Initiative der Telekom Die drei Haken der "Volksverschlüsselung"

Vergleichsweise simpel und sicher: Die "Volksverschlüsselung" für E-Mails klingt nach tollem Service für Sicherheitsbewusste. Doch das neue Angebot eines Fraunhofer-Institutes und der Telekom hat Haken.
Telekom-Verschlüsselung

Telekom-Verschlüsselung

Über den Namen "Volksverschlüsselung" kann man zweifellos streiten, aber an sich ist das Projekt des Frauhofer-Instituts für Sicherheit in der Informationstechnik und der Telekom eine gute Idee: Die Partner wollen echte Ende-zu-Ende-E-Mail-Verschlüsselung so einfach machen, dass sie wirklich jeder nutzen kann. Denn eine unverschlüsselte E-Mail ist bekanntlich ähnlich sicher vor neugierigen Blicken wie eine Postkarte.

Die S/Mime-Verschlüsselung, die das Fraunhofer-Institut und die Telekom implementiert haben, gilt als ähnlich sicher wie die bewährte, quelloffene Lösung PGP/GPG. Auch das Fraunhofer-Institut will Einblicke in den Code ermöglichen, was für Vertrauen sorgen sollte.

Die Installation der notwendigen Software auf dem heimischen Rechner ist so einfach wie die eines Virenschutzprogramms, zu allen gängigen Browsertypen und den wichtigsten E-Mail-Programmen soll die "Volksverschlüsselung" automatisch Kontakt herstellen, alles andere passiert dann im Hintergrund. Das alles klingt toll.

Fotostrecke

"Volksverschlüsselung": Versuch einer Einrichtung

Nur Windows, nur PC, nur Telekom

Dann aber wird schon der erste Haken sichtbar: "Gängige Browsertypen" und "wichtigste E-Mail-Programme" bezieht sich ausschließlich auf Windows-Rechner. Für Linux und Apple-Computer ist die "Volksverschlüsselung" derzeit nicht verfügbar. Das mit dem Verschlüsseln und Entschlüsseln von E-Mails klappt aber nur, wenn beide mitmachen. Aber wer weiß schon sicher, ob der Angeschriebene einen Windows-PC oder einen Mac benutzt?

Sicher, Windows ist noch immer unangefochtener Marktführer, doch weltweit kommt Apples OS X auf einen Marktanteil von neun bis zehn Prozent, was die tatsächliche Internetnutzung angeht, Linux immerhin auf zwischen einem und zwei Prozent. Auf Smartphones lässt sich die "Volksverschlüsselung" derzeit noch gar nicht einsetzen. Auch das soll folgen.

Auf Anfrage heißt es, theoretisch sei es auch per Mac möglich, per virtueller Windows-Maschine ein Volksverschlüssler-Zertifikat zu erstellen, das sich anschließend exportieren und auch unter OS X nutzen lässt - dieser Weg sei aber umständlich. Im Prinzip wird OS-X-Nutzern also empfohlen, auf eine Version für Macs zu warten.

Einmal Ihren Ausweis, bitte

Der zweite, noch größere Haken der "Volksverschlüsselung" liegt in der Tatsache begründet, dass es die Beteiligten besonders gut meinten: Die für den Verschlüsselungsprozess notwendigen Zertifikate bekommt man vom Fraunhofer-Institut - aber nur dann, wenn man sich dort auch namentlich ausweist.

Das geht derzeit entweder, indem man seinen Telekom-Festnetzanschluss angibt, im direkten Kontakt, etwa bei einer Fachmesse, oder indem man einen der neuen computerlesbaren Personalausweise samt Internet-Terminal einsetzt. Das macht aber hierzulande kaum jemand. Gängige Verfahren wie der Deutsche-Post-Service Postident sollen folgen, sind aber zum Start nicht verfügbar.

Im Klartext: Spontan ohne allzu große Hürden machbar ist die Einrichtung derzeit praktisch nur für Telekom-Festnetzkunden.

Anonymität? Ganz sicher nicht.

Die Ausweispflicht, die unter bestimmten Gesichtspunkten durchaus Sinn hat, erzeugt ein weiteres Problem: Die öffentlichen Zertifikate aller Volksverschlüssler sollen standardmäßig veröffentlicht werden. Sie aber enthalten den vollen Namen des jeweiligen Nutzers, und zwar, dank Ausweispflicht, praktisch garantiert den echten. Wer eine E-Mail-Adresse mit "Volksverschlüsselung" kennt, kann über die Online-Abfrage herausfinden, zu wem sie gehört.

Anonyme E-Mails kann man volksverschlüsselt also nicht verschicken. Und weil die Metadaten eines jeden E-Mail-Austausches, auch wenn die Mails selbst verschlüsselt werden, stets einsehbar bleiben, hat das gravierende Auswirkungen: Wer an der richtigen Stelle sitzt - etwa beim Provider oder bei einem Geheimdienst mit entsprechenden Zugriffsrechten - der könnte vollständige Kommunikationsdiagramme aller Volksverschlüssler erstellen, und zwar mit Klarnamen. Metadaten aber sind, etwa für Geheimdienste, bekanntlich enorm wertvolle Informationsquellen.

Fazit

Die "Volksverschlüsselung" ist an sich eine gute Idee, aber die derzeitige Umsetzung wird verhindern, dass sie sich wirklich durchsetzt. Für Menschen, die sich Sorgen um geheimdienstliche Überwachung machen, ist sie sogar kontraproduktiv, denn jede volksverschlüsselte E-Mail ist ihrem Absender so eindeutig zuzuordnen wie ein Brief mit Adressaufkleber.

Die Wiedergabe wurde unterbrochen.