De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP

Was lange kritisiert wurde, wird nun umgesetzt: Ab April sollen die De-Mail-Kunden der deutschen Telekom, Francotyp-Postalia und United Internet (1 und 1, Web.de, GMX.de) ein Plugin installieren und ihre Dokumente auf dem Transportweg zu Behörden und Unternehmen vom Sender bis zum Empfänger verschlüsseln können. Dies war bereits mit x.509-Zertifikaten (S/Mime) möglich, aber zu kompliziert. Ein Plugin soll nun dafür sorgen, dass PGP zum De-Mail-Standard wird.

Um die schwächelnde De-Mail noch attraktiver zu machen, soll zudem das vorgeschriebene Verfahren der Erst-Identifikation eines künftigen De-Mail-Nutzers vereinfacht werden: Wer bereits ein Verfahren zum Online-Banking nutzt, meldet sich über seine Bank an, die ihn sicher identifiziert hat. Dabei werden allerdings keine Gutscheine vergeben.

Plugin als Open Source

In den Räumen der Telekom-Repräsentanz demonstrierte die Arbeitsgemeinschaft De-Mail das neu entwickelte Plugin. Es soll als Open Source veröffentlicht werden, denn alle Beteiligten kennen die Kritik der netzaktiven Szene an De-Mail. Es soll deutlich gemacht werden, dass keine Hintertüren existieren, wie dies von der sonst obligaten "kurzzeitigen Virenkontrolle" vermutet wird, die bei den De-Mail-Anbietern stattfindet. Bei allen De-Mail-Anbietern soll es kostenlos sein, die PGP-Option zu nutzen.

Wer sich wie üblich bei De-Mail anmeldet, wird ab April auf die PGP-Verschlüsselung hingewiesen. Wenn sie aktiviert werden soll, muss sich der De-Mail-Nutzer auf das Sicherheitsniveau "hoch" begeben, also zusätzlich eine mTAN oder die eID des neuen Personalausweises einsetzen. Erst danach wird das Plugin installiert, ein zusätzliches Passwort vergeben und der geheime wie der öffentliche Schlüssel auf dem Rechner des Nutzers kreiert. Dann wird der Nutzer gefragt, ob er alle Personen in seinem privaten De-Mail-Adressbuch einladen möchte, künftig PGP zu benutzen. Wird dies bejaht, erscheint bei diesen Personen beim nächsten Login ins System die De-Mail-Installationsprozedur.

Einen Wermutstropfen gibt es noch: Der öffentliche Schlüssel soll nicht im allgemeinen Verzeichnis der De-Mail-Nutzer abgelegt werden können, das somit die Funktion eines Keyservers übernehmen kann. Diese Funktion ist anders als ein Browser-Plugin ein tiefer Eingriff ins De-Mail-System und muss daher vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft werden. Dies kann vier bis fünf Monate dauern.

Beweislastumkehr

Stefan Paris von der Unterabteilung Cyber-Abwehr des Bundesinnenministeriums begrüßte den Schritt der De-Mail-Anbieter. In seinem Hause schlügen zwei Herzen, eines für die Sicherheit der Kommunikation und eines für den Bürgerschutz. "Der Bürgerschutz darf nicht erreicht werden, indem das Sicherheitsniveaus herabsinkt. Wir setzen da auf die Quellen-TKÜ", für die das Bundeskriminalamt wie der Verfassungsschutz künftig probate Verfahren in petto hätten.

Dirk Backofen vom Geschäftskunden-Bereich der Deutschen Telekom ergänzte mit dem Hinweis, dass die PGP-Option eine Art Beweislastumkehr produziere: "Die Prüfung auf Viren ist dann nicht mehr möglich. Verschlüsselt ist verschlüsselt." Backofen betonte den hohen Sicherheitsstandard, den De-Mail von Haus aus auch ohne Ende-zu-Ende verwirklicht habe.

Hans Szymanski, CEO des Frankierspezialisten Francotyp-Postalia unterstrich das Sparpotenzial von De-Mail angesichts der 16 Milliarden Papierbriefe, die in Deutschland jährlich verschickt werden. Er verwies auf das Beispiel der Deutschen Rentenversicherung, bislang größter Anbieter im De-Mail-System und freute sich darüber, dass die Bundesagentur für Arbeit den De-Mail-Kommunikationskanal eröffnet hat. Leslie Romeo von United Internet stellte das Plugin und die Schlüsselverwaltung mit dem Webinterface von GMX vor. Die Deutsche Telekom zeigte, wie Kaufverträge als Anhänge mit einer verschlüsselten De-Mail rechtssicher versendet werden können.

Offen ist noch, in welchem Ausmaß sich Behörden für die Verschlüsselungsoption erwärmen und ihre öffentlichen Schlüssel zur sicheren Kommunikation im System publizieren. (anw)