Initiative der Telekom Die drei Haken der "Volksverschlüsselung"

Vergleichsweise simpel und sicher: Die "Volksverschlüsselung" für E-Mails klingt nach tollem Service für Sicherheitsbewusste. Doch das neue Angebot eines Fraunhofer-Institutes und der Telekom hat Haken.

Telekom-Verschlüsselung

Telekom-Verschlüsselung

Von


Über den Namen "Volksverschlüsselung" kann man zweifellos streiten, aber an sich ist das Projekt des Frauhofer-Instituts für Sicherheit in der Informationstechnik und der Telekomeine gute Idee: Die Partner wollen echte Ende-zu-Ende-E-Mail-Verschlüsselung so einfach machen, dass sie wirklich jeder nutzen kann. Denn eine unverschlüsselte E-Mail ist bekanntlich ähnlich sicher vor neugierigen Blicken wie eine Postkarte.

Die S/Mime-Verschlüsselung, die das Fraunhofer-Institut und die Telekom implementiert haben, gilt als ähnlich sicher wie die bewährte, quelloffene Lösung PGP/GPG. Auch das Fraunhofer-Institut will Einblicke in den Code ermöglichen, was für Vertrauen sorgen sollte.

Die Installation der notwendigen Software auf dem heimischen Rechner ist so einfach wie die eines Virenschutzprogramms, zu allen gängigen Browsertypen und den wichtigsten E-Mail-Programmen soll die "Volksverschlüsselung" automatisch Kontakt herstellen, alles andere passiert dann im Hintergrund. Das alles klingt toll.

Fotostrecke

5  Bilder
"Volksverschlüsselung": Versuch einer Einrichtung

Nur Windows, nur PC, nur Telekom

Dann aber wird schon der erste Haken sichtbar: "Gängige Browsertypen" und "wichtigste E-Mail-Programme" bezieht sich ausschließlich auf Windows-Rechner. Für Linux und Apple-Computer ist die "Volksverschlüsselung" derzeit nicht verfügbar. Das mit dem Verschlüsseln und Entschlüsseln von E-Mails klappt aber nur, wenn beide mitmachen. Aber wer weiß schon sicher, ob der Angeschriebene einen Windows-PC oder einen Mac benutzt?

Sicher, Windows ist noch immer unangefochtener Marktführer, doch weltweit kommt Apples OS X auf einen Marktanteil von neun bis zehn Prozent, was die tatsächliche Internetnutzung angeht, Linux immerhin auf zwischen einem und zwei Prozent. Auf Smartphones lässt sich die "Volksverschlüsselung" derzeit noch gar nicht einsetzen. Auch das soll folgen.

Auf Anfrage heißt es, theoretisch sei es auch per Mac möglich, per virtueller Windows-Maschine ein Volksverschlüssler-Zertifikat zu erstellen, das sich anschließend exportieren und auch unter OS X nutzen lässt - dieser Weg sei aber umständlich. Im Prinzip wird OS-X-Nutzern also empfohlen, auf eine Version für Macs zu warten.

Einmal Ihren Ausweis, bitte

Der zweite, noch größere Haken der "Volksverschlüsselung" liegt in der Tatsache begründet, dass es die Beteiligten besonders gut meinten: Die für den Verschlüsselungsprozess notwendigen Zertifikate bekommt man vom Fraunhofer-Institut - aber nur dann, wenn man sich dort auch namentlich ausweist.

Das geht derzeit entweder, indem man seinen Telekom-Festnetzanschluss angibt, im direkten Kontakt, etwa bei einer Fachmesse, oder indem man einen der neuen computerlesbaren Personalausweise samt Internet-Terminal einsetzt. Das macht aber hierzulande kaum jemand. Gängige Verfahren wie der Deutsche-Post-Service Postident sollen folgen, sind aber zum Start nicht verfügbar.

Im Klartext: Spontan ohne allzu große Hürden machbar ist die Einrichtung derzeit praktisch nur für Telekom-Festnetzkunden.

Anonymität? Ganz sicher nicht.

Die Ausweispflicht, die unter bestimmten Gesichtspunkten durchaus Sinn hat, erzeugt ein weiteres Problem: Die öffentlichen Zertifikate aller Volksverschlüssler sollen standardmäßig veröffentlicht werden. Sie aber enthalten den vollen Namen des jeweiligen Nutzers, und zwar, dank Ausweispflicht, praktisch garantiert den echten. Wer eine E-Mail-Adresse mit "Volksverschlüsselung" kennt, kann über die Online-Abfrage herausfinden, zu wem sie gehört.

Anonyme E-Mails kann man volksverschlüsselt also nicht verschicken. Und weil die Metadaten eines jeden E-Mail-Austausches, auch wenn die Mails selbst verschlüsselt werden, stets einsehbar bleiben, hat das gravierende Auswirkungen: Wer an der richtigen Stelle sitzt - etwa beim Provider oder bei einem Geheimdienst mit entsprechenden Zugriffsrechten - der könnte vollständige Kommunikationsdiagramme aller Volksverschlüssler erstellen, und zwar mit Klarnamen. Metadaten aber sind, etwa für Geheimdienste, bekanntlich enorm wertvolle Informationsquellen.

Fazit

Die "Volksverschlüsselung" ist an sich eine gute Idee, aber die derzeitige Umsetzung wird verhindern, dass sie sich wirklich durchsetzt. Für Menschen, die sich Sorgen um geheimdienstliche Überwachung machen, ist sie sogar kontraproduktiv, denn jede volksverschlüsselte E-Mail ist ihrem Absender so eindeutig zuzuordnen wie ein Brief mit Adressaufkleber.



insgesamt 33 Beiträge
Alle Kommentare öffnen
Seite 1
crossbow17 29.06.2016
1. Das wird vermutlich eine ähnliche Erfolgsgeschichte
wie de-Post und die lebenslange email-Adresse. Dann man zu.
new_eagle 29.06.2016
2. Wer wirklich sicher verschlüsseln will nimmt GnuPG
das funktioniert auf allen PC-Betriebssystemen (also auch MacOS und Linux) und auch unter Android (z.B. mit K-9 Mail). Alle notwendigen Zertifikate erstellt am selbst und muss niemandem einen Auweis vorlegen. Letztlich ist der Aufwand für die Installation und Inbetriebnahme somit geringer als bei dieser neuen "Volksverschlüsselung". Mein Verdacht: die Ausweispflicht ist wohl ein Wunsch des BND und der NSA, die dann immerhin sicher wissenw er wann mit wem eMails ausgetauscht hat.
usaki 29.06.2016
3. Da hat der wer Zertifikate nicht verstanden...
Bei jedem Zertifikat, in diesem Fall ein Softtoken, erfolgt immer eine Identifizierung. Das schreibt das deutsche Signaturgesetz vor. Und eine Veröffentlichung im LDAP (Telefonbuch für Zertifikate) ist erforderlich damit mein Gegenüber die Gültigkeit meines Zertifikates prüfen kann. Vielleicht sollte man sich mit der Materie vertraut machen, bevor man so einen Unsinn schreibt. Ein Brief ist immer noch besser als eine Postkarte.
Putin-Troll 29.06.2016
4. Klarnamen
Super, also mal wieder ein echtes Trojanisches Pferd, dass uns da untergeschoben werden soll.
stefan.putt 29.06.2016
5.
Sicher ist trotzdem nichts.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.