Sichere Emails (nur) für GMX, web.de und 1&1-Mail-Nutzer

Veröffentlicht am von

Emails sind nicht sicher vor Abhörungen. Google scannt den Inhalt seiner Kunden und macht aus den Begriffen Werbung, das Muscular-Programm der NSA zapft die Datenleitungen zwischen den Rechenzentren von Google und Yahoo an und Hacker erbeuten leicht auch mal Millionen Zugangsdaten.

Emailverschlüsselung wäre daher der richtige Weg zu sicherer elektronischer Kommunikation, das jahrelang erprobte PGP-Verschlüsselungsverfahren dabei die richtige Anwendung – denn NSA und GCHQ können es nicht knacken (konnten sie bislang zumindest nicht). Doch – selbst durch den tollen Service von Mailbox.org – PGP ist und bleibt komplex. (Jetzt nur mal so zum Einordnen: Meiner Familie, mit der ich seit Jahren über sicher Threema kommuniziere, habe ich die Einrichtung gar nicht erst zu erklären versucht.)

GMX, Web.de und 1&1 bieten nun einen Dienst an, der sichere Verschlüsselung und Komfort verbindet, und ich kann gar nicht sagen, wie sehr mich dieser Schritt in die richtige Richtung freut. Zumal fast alle meiner Familienmitglieder bei einem der Dienste ihre Mailadresse haben. Nach der halbgaren PR-Kampagne “Email made in Germany”, die uns die eigentlich selbstverständliche verschlüsselte E-Mail-Übertragung als Revolution verkaufte, und dem staatlich geförderten Rohrkrepierer DeMail gibt es jetzt aus dem Firmenverbund “United Internet” etwas Handfestes:

  • Nutzer der Email-Dienste (auch der kostenfreien) können die verschlüsselte Übertragung freischalten.
  • Sie müssen das kostenfreie Browser-Plugin “Mailvelope” installieren (gibt’s für Firefox oder Chrome).
  • Das Tool generiert im Hintergrund die für PGP erforderlichen Schlüsselpaare für die Verschlüsselung und speichert sie auf dem Rechner des Nutzers.
  • Beim Email-Schreiben haben die Nutzer nun die Möglichkeit, ihre Nachrichten mit ihrem Schlüssel verschlüsseln zu lassen. Eingehende verschlüsselte Mails werden automatisch entschlüsselt

Die PGP-Verschlüsselung ist dadurch sicher, dass sie bei Sender und Empfänger ver- bzw. enstschlüsselt wird. Das bedeutet natürlich, dass die GMX/1&1/Web.de-Nutzer nur anderen Nutzern, die sich dafür freigeschaltet haben, verschlüsselt schreiben können. Das sollte die Kunden nicht abhalten, den Dienst zu nutzen, wird es aber vermutlich.

Dabei ist die einzig kritische Frage bei dem Vorstoß der Email-Anbieter: das Vertrauen. Nicht in die Anbieter selbst, wie SpOn schreibt (der Autor brauchte wohl einen knackigen Ausstieg) – Die Anbieter speichern lediglich den öffentlichen Schlüssel und den verschlüsselten Text. Die Nutzer müssen vielmehr der Browsererweiterung vertrauen – Mailvelope erzeugt schließlich die Schlüsselpaare und ver- und entschlüsselt Mails, und könnte dehalb theoretisch den Inhalt der Mails lesen. Aber da würde ich mir keine Sorgen machen: Mailvelope ist quelloffen (Open-Source, hier zum Projekt) und kann somit von jedem sachverständigen Nutzer kontrolliert werden; nur so entsteht in den heutigen Tagen Seriösität.

Was ich mir wünschen würde: Dass auch andere PGP-Nutzer (die also andere Maildienste nutzen und PGP manuell eingerichtet haben) von GMX, Web.de und 1&1-Nutzern angeschrieben werden könnten und ihnen schreiben könnten. Das ist technisch natürlich möglich, bislang aber nicht in die Webmailer implementiert. Vermutlich, weil die öffentlichen PGP-Schlüssel auf diversen Servern verteilt, die erstmal alle durchkämmt werden müssten und dann auch noch verschiedene Einträge auswerfen würden, was man den Komfort gewohnten Nutzern nicht zumuten will. Aber nur so würde die Verbreitung über das United-Internet-Universum heraus wachsen; so kämen wir der selbstbestimmten Kommunikation wirklichein Stück näher.