Profi-Verschlüsselung für jedermann

Die führenden deutschen E-Mail-Anbieter WEB.DE und GMX haben ab heute das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Damit können die über 30 Millionen Nutzer der beiden Dienste ihre Nachrichten erstmals so verschlüsseln, dass nur Sender und Empfänger sie lesen können.

20. August 2015 von Martin Wilhelm

In nur drei Schritten ist die verschlüsselte Kommunikation eingerichtet. © WEB.DE

Die Lösung basiert auf dem weltweit anerkannten Standard „Pretty Good Privacy“, den WEB.DE und GMX jetzt für jedermann nutzbar machen. Die neue Sicherheitsstufe für E-Mail funktioniert auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen.

Der Geschäftsführer von WEB.DE und GMX Jan Oetjen im Interview. © WEB.DE

„Jetzt kann jedermann mit einer Profi-Technologie verschlüsseln,” sagt Jan Oetjen, Geschäftsführer von GMX und WEB.DE. © WEB.DE

Verschlüsselung zum Durchbruch verhelfen

„Mit unserer Lösung kann jeder Nutzer auch ohne technische Vorkenntnisse seine E-Mails so verschlüsseln, dass nur der Empfänger den Inhalt öffnen kann. Egal ob über den Internet-Browser oder die WEB.DE und GMX App auf dem Smartphone – jetzt kann jedermann mit einer Profi-Technologie verschlüsseln, die bisher einige technische Vorkenntnis erforderte. Wir wollen damit der durchgehenden Verschlüsselung zum Durchbruch verhelfen“, sagt Jan Oetjen, Geschäftsführer von GMX und WEB.DE.

Die beiden E-Mail-Anbieter setzen auf PGP-Verschlüsselung mit der Open-Source-Software Mailvelope. Die Verschlüsselung kann auf allen gängigen Geräten eingesetzt werden. Bei der Nutzung über den Browser wird das Plug-in in die gewohnte Mail-Oberfläche von WEB.DE und GMX integriert und verschlüsselt den Mailinhalt sowie Anhänge direkt vor dem Versenden. Die WEB.DE und GMX Apps für Android- oder iOS-Smartphones bzw. -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann. Auch Anlagen können auf allen Endgeräten einfach mit verschlüsselt werden, was bisher einen weiteren Zusatzaufwand darstellte.

Die WEB.DE Grafik leitet den Nutzer durch die einzelnen Installationsschritte, bis hin zur ersten verschlüsselten Mail. © WEB.DE

Die WEB.DE Grafik leitet den Nutzer durch die einzelnen Installationsschritte, bis hin zur ersten verschlüsselten Mail. © WEB.DE

Assistent nimmt Nutzern die PGP-Einrichtung ab

Der Ansatz löst die drei Grundprobleme, die es bisher beim Einsatz von Ende-zu-Ende Verschlüsselung für den Nutzer gab und die Verbreitung stark beschränkte: Einrichtung von PGP, Austausch der Schlüssel und Hilfe bei Verlust des Schlüssels. Bei WEB.DE und GMX führt ein Einrichtungsassistent den Anwender in wenigen Schritten zum Versand seiner ersten verschlüsselten Mail. Nach Installation der Browser-Erweiterung wird automatisch der für PGP erforderliche private und öffentliche Schlüssel erzeugt, der jedem Nutzer eindeutig zugeordnet ist. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines geheimen privaten Schlüssels nur von ihm selbst entschlüsselt werden. Durch die einfache Übertragung der Schlüssel zwischen den Endgeräten kann der Nutzer seinen privaten Schlüssel sehr schnell auch auf sein Smartphone laden, so dass er ihn im Falle des Verlustes über eines der Geräte wiederherstellen kann.

Eigenes Verzeichnis der öffentlichen Schlüssel löst bisherige PGP-Problematik

Mit ihrem internen Public-Key-Verzeichnis bieten WEB.DE und GMX eine Lösung für ein bisher ungelöstes PGP-Problem: Wie kommt man sicher an die öffentlichen Schlüssel der anderen, und wie stellt man sicher, dass es auch die richtigen sind? Alle mit der Browser-Erweiterung erzeugten öffentlichen Schlüssel werden in einem von WEB.DE und GMX gepflegten Verzeichnis abgelegt. Mit Hilfe einer Signatur stellen WEB.DE und GMX sicher, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen. Die entsprechenden privaten Schlüssel kennt nur der Nutzer.

Provider sorgen für Transparenz: Source-Code wird veröffentlicht

Mit der Veröffentlichung des Source-Codes und einer Überprüfung durch externe Security-Experten sorgen die Provider für Transparenz. Alle sicherheitsrelevanten Informationen wie private Schlüssel und Passwörter liegen außerhalb des Einflussbereichs von WEB.DE und GMX und können von diesen zu keiner Zeit eingesehen werden, so dass der Nutzer die volle Datensouveränität behält. Dazu gehört zum einen, dass es ihm überlassen bleibt, welche Nachrichten er verschlüsseln möchte und welche nicht. Bei aller Vereinfachung bringt Ende-zu-Ende Verschlüsselung zum anderen auch die Verantwortung des Nutzers für die Sicherheit seines Endgerätes und seinen privaten Schlüssel mit sich, denn die Verschlüsselung ist nur sicher, wenn auch das Endgerät gesichert ist.

Zudem ist die Verschlüsselung mit PGP eine wichtige Ergänzung des Sicherheitsstandards „E-Mail made in Germany“, auf den sich 1&1, freenet, GMX, Telekom, Strato und WEB.DE als Mailverbund geeinigt haben. Wer sein E-Mail-Konto bei einem Provider des Mailverbunds hat, schützt neben dem Inhalt der Mails auch die sogenannten Metadaten wie Absender, Adressat, Betreff, Versandzeitpunkt und vor allen auch die Tatsache, dass er PGP-verschlüsselt kommuniziert. Bei allen „E-Mail made in Germany“ Providern können die Nutzer Standard-PGP-Lösungen verwenden und so Mail-Inhalt und Metadaten schützen.

Die für die mobile Nutzung erforderlichen neuen Versionen der Apps wurden bereits in die Stores hochgeladen und werden im Laufe des Tages zur Verfügung stehen.

Kategorien: News, Pressemitteilungen, Sicherheit

Verwandte Themen

POP3 und IMAP: E-Mails mit externen Programmen abrufen

Für alle, die ihre E-Mails mit externen Programmen wie Microsoft Outlook oder Mozilla Thunderbird managen möchten, führt kein Weg an zwei echten Klassikern vorbei: IMAP und POP3 - Weltweite Standards, über die E-Mails-Server im Web und E-Mail-Clients auf PC, Laptop oder Smartphone miteinander kommunizieren. Beide haben Vor- und Nachteile - WEB.DE zeigt, welche Risiken berücksichtigt werden sollten und welche Alternativen es für User gibt. mehr

Cyber-Kriminalität: WEB.DE und GMX erkennen rund 35 Prozent mehr Spam

Die Menge an abgewehrten Spam-Mails bei Deutschlands größten E-Mail-Anbietern WEB.DE und GMX steigt. Im dritten Quartal 2024 haben die beiden Dienste wöchentlich rund 1,9 Milliarden potenziell gefährliche E-Mails aus dem eingehenden Nachrichtenstrom herausgefiltert. Im Vorjahresquartal waren es noch 1,4 Milliarden. Im Trend liegen gefälschte E-Mails von Paketunternehmen und Kundenservice-Phishing. mehr