Verschlüsselung voranbringen

WEB.DE und GMX haben PGP in ihre E-Mail-Produkte integriert. Damit können die über 30 Millionen Nutzer der beiden Dienste ihre Mails mit einer Profi-Technologie durchgängig verschlüsseln – auch mobil. Jan Oetjen, Geschäftsführer von GMX und WEB.DE, spricht im Interview über die Hintergründe.

21. August 2015 von Martin Wilhelm

WEB.DE und GMX Geschäftsführer Jan Oetjen im Interview: "Unsere Lösung ist PGP in seiner ursprünglichen Form, ohne Verwässerung der Sicherheit, aber mit maximalem Komfort." © WEB.DE

Welches Ziel verfolgen WEB.DE und GMX mit der Integration von PGP?

Wir haben das Verfahren nun so einfach nutzbar gemacht, dass jeder auch ohne Expertenwissen PGP-verschlüsselt kommunizieren kann. Damit wollen wir PGP zum Durchbruch verhelfen. Die Bundesregierung hat die Notwendigkeit von Verschlüsselung für ein sicheres digitales Leben und Arbeiten in ihrer Digitalen Agenda klar formuliert: Deutschland soll zum Verschlüsselungsstandort Nr. 1 auf der Welt werden, dazu soll Verschlüsselung privater Kommunikation in der Breite zum Standard werden. Mit einfacher Verschlüsselung legen wir hier einen wichtigen Grundstein.

Wie haben Sie PGP vereinfacht?

Bisher war das Verfahren recht kompliziert: Mehr als 40 Schritte mit bis zu drei verschiedenen Programmen waren bis zum Versand und Lesen einer verschlüsselten Mail erforderlich. Wir haben den Prozess nun mit Hilfe eines Einrichtungsassistenten auf wenige Schritte reduziert. Damit lösen wir die drei Grundprobleme, die bisher die Verbreitung stark beschränkten: Technische Einrichtung von PGP, Austausch der Schlüssel und Hilfe bei Verlust des Schlüssels. Die Komplexität läuft voll automatisiert im Hintergrund in einer abgesicherten Browser-Erweiterung auf dem Endgerät des Nutzers ab. Für die Nutzung auf Smartphones haben wir PGP direkt in die Apps von GMX und WEB.DE integriert. Ganz wichtig: Unsere Lösung ist PGP in seiner ursprünglichen Form, ohne Verwässerung der Sicherheit, aber mit maximalem Komfort. Das heißt vor allem auch: Der private Schlüssel liegt nur beim Nutzer. Im Gegensatz zu serverseitigen Verschlüsselungsverfahren haben wir keinen Zugriff darauf.

PGP gibt es seit langem. Warum erfolgt die Einführung erst jetzt?

Wir sind selbst überrascht gewesen, wie lange es dauert, bis sich Ende-zu-Ende-Verschlüsselung in der Breite durchsetzt. Aktuell gibt es weltweit erst schätzungsweise 5 Millionen Schlüssel bei 3 Milliarden Internet-Nutzern, in Deutschland kommen wir vielleicht auf wenige hunderttausend PGP-Schlüssel. Als wir E-Mail made in Germany unter dem Eindruck der Snowden-Enthüllungen im Sommer 2013 gestartet haben, sind wir davon ausgegangen, dass die Verschlüsselung auf Betriebssystem-Ebene implementiert würde, was es für den Nutzer recht einfach machen würde, diese Technik für alle Kommunikationskanäle zu verwenden. Aber es ist zu befürchten, dass es in dem aktuellen Spannungsfeld zwischen Washington und den Herstellern mobiler Betriebssysteme zeitnah keine Lösungen geben wird. Daher müssen die Impulse jetzt aus „Good Old Europe“ kommen, wo klar gesehen wird: Verschlüsselung ist unverzichtbar für die Privatsphäre. Und: Verschlüsselung fördert die gesamte Wirtschaft. Kommunikation und geschäftliche Transaktionen in der digitalen Sphäre erfordern Sicherheit und Vertraulichkeit.

Wird die Malware-Verbreitung zunehmen, wenn Internet-Nutzer nun vermehrt Verschlüsselung einsetzen und die Anbieter Mails nicht mehr auf Schadsoftware untersuchen können?

Unabhängig davon, ob eine Ende-zu-Ende-Verschlüsselung für den Versand von E-Mails gewählt wird, sollten Nutzer Sicherheitsmaßnahmen ergreifen, um ihre Endgeräte vor Schadsoftware zu schützen. Richtig ist, dass wir komplett verschlüsselte Nachrichten nicht mehr automatisiert auf Viren überprüfen können. Von Providerseite leisten wir hier Aufklärungsarbeit und bieten zusätzlich zum Start der vereinfachten Ende-zu-Ende-Verschlüsselung eine sehr günstige Anti-Virus-Software an.

Für PGP gibt es bereits zahlreiche Schlüsselserver. Ist hier ein Zusammenschluss denkbar?

Die Vielzahl der PGP-Server mit unterschiedlichen Sicherheitsstandards ist aktuell ein Problem. Auf vielen der Schlüssel-Server kann man einen öffentlichen Schlüssel für eine beliebige Mail-Adresse ablegen. Ob Adresse und Schlüssel wirklich zusammen gehören, wird leider nur bei sehr wenigen geprüft. Dieses Problem haben wir mit unserem Public-Key-Verzeichnis gelöst, das den Nutzern die richtigen Schlüssel zuordnet. Eine Anbindung von Key-Servern anderer Kommunikationsanbieter, die eine Überprüfung durchgeführt haben, aber auch von Unternehmen aus der Wirtschaft wäre sehr wünschenswert. Mit den Partnern des E-Mail-made-in-Germany-Verbundes sind wir dazu im Gespräch.

Welche Rolle spielt die Initiative „E-Mail made in Germany“ bei der PGP-Einführung?

Eine ganz wichtige. E-Mail made in Germany und die nun eingeführte Möglichkeit zur vereinfachten Ende-zu-Ende-Verschlüsselung sind zwei ergänzende Bausteine. Innerhalb des „E-Mail made in Gemany“-Verbunds garantieren die Teilnehmer eine Verschlüsselung und Sicherung der Transportwege sowie die Speicherung aller Daten ausschließlich in Deutschland nach deutschen Datenschutzstandards. Wer sein E-Mail-Konto bei einem Provider des Mailverbunds hat, schützt neben dem Inhalt der Mails auch die sogenannten Metadaten wie Absender, Adressat, Betreff, Versandzeitpunkt und vor allen auch die Tatsache, dass er PGP-verschlüsselt kommuniziert. Bei allen „E-Mail made in Germany“ Providern können die Nutzer Standard- oder integrierte PGP-Lösungen verwenden und so den Mail-Inhalt zusätzlich schützen. Natürlich wäre es für die Verbreitung von PGP gut, wenn möglichst viele Provider ein vereinfachtes PGP einführen. Darüber führen wir aktuell Gespräche mit unseren Partnern.

Kategorien: News, Sicherheit

Verwandte Themen

Den Papierkorb voll im Griff: Löschintervalle richtig einstellen

Wann was wie im Postfach gelöscht wird, ist Einstellungssache. Durch das Festlegen der Speicherdauer für E-Mails in einzelnen Ordnern können Nutzerinnen und Nutzer selbst bestimmen, wann etwas automatisch gelöscht werden soll. mehr

KI als Zeitvertreib: ChatGPT und Co. erobern den Alltag der Deutschen

Künstliche Intelligenz (KI) wird in Deutschland überwiegend nicht in der Arbeitswelt, sondern im privaten Bereich eingesetzt. So sind Spaß und Zeitvertreib der häufigste Grund für den KI-Einsatz (39,7 %), gefolgt von Recherche mit 38,9 Prozent. Fast jeder Zweite (43,4 %) besitzt inzwischen einen Account bei einem KI-Dienst. Etwa jeder Vierte (23,1 %) hat KI ausprobiert und danach nicht weitergenutzt. Diese Daten stammen aus einer repräsentativen Studie der Convios Consulting GmbH im Auftrag von GMX und WEB.DE. mehr