Seit vergangenem Donnerstag können sich Kunden der Mail-Dienste Web.de und GMX auf die Verschlüsselungstechnik via PGP freuen. Über die Web-Oberfläche und den dazugehörigen mobilen Apps lässt sich das neue Feature ab sofort nutzen. Die neue Funktion steht auch den kostenlosen Accounts zur Verfügung und damit können nach eigenen Angaben bis zu 30 Millionen Nutzer ihre Nachrichten abhörsicher verschlüsseln.
Die E-Mail-Anbieter Web.de und GMX haben seit dem 20.08.2015 das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Die Lösung basiert auf dem weltweit anerkannten Standard „Pretty Good Privacy“.
Die neue Sicherheitsstufe für E-Mail funktioniert auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen. Laut eigener Aussage soll jeder Nutzer in der Lage sein, mit der integrierten Lösung auch ohne technische Vorkenntnisse seine E-Mails zu verschlüsseln. Nur der Empfänger kann den Inhalt öffnen beziehungsweise entschlüsseln und lesen.
Voraussetzung ist allerdings, dass auch der Empfänger das Feature aktiviert hat. Dabei ist es egal, ob über den Internet-Browser oder die mobilen Apps die Nachrichten geöffnet werden sollen. Damit dürften beide Anbieter zu den ersten kommerziellen Providern gehören, die PGP integriert haben. Die Lösung kann natürlich auch von der PGP-Hauptseite installiert und genutzt werden. Interessant sind die beiden Angebote auch für Unternehmen. Warum? Beide Anbieter haben aktuell auch die die Sicherheitstechniken DNSSEC und DANE eingeführt.
PGP in der Praxis
In der Praxis: Bei der Nutzung über den Browser wird das Plug-in in die gewohnte Mail-Oberfläche der beiden Dienste integriert und verschlüsselt den E-Mail-Inhalt sowie dessen Anhänge direkt vor dem Versenden. Gut gelungen: Die Apps für Android- und iOS-Smartphones beziehungsweise -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann. Die Schlüssel müssen allerdings noch auf die Endgeräte gespielt werden.
Der Ansatz löst die drei Grundprobleme, die es bisher beim Einsatz von Ende-zu-Ende Verschlüsselung für den Nutzer gab und die Verbreitung stark beschränkte: Einrichtung von PGP, Austausch der Schlüssel und Hilfe bei Verlust des Schlüssels.
Nach Installation der Browser-Erweiterung wird automatisch der für PGP erforderliche private und öffentliche Schlüssel erzeugt, der jedem Nutzer eindeutig zugeordnet ist. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines privaten Schlüssels nur von ihm selbst entschlüsselt werden. Durch die einfache Übertragung der Schlüssel zwischen den Endgeräten kann der Nutzer seinen privaten Schlüssel sehr schnell auch auf sein Smartphone laden, so dass er ihn im Falle des Verlustes über eines der Geräte wiederherstellen kann. Nachteil: Die Erstellung und Übertragung der Schlüssel geschieht online. Die klassische Anwendung von PGP erzeugt das Schlüsselpaar ausschließlich offline beziehungsweise lokal. Ok, mit der Veröffentlichung des Source-Codes und einer Überprüfung durch externe Security-Experten sorgen die Provider für Transparenz. Alle sicherheitsrelevanten Informationen wie private Schlüssel und Passwörter liegen nach eigenen Angaben außerhalb des Einflussbereichs. Überprüft hat das bisher allerdings noch niemand. Ich bin vor einiger Zeit genau aus diesem Grund digital nach Island gezogen.
Persönlich finde ich diesen Schritt hervorragend. In Zeiten der staatlichen Überwachung kann man sich nicht genug vor fremden Blicken schützen. Durch die integrierte Verschlüsselung kann auch der unbeholfene Nutzer seine Kommunikation vor fremden Blicken schützen. Mögliche Sicherheitslücken (Onlineerzeugung der Schlüssel) wird man wahrscheinlich zügig aufzeigen und eliminieren. Die im April 2014 verpflichtende Verschlüsselung über die Zugriffe per IMAP, POP3 und SMTP haben nun einen weiteren Schritt in die richtige Richtung getan – dem Nutzer wird es freuen, dem Staat und dessen Behörden eher nicht.
