Kommentar: Weg mit PGP, her mit alltagstauglicher Mail-VerschlĂĽsselung

E-Mail, das wichtigste private Kommunikationswerkzeug im Internet, ist kaputt – und keiner regt sich darüber auf. Und auch PGP ist da keine Hilfe, findet Herbert Braun.

In Pocket speichern vorlesen Druckansicht 1441 Kommentare lesen
GnuPG

(Bild: pixabay.com)

Lesezeit: 5 Min.
Von
  • Herbert Braun
Inhaltsverzeichnis

"Ah, danke für deine Mail. Aber kannst du sie mir nochmal unverschlüsselt senden?" Wer PGP benutzt, kennt diese Reaktion. Das Gegenüber hat Enigmail noch nicht eingerichtet. Oder den Schlüssel irgendwann mal angelegt und nie benutzt. Oder ruft die Mails von einem Webmailer oder Smartphone ab (ja, ich weiß, das kann man lösen) .

Diese Antwort habe ich in den letzten paar Wochen von vier verschiedenen Kontakten bekommen. Ich selbst habe auch schon solche Mails geschrieben: als jemand einen uralten Key auf einem Schlüsselserver fand und als ich mir meinen letzten Rechner gekauft habe und nach drei, vier Monaten tatsächlich eine verschlüsselte Nachricht im Posteingang fand.

Ich kann solche Probleme lösen, ebenso wie meine Kontakte (zwei von ihnen Programmierer, einer c't-Redakteur), und Sie wahrscheinlich auch. Aber damit gehören wir zu einer Minderheit. Und dass wir es können, heißt noch lange nicht, dass wir auch genügend Sinn darin sehen, uns dem zu unterziehen.

Ein Kommentar von Herbert Braun

Herbert Braun ist Webentwickler und hat 2004 bei der c't angeheuert, wo er sich als Redakteur um Webtechniken, Browser und Online-Trends gekĂĽmmert hat. 2013 verlieĂź er schweren Herzens (aber auf eigenen Wunsch) die Redaktion, um sich von Berlin aus als freier Autor und Webentwickler durchzuschlagen.

Derzeit bekomme ich schätzungsweise zwei verschlüsselte Mails pro Monat, überwiegend von c't-Redakteuren – und ich bewege mich in einem technik- und datenschutzaffinen Umfeld. PGP hatte über 20 Jahre Zeit, die Öffentlichkeit zu überzeugen, und ist damit gescheitert. Aus technischer Sicht mag es großartig sein, und wenn Sie Edward Snowden sind oder ein CEO, der eine feindliche Übernahme vorbereitet, werden Sie dankbar sein, dass PGP existiert.

Nur: Verschlüsselung ist kein optionales Feature für Geheimnisträger und Datenschutz-Idealisten. Wenn ich meiner Frau "Bin gleich da, brauchen wir Milch?" per WhatsApp aus der U-Bahn schreibe, ist das Ende-zu-Ende-verschlüsselt, ohne dass es mir irgendeine Anstrengung abverlangt. Diese Webseite, in der Sie diesen Text lesen, ist verschlüsselt – ebenso wie sämtliche Inhalte von zirka 20 anderen Domains, die bei ihrem Aufruf angefordert werden.

Wenn ich dagegen meinem Steuerberater schreibe, weiß ich nicht, wer mitlesen kann: STARTTLS verschlüsselt auf dem Weg zu meinem Mail-Provider, aber alles weitere liegt nicht in meiner Hand, und die SMTP-Server kriegen die Nachricht sowieso im Klartext. Niemand würde in einem unverschlüsselten Web-Shop einkaufen, aber die Mail mit der Rechnung lässt sich abfangen und manipulieren. Das Recycling-Unternehmen, das meine Papiertonne abholt, hätte das Formular für den Lastschrifteinzug gern per Fax. Und meine Arztpraxis darf mir meine eigenen Röntgenbilder nicht mailen, weil Mails so unsicher sind. Ich würde dieser Einschätzung gerne widersprechen können.

Ebenso wichtig wie Verschlüsselung wäre ein anderer Vorteil, den PGP verspricht: Authentifizierung. Eine Mail unter einer gefälschten Absenderadresse zu versenden, ist trivial. Hätten wir signierte Mails als allgemein üblichen Standard, wäre unser Spam-Problem wesentlich kleiner und die Chance größer, dass eine legitime Mail auch tatsächlich ankommt.

Dass es de facto keine sichere, robuste E-Mail für 99 Komma irgendwas Prozent der Internet-Nutzer gibt, ist ein anhaltender Skandal. Statt verschlüsselte und signierte Nachrichten für alle zu ermöglichen, flicken wir seit Jahrzehnten mit Spam-Filtern und anderen Notnägeln an der Fassade herum. Seit ich vor zehn Jahren über Spam schrieb, ist das Problem allenfalls größer geworden.

Für viele große Websites war es ein hartes und teures Stück Arbeit, alles auf HTTPS umzustellen – dennoch tun es immer mehr. Warum kriegen wir dieses Problem bei E-Mails nicht in den Griff? Warum probiert man es nicht einmal? Der Bedarf wäre doch noch größer. Aber E-Mail hat keine Lobby, denn die Internetriesen lancieren lieber eigene Kommunikationskanäle. Vielleicht hat auch all das "E-Mail ist tot"-Geschwafel Spuren hinterlassen – nur ist meine Inbox da anderer Meinung.

Es wäre eine Katastrophe, wenn alles über proprietäre Messenger-Inseln liefe. Das Internet unterliegt derzeit einer so starken Zentralisierung, dass wir die alten dezentralen Strukturen hegen und pflegen sollten. Stattdessen entstehen parallele Mail-Systeme – allein in Deutschland EGVP, beA und E-Postbrief. Ein Sonderfall ist De-Mail, der vielleicht ambitionierteste Versuch, E-Mail vor sich selbst zu retten. Die Kritik daran ist bedenkenswert, die Häme nicht.

Die perfekte Welt, in der alle mit PGP Ende-zu-Ende-verschlüsseln, wird es nicht geben. PGP macht Arbeit und nervt. Dagegen hat das System HTTPS Schwächen, und der Verschlüsselung in WhatsApp würde ich nicht vertrauen, wenn der Einsatz hoch wäre. Aber sie sorgen ganz von selbst für eine halbwegs sichere und zuverlässige Kommunikation. Hätten wir dieses Level an Verschlüsselung und Authentifizierung bei E-Mails, wäre schon viel gewonnen.

In meiner Timeline lese ich viel Empörung über dünne DSL-Leitungen, schlechte Mobilfunkversorgung und WLAN-Hänger. Ich wünsche mir, dass ein Bruchteil dieses Ärgers dafür übrig bleibt, dass ein Eckpfeiler der digitalen Kommunikation, den jeder im Internet benutzt, seit Jahrzehnten kaputt ist – damit wir ihn hoffentlich irgendwann reparieren können. Sicher ist nur: Diese Lösung wird nicht PGP sein.

Siehe dazu auch:

  • Lasst PGP sterben! – Editorial in c't 06/2015