PC-Nutzer (Symbolbild): Immer mehr PGP-Schlüssel
Foto: KACPER PEMPEL/ REUTERSIn den Vereinigten Staaten haben zwei Unternehmen ihre verschlüsselten E-Mail-Dienste eingestellt. Die Firmengründer von Lavabit und Silent Circle begründen ihre Entscheidung mit der Bedrohung durch US-Nachrichtendienste. Lavabit-Chef Ladar Levison schreibt, er sei gezwungen, "entweder mitschuldig an Verbrechen gegen das amerikanische Volk zu werden oder zehn Jahre harte Arbeit aufzugeben und Lavabit zu schließen". Ende Juli hatte Lavabit 406.000 registrierte Nutzer.
Auf Wunsch hat Lavabit die auf seinen Servern gespeicherten Kopien der E-Mails von zahlenden Kunden verschlüsselt. Die Firma versprach, sie könnte diese Kopien selbst nicht entschlüsseln, das sei allein den Anwendern möglich.
NSA-Enthüller Edward Snowden soll den Dienst genutzt haben - das könnte einen Hinweis von Lavabit auf ein Geheimgerichtsverfahren erklären. Womöglich ordnete dieses Geheimgericht an, dass der Dienst die Zugangsdaten seiner Kunden zu den verschlüsselten E-Mail-Archiven herausgeben muss.
E-Mail-Dienste wie Lavabit sind für Überwacher ein attraktives Ziel, weil hier schlimmstenfalls zentral die gesamte Kommunikation einer Zielperson gespeichert ist. Darüber hinaus können bei E-Mail-Diensten auch Protokolldateien darüber Auskunft geben, von welchen IP-Adressen aus und zu welchen Zeiten E-Mail-Konten abgerufen worden sind.
E-Mail-Dienst anonym per Bargeld bezahlen
Wer besorgt über Zugriffe von US-Nachrichtendiensten auf diese Daten auf den Servern von E-Mail-Anbietern ist, sollte zu einem europäischen Anbieter wechseln.
Beim deutschen Anbieter Posteo kann man beispielsweise einen Account anonym per Bargeld bezahlen, man kann E-Mail-Konten ohne Angabe persönlicher Daten führen. Der norwegische Anbieter Runbox betont, dass er nach norwegischem Recht keine Log-Dateien speichern muss und persönliche Informationen über Nutzer nur preisgeben darf, wenn ein norwegisches Gericht das anordnet.
Natürlich könnten sich nationale Sicherheitsbehörden auch bei diesen Anbietern Zugang verschaffen, wenn auch unter deutlich rechtsstaatlichen Verfahren und nicht unter einem lediglich rechtstaatlich wirkenden Verfahren wie in den USA.
Wer die Inhalte seiner Kommunikation geheimhalten will, kommt nicht daran vorbei, sie auf dem eigenen Rechner zu verschlüsseln. Und zwar bevor die Texte auf den Server eines Anbieters übertragen werden - sprich: im Editor schreiben und verschlüsseln, dann ins E-Mail-Programm kopieren.
Wie man E-Mails mit dem PGP-Standard (Pretty Good Privacy) verschlüsselt, beschreibt unsere Anleitung.
Anzahl veröffentlichter PGP-Schlüssel steigt
Nach den Snowden-Enthüllungen der totalen Internetüberwachung durch US-Nachrichtendienste ist das Interesse an PGP stark gestiegen. Seit den ersten Veröffentlichungen der Snowden-Dokumente steigt die Anzahl neu hochgeladener PGP-Schlüssel auf den Schlüsselservern, das zeigen Statistiken der SKS-Keyserver. Seit Anfang Juni hat sich die Anzahl täglich neu veröffentlichter Schlüssel auf rund 1200 um Schnitt verdoppelt. Im selben Zeitraum 2012 war keine Veränderung zu sehen, es kamen täglich um die 420 neue Schlüssel hinzu. Insgesamt sind auf den SKS-Keyservern derzeit mehr als 3,3 Millionen öffentliche Schlüssel gespeichert.
Zwischen dem 1. Juni und 8. August 2012 wurden 28.733 neue Schlüssel auf die SKS-Server geladen, im selben Zeitraum 2013 waren es 82.041 Schlüssel - fast dreimal so viele.
SKS-Server: Neu hochgeladene PGP-Schlüssel 1/2013 bis 8/2013
Foto: Konrad Lischka
SKS-Server: Neu hochgeladene PGP-Schlüssel 1/2012 bis 8/2012
Foto: Konrad LischkaSPIEGEL+-Zugang wird gerade auf einem anderen Gerät genutzt
SPIEGEL+ kann nur auf einem Gerät zur selben Zeit genutzt werden.
Klicken Sie auf den Button, spielen wir den Hinweis auf dem anderen Gerät aus und Sie können SPIEGEL+ weiter nutzen.
E-Mail-Verschlüsselung: Mit vielen Mail-Programmen - auch auf Apple- und selbstverständlich auf Linux-Rechnern - lässt sich die eigene Korrespondenz verschlüsseln. Wir zeigen, wie das geht, hier am Beispiel eines Windows-Rechners mit dem kostenlosen E-Mail-Client Thunderbird von den Firefox-Machern, der Mozilla Foundation.
Schritt 1: Installieren Sie das E-Mail-Programm Thunderbird und führen Sie die notwendigen Einstellungen zum Empfang von Nachrichten durch. Die meisten Webmail-Anbieter bieten dazu einen IMAP- und SMTP-Service an, über die Sie E-Mails empfangen und senden können. Verschlüsselte Nachrichten können nur Text und keine HTML-Auszeichnungen enthalten. Um den Versand von HTML zu deaktivieren, wählen Sie im Menü "Einstellungen > Konten-Einstellungen" ihren E-Mail-Account aus. Dort können Sie unter dem Menüpunkt "Verfassen & Adressieren" die Option "Nachrichten im HTML-Format verfassen" deaktivieren.
Schritt 2: Bevor Sie die Nachrichten-Verschlüsselung aktivieren können, müssen Sie das Hilfsprogramm Gnu Privacy Guard (GnuPG) installieren. GnuPG übernimmt im Hintergrund die eigentliche Verschlüsselung für Thunderbird. Eine Installationsdatei für Windows finden Sie auf der Webseite GPGWin, eine Mac-Version ist unter GPGTools verfügbar. Installieren Sie GPGWin auf ihrem Computer, die Anweisungen zum Einrichten von Wurzelzertifikaten können Sie überspringen.
Schritt 3: Im nächsten Schritt wählen Sie im Hauptmenü die Option "Add-ons" aus, um das Enigmail-Add-on zu installieren.
Schritt 4: Enigmail erweitert Thunderbird um die notwendigen Funktionen zur sicheren Kommunikation. Im Add-on-Manager können Sie nach Enigmail suchen. Nach der Installation müssen Sie Thunderbird neu starten.
Schritt 5: Wenn das Add-on erfolgreich installiert wurde, taucht nach dem Neustart im Thunderbird-Menü eine "OpenPGP"-Option auf. Als nächstes müssen Sie die Schlüssel zum Chiffrieren und Dechiffrieren von Nachrichten anlegen. Enigmail verwendet dabei zwei unterschiedliche Schlüssel: Der öffentliche Schlüssel dient zum Verschlüsseln von Botschaften, diese Datei können Sie später an Kollegen und Freunde weitergeben, die Ihnen sicher Nachrichten senden sollen. Der private Schlüssel hat die umgekehrte Funktion, er dient zur Entschlüsselung von E-Mails. Diesen Schlüssel müssen Sie vor fremdem Zugriff schützen: Bewahren Sie ihn sicher auf und geben Sie ihn niemals an andere weiter.
Schritt 6: Wählen Sie dazu zunächst die E-Mail-Adresse aus, für die der Schlüssel gelten soll. Anschließend sollten Sie eine Passphrase festlegen, also ein Kennwort, das ihren Schlüssel vor fremden Zugriff schützt. Im Untermenü "Erweitert" können Sie zudem die Stärke des Schlüssels festlegen. Wählen Sie "4096 Bit", um den Großcomputern der NSA ein wenig zusätzliche Arbeit zu machen. Nach derzeitigem Kenntnisstand sollte sich dieser Schlüssel auch mit den mächtigsten momentan verfügbaren Rechnern in Ihrer Lebenszeit nicht knacken lassen.
Schritt 7:
Nachdem der Schlüssel generiert wurde, werden Sie aufgefordert, ein Wiederrufszertifikat anzulegen. Dieses Zertifikat sollten Sie an einem sicheren Ort (z.B. auf einem USB-Stick in Ihrer Wohnung) aufbewahren. Falls Sie ihrem Schlüssel zu einem späteren Zeitpunkt nicht mehr vertrauen können - zum Beispiel weil Ihr privater Schlüssel anderen bekannt geworden ist - können Sie das Schlüsselpaar jederzeit mit dem Zertifikat für ungültig erklären.
Über den Menüpunkt "OpenPGP-> Schlüssel verwalten -> Datei -> exportieren" können Sie eine Textdatei mit Ihrem öffentlichen und Ihrem privaten Schlüssel anlegen. Speichern Sie sie an einem sicheren Ort, am besten auf einem USB-Stick, den sie wiederum an einem sicheren Ort aufbewahren.
Schritt 8: Ihr Thunderbird ist nun so eingerichtet, dass Sie Nachrichten verschlüsselt empfangen und versenden können. Dazu brauchen Sie den öffentlichen Schlüssel des Nachrichtenempfängers. Falls Sie vorerst keinen passenden Partner zum Austausch verschlüsselter Mails haben, gibt es einen freundlichen E-Mail-Roboter, an dem Sie Ihre neugewonnenen Kryptografie-Fähigkeiten ausprobieren können.
Schritt 9: Um die Software zu testen, können Sie den Krypto-Mail-Roboter "Adele" nutzen. Der Dienst antwortet auf verschlüsselte E-Mails und prüft, ob die Nachricht korrekt gesichert wurde. Um mit "Adele" zu kommunizieren, können Sie in der Schlüsselverwaltung unter dem Menüpunkt "Schlüssel-Server > Schlüssel suchen..." die öffentliche Kennung des Testdienstes herunterladen. Dazu suchen Sie nach dem Begirff "adele-de@gnupp.de" und importieren den erscheinenden Eintrag. Schlüssel-Server sind Verzeichnisse öffentlicher Schlüssel, eine Art Krypto-Adressbuch. Im gleichen Menü können Sie auch Ihre eigene Kennung für andere bereitstellen. Das ist nicht gefährlich: Wer Ihren öffentlichen Schlüssel hat, kann Ihnen nur E-Mails schicken, zum Entschlüsseln bräuchte er Ihren privaten Schlüssel. Allerdings wird Ihre E-Mail auf einem Schlüsselserver für jedermann einsehbar - auch für Spam-Roboter.
Schritt 10:
Nun haben Sie "Adeles" Schlüssel Ihrem privaten Schlüsselbund hinzugefügt. Der wird später die öffentlichen Schlüssel all Ihrer Kontakte enthalten.
Nun sollten Sie dem Dienst eine E-Mail schicken, an die Ihr öffentlicher Schlüssel angehängt ist. So kann "Adele" Ihnen mit einer verschlüsselten Nachricht antworten. Dazu wählen Sie in der Schlüsselverwaltung Ihren eigenen Schlüssel aus und wählen im Kontextmenü (rechte Maustaste) die Option
"Öffentliche Schlüssel per E-Mail senden".
Schritt 11: Anschließend können Sie "Adele" eine Nachricht an adele-de@gnupp.de schicken. Nachdem Sie einen kurzen Text eingegeben haben, wählen Sie in der Menüleiste die Option "OpenPGP > Nachricht verschlüsseln" aus. Ihre Nachricht hat einen Anhang, der Ihren öffentlichen Schlüssel enthält.
Schritt 12: Nach einigen Minuten sollten Sie eine Antwort von "Adele" erhalten. Wenn alles geklappt hat, dann enthält die Antwort den Text Ihrer ursprünglichen Botschaft. Ein kleines Schloss deutet an, dass Sie einen sicheren Kommunikationsweg hergestellt haben. Falls Sie bei der Installation Probleme hatten, lohnt der Blick in die Hilfeseiten der deutschen Thundebird-Nutzergruppe.
Rundruf: Wenn Sie mit Ihren Freunden, Verwandten, Bekannten und Kollegen nun bevorzugt verschlüsselt E-Mails austauschen wollen, sollten Sie einen Aufruf zum Schlüsseltausch starten. Am besten fügen Sie einen Weblink zu dieser Anleitung bei, falls Ihre Kommunikationspartner Ihre E-Mails bislang nicht verschlüsseln.
Melden Sie sich an und diskutieren Sie mit
Anmelden
