Sichere Emails (nur) für GMX, web.de und 1&1-Mail-Nutzer

Emails sind nicht sicher vor Abhörungen. Google scannt den Inhalt seiner Kunden und macht aus den Begriffen Werbung, das Muscular-Programm der NSA zapft die Datenleitungen zwischen den Rechenzentren von Google und Yahoo an und Hacker erbeuten leicht auch mal Millionen Zugangsdaten.

Emailverschlüsselung wäre daher der richtige Weg zu sicherer elektronischer Kommunikation, das jahrelang erprobte PGP-Verschlüsselungsverfahren dabei die richtige Anwendung – denn NSA und GCHQ können es nicht knacken (konnten sie bislang zumindest nicht). Doch – selbst durch den tollen Service von Mailbox.org – PGP ist und bleibt komplex. (Jetzt nur mal so zum Einordnen: Meiner Familie, mit der ich seit Jahren über sicher Threema kommuniziere, habe ich die Einrichtung gar nicht erst zu erklären versucht.)

GMX, Web.de und 1&1 bieten nun einen Dienst an, der sichere Verschlüsselung und Komfort verbindet, und ich kann gar nicht sagen, wie sehr mich dieser Schritt in die richtige Richtung freut. Zumal fast alle meiner Familienmitglieder bei einem der Dienste ihre Mailadresse haben. Nach der halbgaren PR-Kampagne “Email made in Germany”, die uns die eigentlich selbstverständliche verschlüsselte E-Mail-Übertragung als Revolution verkaufte, und dem staatlich geförderten Rohrkrepierer DeMail gibt es jetzt aus dem Firmenverbund “United Internet” etwas Handfestes:

  • Nutzer der Email-Dienste (auch der kostenfreien) können die verschlüsselte Übertragung freischalten.
  • Sie müssen das kostenfreie Browser-Plugin “Mailvelope” installieren (gibt’s für Firefox oder Chrome).
  • Das Tool generiert im Hintergrund die für PGP erforderlichen Schlüsselpaare für die Verschlüsselung und speichert sie auf dem Rechner des Nutzers.
  • Beim Email-Schreiben haben die Nutzer nun die Möglichkeit, ihre Nachrichten mit ihrem Schlüssel verschlüsseln zu lassen. Eingehende verschlüsselte Mails werden automatisch entschlüsselt

Die PGP-Verschlüsselung ist dadurch sicher, dass sie bei Sender und Empfänger ver- bzw. enstschlüsselt wird. Das bedeutet natürlich, dass die GMX/1&1/Web.de-Nutzer nur anderen Nutzern, die sich dafür freigeschaltet haben, verschlüsselt schreiben können. Das sollte die Kunden nicht abhalten, den Dienst zu nutzen, wird es aber vermutlich.

Dabei ist die einzig kritische Frage bei dem Vorstoß der Email-Anbieter: das Vertrauen. Nicht in die Anbieter selbst, wie SpOn schreibt (der Autor brauchte wohl einen knackigen Ausstieg) – Die Anbieter speichern lediglich den öffentlichen Schlüssel und den verschlüsselten Text. Die Nutzer müssen vielmehr der Browsererweiterung vertrauen – Mailvelope erzeugt schließlich die Schlüsselpaare und ver- und entschlüsselt Mails, und könnte dehalb theoretisch den Inhalt der Mails lesen. Aber da würde ich mir keine Sorgen machen: Mailvelope ist quelloffen (Open-Source, hier zum Projekt) und kann somit von jedem sachverständigen Nutzer kontrolliert werden; nur so entsteht in den heutigen Tagen Seriösität.

Was ich mir wünschen würde: Dass auch andere PGP-Nutzer (die also andere Maildienste nutzen und PGP manuell eingerichtet haben) von GMX, Web.de und 1&1-Nutzern angeschrieben werden könnten und ihnen schreiben könnten. Das ist technisch natürlich möglich, bislang aber nicht in die Webmailer implementiert. Vermutlich, weil die öffentlichen PGP-Schlüssel auf diversen Servern verteilt, die erstmal alle durchkämmt werden müssten und dann auch noch verschiedene Einträge auswerfen würden, was man den Komfort gewohnten Nutzern nicht zumuten will. Aber nur so würde die Verbreitung über das United-Internet-Universum heraus wachsen; so kämen wir der selbstbestimmten Kommunikation wirklichein Stück näher.

UPDATE: Windows 10 – Ein Betriebssystem auf der Höhe der Zeit

Was wie ein Lob klingt, ist ein zweischneidiges Schwert. Mit der in Windows 10 implementierten Analyse von Schreibgewohnheiten, der Nutzung von Programmen und des Onlinespeichers “OneCloud” will der Hersteller Microsoft die Software verbessern. Ich finde das gut, das moderne Betriebssysteme von den Nutzern lernen wollen und habe keinen Grund, Microsoft dabei böse Absichten zu unterstellen. Ebenso zeitgemäß und nutzerorientiert ist es nämlich, dass man diese – letztlich datenschutzrelevanten – Optionen auch deaktivieren kann.
Doch wie immer ist das Auffinden der diversen Umschaltknöpfchen mit Aufwand verbunden. Netzwelt.de hat ein verständliches Tutorial geschrieben, das den Weg zu den datenschutzrelevanten Optionen zeigt

Klar ist: Wer Windows 10 per “Express-Setup” installiert, oder wer glaubt, er habe nichts zu verbergen, gibt viele Daten von sich preis, die nicht nur ein Softwareunternehmen auswertet, sondern das auch in die Hände der Geheimdienste fällt – Microsoft ist wie alle großen Softwareschmieden zur Zusammenarbeit mit der NSA verpflichtet.

Ich empfehle deshalb dem Betriebssysstem jede verzichtbare Datenerhebung zu verbieten. Der vielleicht wichtigste Baustein dabei ist sicherlich, Windows nur mit einem lokalen Nutzerkonto zu nutzen.Den Komfort bei der Nutzung der Software stört das meiner Meinung nach nicht. Giga.de erklärt diesen Schritt sehr gut.

Update 18. August:

Die Welt am Sonntag vom 16. August befasst sich mit der Machtverteilung im Internet und erwähnt auch Microsoft, konkret: Die Peer-to-Peer-Updatefunktion. Windows verteilt seine Updates nicht nur von Microsoftservern zu den Nutzern, sondern auch zwischen den Nutzern. Das so genannte Peer-to-Peer-Verfahren ist uralt und hat viele Vorteile, denn wenn Nutzer sich gegenseitig Daten schicken, geht das schneller, als wenn alle an einem Server saugen. Das Problem: Viele Nutzer wissen nichts davon, dass Microsoft ihre Rechner als Mini-Server gebraucht und natülrich auch ihre Internet-Upload-Leitung benutzt. Dementsprechend wissen sie nicht, wie man das Peer-to-Peer-Update abstellen kann. Dass das eigentlich ganz leicht ist, zeigt howtogeek.com.