Wir von WIRED schreiben häufig über Privatsphäre im Netz. Ständig versuchen wir anhand von neuen Projekten, Forschungsergebnissen und Unternehmensideen zu zeigen: Ja, es gibt Gefahren. Aber genauso: Ja, man kann sich schützen. Eins der wichtigsten Themen in diesem Bereich ist ohne Zweifel das Verschlüsseln von Nachrichten.
Dennoch haben im vergangenen Jahr nur 15 Prozent der deutschen Internetnutzer ihre E-Mails mit gängigen Verfahren wie Pretty Good Privacy (PGP) verschlüsselt. Die Technik ist zu kompliziert und ihr Nutzen bleibt für den Bruttonormal-User meist unersichtlich. Egal wie viele Überwachungsskandale es auch gibt, Faulheit und Resignation siegen.
Deswegen ist es wichtig, dass Deutschlands größter Telekommunikations-Anbieter nun eine Software auf den Markt bringt, die es spielend einfach machen soll, Nachrichten zu verschlüsseln. Man muss das Programm installieren, es stellt automatisch die Verbindung zum Mail-Client her, nutzt im Hintergrund das kompliziert klingende Verschlüsselungs-Zertifikat S09 und vor dem Bildschirm muss der User nur einen Knopf drücken: fertig. Ja, sie ist wirklich eine gute Idee mit schrecklichem Namen, diese „Volksverschlüsselung“ von Telekom und Fraunhofer-Institut für sichere Informationstechnologie (SIT). Doch sie hat noch einen weiten Weg vor sich.
„Man könnte eher von einer ‚Volksverschlüsselung to be‘ sprechen“, sagt Klaus Schmeh gegenüber WIRED. Der Informatiker und Buchautor mit Schwerpunkt IT-Sicherheit und Verschlüsselung begleitet die Entwicklung dieser Technologie seit Langem. „Sie ist seit über 20 Jahren ein Sorgenkind“, bilanziert er.
+++ Mehr von WIRED täglich ins Postfach? Hier für den Newsletter anmelden +++
Die „Volksverschlüsselung“ könnte das zwar ändern, aber sie habe einige Probleme: Zum einen läuft das Programm des Fraunhofer Instituts im Moment nur auf Windows-Rechnern und schließt damit etwa Linux und Mac-Nutzer aus. Zweitens nutzt die Software ein Zertifikat zur Verschlüsselung, das vor allem Unternehmen und Behörden verwenden. Nutzer von anderen Standards wie PGP verschlüsseln anders und können, bisher zumindest, noch nicht bei der „Volksverschlüsselung“ mitmachen.
Dazu kommt die Sache mit der Registrierung: Nur wer sich mit seinem elektronischen Personalausweis anmeldet, kann die „Volksverschlüsselung“ nutzen. Telekom-Kunden können sich alternativ mit ihrer Festnetznummer registrieren. Jedes so aufgenommene Zertfikat (der so genannte Public Key) wird veröffentlicht. Wer angemeldet ist, steht mit seinem Namen also quasi zwangsweise in einer Art Telefonbuch. Jeder, der eine bestimmte E-Mail-Adresse kennt, kann über die Online-Abfrage herausfinden, wem sie gehört.
Gut ist, dass der Quellcode des neuen Programms für alle einsehbar ist. „Wir wollen allen Interessierten freie Einsicht in den Source Code ermöglichen. So können sich auch Experten selbst davon überzeugen, dass keine Hintertüren (Backdoors) in der Software existieren“, schreibt das SIT. Die Message: Vertraut uns, das Ganze ist wirklich sicher.
Sebastian Grüner von Golem kritisiert allerdings, dass der Code nicht wirklich offen ist und zum Beispiel externe Sicherheitsexperten Lücken nicht ohne Weiteres schließen können. „Vielmehr müssten die Entwickler des SIT den Patch (des Experten) nachbauen – und zwar ohne die Urheberrechte des externen Forschers zu verletzen“, schreibt Grüner.
Die Leute sind schnell abgeschreckt. Jede Fehlermeldung, jede Aktion muss stimmen, sonst schalten sie wieder ab.
Anmeldung nur mit Ausweis, begrenzte Zielgruppe mit Windows-Rechnern, Ausschluss anderer Zertifikate und zähe Fehlerbehebung: Das alles sind Probleme, denen sich das Projekt „Volksverschlüsselung“ stellen muss. „Das Problem ist, dass Leute schnell abgeschreckt sind. Jede Fehlermeldung, jede Aktion muss stimmen, sonst schalten die Leute wieder ab“, sagt Klaus Schmeh.
Weil zu einem Verschlüsselungsvorgang aber immer zwei Menschen gehören, der Sender und der Empfänger einer Mail, ist es essenziell, dass möglichst viele mitmachen, damit das Ganze wirklich zu einer fächendeckenden „Volksverschlüsselung“ wird. Schmeh ist jedoch zuversichtlich, dass die Telekom und das SIT die aktuellen Probleme in den Griff bekommen werden.
Wir wünschen jedenfalls viel Glück und regen noch mal eine Namensänderung an.
