E-Mail-Verschlüsselung: Keine Liebe auf den zweiten Blick
Was früher vor allem für Sicherheitsexperten oder Hacker selbstverständlich war, soll nun auch für den normalen User Alltag werden: das Verschlüsseln der E-Mail-Kommunikation, um den Geheimdiensten das Ausschnüffeln der Privatsphäre so schwer wie möglich zu machen. Doch von einem Boom der digitalen Selbstverteidigung kann keine Rede sein. Die Verschlüsselung wird nur in überschaubarem Maße praktiziert und meist als lästiger Aufwand empfunden, wie auch eine Golem.de-Umfrage unter deutschen Netzpolitikern ergeben hat.
Der CDU-Abgeordnete Thomas Jarzombek sagt: "E-Mail-Verschlüsselung ist heute nach wie vor ein reines Nerd-Business. Oder in Anlehnung an ein Zitat von Ron Sommer wie Teenagersex: Alle reden darüber und jeder denkt, der andere macht es. Doch tatsächlich machen es die wenigsten und bei denen läuft es auch noch schlecht." Er selbst verschlüssele die Mails, die er mit seinem Team austausche, sagte er auf Golem.de-Anfrage. Von außen erhalte er "de facto null verschlüsselte E-Mails" .
Zwar hat sich die Zahl der registrierten OpenPGP-Schlüssel in den vergangenen Wochen deutlich erhöht(öffnet im neuen Fenster) . Lag sie vor den Snowden-Enthüllungen bei etwa 500 am Tag, generieren derzeit rund 1.500 Nutzer täglich ihre Schlüssel. Doch das Dreifache von sehr wenig ist immer noch nicht viel. Gemessen an der Zahl der weltweiten Internetnutzer liegt die Zahl von 3,4 Millionen vergebenen PGP-Schlüsseln im Promillebereich. Und ob diese dann auch in der täglichen Kommunikation genutzt werden, steht auf einem anderen Blatt. Schließlich gibt es einige Gründe, gerade im privaten Bereich darauf zu verzichten.
Darum geht es auch auf den vielen Kryptopartys, die unter anderem die Piratenpartei derzeit organisiert. Kevin Price, Vorsitzender der niedersächsischen Piraten und IT-Experte, versäumt es dabei nicht, auf die Tücken im Umgang mit den Programmen hinzuweisen. So bedeutet in vielen Fällen die Nutzung der Verschlüsselungserweiterung Enigmail, von gewohnten Mailprogrammen wie Outlook auf Thunderbird umsteigen zu müssen. Unfreier Verschlüsselungssoftware, erst recht in Verbindung mit Microsoft-Produkten, sollte ohnehin nicht vertraut werden.
Prinzipielle Nachteile bleiben
Prinzipielle Nachteile der Verschlüsselung lassen sich auch mit Enigmail nicht abstellen: Die Metadaten der Mail, auch der Betreff, sind weiter offen lesbar. Zudem kann ein Nutzer die verschlüsselte Mail, wenn sie von seinem heimischen Rechner aus verschickt wurde, dann nicht mehr online als Kopie bei seinem Provider lesen. Ebenfalls läuft er Gefahr, beim Hochladen seines öffentlichen Schlüssels seine Mail-Adresse auch Spamversendern preiszugeben. Nach Ansicht von Price ist es auch kaum möglich, den Schlüssel von den Keyservern wieder zu löschen. Wobei es schon eine Erleichterung darstellt, wenn man den öffentlichen Schlüssel des Mailempfängers überhaupt auf den Keyservern findet.
Ohnehin bedeutet auch das Verschlüsseln von Mails keinen absoluten Schutz. Rein theoretisch lässt sich jeder Code mit genügend Versuchen knacken, man erhält durch die Verschlüsselung lediglich einen Zeitvorteil. Zu guter Letzt muss sichergestellt sein, dass sich kein Trojaner auf dem Rechner befindet, der den Inhalt der Mail vor der Verschlüsselung bereits weitergibt. Vor diesem Hintergrund wundert es nicht, dass die Teilnehmer von Kryptopartys nicht gerade in Begeisterung ausbrechen, wenn sie von den neuen Möglichkeiten erfahren und den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung verstanden haben.
Politiker verschlüsseln kaum
Bei den deutschen Netzpolitikern ist das nicht anders. Eine Ausnahme bildet vielleicht der IT-Unternehmer Jimmy Schulz, der nach eigenen Angaben schon seit 1995 verschlüsselt und dies auch als Antwort auf die Überwachungsprogramme der NSA empfiehlt. "Wir haben uns auch daran gewöhnt, unser Auto abzusperren, wenn wir es irgendwo hinstellen" , sagte der FDP-Abgeordnete Golem.de. Diese Metapher für einen selbstverständlichen Vorgang findet aber nur wenig Beifall. Dorothee Bär von der CSU zieht einen etwas anderen Vergleich: "E-Mail-Verschlüsselung ist für mich so umständlich, wie mein Auto noch zusätzlich mit einer Lenkrad- und Wegfahrsperre vor Diebstahl schützen zu müssen: aufwendig, aber in manchen Situationen notwendig." Sie verschlüssele ihre Mails nur, wenn es wirklich notwendig sei. "Privatsphäre muss einfach und unkompliziert geschützt werden können."
Für die Politische Geschäftsführerin der Piratenpartei, Katharina Nocun, ist Verschlüsselung hingegen bereits Alltag. "Es gibt Dinge, die würde ich auch auf Postkarten schreiben. Für alles andere nutze ich Verschlüsselung" , sagte sie Golem.de. Seit Prism sei der Anteil verschlüsselter Mails bei ihr deutlich angestiegen. "Vor allem Bürgerrechtler greifen jetzt häufiger zur Verschlüsselung" , sagte sie weiter. Nach Ansicht des Grünen-Politikers Konstantin von Notz sollte dieser Aufwand aber nicht für alle Bürger erforderlich sein. "Das ist so, als wenn Sie den Leuten sagen: Es ist giftiges Fleisch im Umlauf, aber ihr habt ja gute Testgeräte, mit denen ihr vorher die Nahrung testen könnt." Das sei alles andere als verbraucherfreundlich und werde ohnehin von 95 Prozent der Nutzer nicht angenommen.
Selbst der Minister kann nicht verschlüsseln
Der Anteil der Verschlüsselungsmuffel unter den Abgeordneten ist dabei noch recht hoch. Einer Umfrage der Frankfurter Allgemeinen Zeitung zufolge(öffnet im neuen Fenster) wollen 13 Prozent der Parlamentarier ihre Mails in Zukunft verschlüsseln. 72 Prozent gaben demnach an, E-Mails, die sie in ihrer Mandatsausübung versenden, nie zu verschlüsseln. 39 Prozent wollen an dieser Praxis trotz der aktuellen Debatte festhalten. An der Umfrage beteiligten sich 126 der 620 Abgeordneten.
Kein gutes Vorbild für die Verschlüsselung ist derzeit auch Innenminister Hans-Peter Friedrich (CSU). Laut FAZ kann der Minister verschlüsselte Anfragen von Bürgern nicht verschlüsselt beantworten. Erst nächstes Jahr werde das Ministerium auch per De-Mail erreichbar sein. Doch gerade das De-Mail-Verfahren steht bei Sicherheitsexperten in der Kritik, da es keine Ende-zu-Ende-Verschlüsselung bietet. Das ist wie Safer Sex mit löchrigen Kondomen.
Nachtrag vom 14. August 2013, 15:00 Uhr
Auf Nachfrage teilte das Innenministerium mit, für die verschlüsselte Kommunikation mit Bürgern auf seiner Website zwei Kontaktformulare(öffnet im neuen Fenster) anzubieten, die die Kommunikation mit HTTPS verschlüsselten. Auf die Einführung zertifikatsbasierter E-Mail-Verschlüsselung habe das Bundesinnenministerium bislang "aufgrund der damit verbundenen organisatorischen Implikationen, zum Beispiel im Zusammenhang mit der Integration und dem Betrieb einer geeigneten Public-Key-Infrastruktur, verzichtet."