970 Pro: Gutes beschleunigt

    Samsung setzt noch einen drauf: Die neuen PCIe-SSDs der 970-Serie sind vor allem beim Schreiben schneller als ihre Vorgänger.

  3. DIe Tyrannei des Klischees: Über Frank Schätzings KI-Roman

    Die Tyrannei des Schmetterlings

    Frank Schätzing schreibt in "Die Tyrannei des Schmetterlings" über künstliche Intelligenz, Quantencomputer und das Silicon Valley. Spannend? Ja. Interessant? Naja. Unsere Rezension.

  4. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

Anzeige