Handelsblatt

MenüZurück
Wird geladen.

19.07.2013

13:46 Uhr

E-Mails sichern

„Verschlüsseln ist wie Rührei machen“

VonChristof Kerkmann

Kaum ein Internet-Nutzer verschlüsselt E-Mails. Die Ausrede lautet: zu schwierig. Dabei ist das kaum komplizierter als ein Rührei zum Frühstück. Hier erfahren Sie das Rezept zur Kryptografie – und was schiefgehen kann.

Nur etwas für Hacker? Vielen Nutzer trauen sich nicht zu, ihre E-Mails zu verschlüsseln. dpa

Nur etwas für Hacker? Vielen Nutzer trauen sich nicht zu, ihre E-Mails zu verschlüsseln.

KölnFragt man Internet-Nutzer, warum sie ihre E-Mails nicht verschlüsseln, hört man meistens zwei Begründungen. Erstens: Es ist zu kompliziert. Zweitens: Die anderen machen es auch nicht.

Jürgen Fricke will beides nicht gelten lassen. „Wenn man es einmal gelernt hat, ist Verschlüsseln so einfach wie Rührei machen“, sagt der Informatiker aus Köln. Wer die Eierspeise backen will, muss kein Meisterkoch sein, wer verschlüsseln will, kein Computerexperte. Und damit genügend Leute in der Lage sind, die E-Mails auch zu öffnen und zu beantworten, lädt er in seiner Firma Procube in Köln einmal im Monat zur Cryptoparty und zeigt, wie es geht.

Bislang traf sich ein kleiner Kreis. Doch seit immer mehr Details über das Bespitzelungsprogramm des US-Geheimdienstes bekannt werden, ist Jürgen Fricke zu einer Art Fernsehkoch geworden: RTL2 und das „Morgenmagazin“ sind da, außerdem zwei Radiojournalisten und ein Schreiber. Cryptopartys stehen für die schwer greifbare Empörung über Prism und Tempora.

Aber wie geht es? Handelsblatt Online hat sich das Rezept verraten lassen – mit vier Zutaten und zwei warnenden Zusätzen.

 

Zutaten

• Ein E-Mail-Konto

• Das E-Mail-Programm Thunderbird

• Die Thunderbird-Erweiterung Enigmail

• Das Verschlüsselungsprogramm GnuPG, das auf dem Programm PGP beruht.

Tatsächlich reichen diese Zutaten aus: Mit Thunderbird kann man die E-Mails seines Anbieters auf dem PC verwalten. Die Erweiterung Enigmail rüstet das Programm um eine Verschlüsselungsfunktion auf. Und GnuPGP erzeugt ein Schlüsselpaar. So ist es möglich, seine elektronische Post auf dem gesamten Weg verschlüsselt transportieren zu lassen – Ende-zu-Ende-Verschlüsselung nennen Experten das.

So funktioniert PGP

E-Mails sind unsicher

E-Mails sind wie Postkarten, die man mit einem Bleistift beschreibt: Auf dem Weg durchs Netz können sie gelesen und verändert werden. Das lässt sich verhindern, indem man die elektronische Kommunikation signiert und verschlüsselt.

PGP hilft beim Verschlüsselung

Ein beliebtes Programm zur Verschlüsselung von E-Mails ist PGP, die Abkürzung für „Pretty Good Privacy“ (deutsch: ziemlich gute Privatsphäre). Der Amerikaner Phil Zimmermann, ein Anti-Atom-Aktivist, entwickelte es 1991, um sicher mit seinen Mitstreitern zu kommunizieren. Die Grundlage von PGP war ein von Zimmermann selbst entworfener Krypto-Algorithmus mit heute noch schwer knackbaren 128-Bit-Schlüsseln. Er vereinfachte damit die asymmetrische Verschlüsselung so, dass auch Privatnutzer sie anwenden können. Der US-Regierung war das nicht geheuer, sie versuchte zunächst, die Verbreitung zu verhindern.

Symmetrisch vs. asymmetrisch

Bei symmetrischen Verschlüsselungsverfahren benutzen beide Seiten den gleichen Schlüssel. Bei asymmetrischen Verfahren wie PGP hat dagegen jeder Nutzer ein Schlüsselpaar, das aus einem geheimen und einem öffentlichen Teil besteht. Der Vorteil: So können Nutzer einander Mails schreiben, ohne sich vorher auf einen Schlüssel einigen müssen. Und sie haben keine Probleme bei Austausch des geheimen Codes.

Wie ein Vorhängeschloss

Der öffentliche Schlüssel eines Nutzers ist frei verfügbar, zum Beispiel auf einem Schlüssel-Server. Mit ihm werden Nachrichten chiffriert. Der Empfänger kann sie mit seinem privaten Schlüssel entziffern. Ein Vergleich: Die Nachricht (E-Mail) kommt in eine Truhe und wird mit einem öffentlich verfügbaren Schlüssel (Vorhängeschloss) gesichert, der Empfänger kann sie mit seinem privaten Schlüssel öffnen.

Alle Übertragungswege gesichert

PGP lässt sich nutzen, um sämtliche Übertragungswege zu sichern – Experten sprechen von einer Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass die E-Mails chiffriert auf dem Server des Anbieters liegen und erst auf dem Rechner des Nutzers dechiffriert werden.

Meta-Daten weiter bekannt

Wer eine verschlüsselte Nachricht abfängt, sieht nur Datensalat. Allerdings kann er immer noch feststellen, wer wem geschrieben hat.

Daten signieren

Mit einem PGP-Schlüssel können Nutzer auch Nachrichten signieren und so unerkannte Manipulationen des Textes verhindern. Das geschieht mit dem privaten Schlüssel – der Empfänger kann mit dem öffentlichen Schlüssel die Singnatur überprüfen.

Vorteil gegenüber der De-Mail

Auch die De-Mail wird als verschlüsselte Kommunikation beworben. Datenschützer kritisieren jedoch, dass die Nachrichten beim Dienstanbieter kurzzeitig entschlüsselt, auf Schadsoftware untersucht und dann wieder verschlüsselt werden. Bei sensiblen Inhalten wie Gesundheitsdaten müssten verantwortliche Stellen für eine Ende-zu-Ende-Verschlüsselung sorgen, forderte der Bundesdatenschutzbeauftragte Peter Schaar Ende 2011, als das De-Mail-Gesetz in Kraft trat.

Alle Programme sind Open Source, das heißt ihr Programmcode ist offen und damit für kundige Nutzer überprüfbar. Das ist wie ein strenges Bio-Siegel bei Lebensmitteln: „Weil viele Leute sich die Systeme anschauen, kann man davon ausgehen, dass keine Hintertürchen eingebaut sind“, sagt Jürgen Fricke. Er schwört auf offene Standards. Damit könne man auch ausschließen, dass es einen Generalschlüssel gebe – anders als bei geschlossenen Systemen. Es gibt auch andere Programme, mit denen man Mails verschlüsseln kann, Experten empfehlen aber diese drei.

Nach heutigem Ermessen sei eine mit PGP verschlüsselte Nachricht kaum zu knacken, betont Fricke: „Es würde Jahre dauern, alleine eine E-Mail zu entschlüsseln.“ Zumindest wenn der eigene Rechner sauber und das Passwort stark ist. Dazu später mehr.

Wer auch vom Smartphone geheime Nachrichten verschicken will, braucht allerdings noch ein paar Extras, für Android-Smartphones zum Beispieil das E-Mail-Programm K9 sowie das Verschlüsselungsprogramm APG. iPhone-Nutzer folgen am besten dieser detaillierten Anleitung.

Kommentare (30)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Wolfsfreund

19.07.2013, 14:03 Uhr

Das Problem ist nicht das Verschüsseln, das geht mit der genannten Kombination ratz fatz. Das Problem ist, die Mail-Empfänger zu überreden, ebenfalls auf Verschlüsselung zu setzen, und dafür sind die meisten leider zu bequem.

Account gelöscht!

19.07.2013, 14:08 Uhr

Das ist in der Tat ein wichtiges Problem. Vielleicht ist vielen Nutzern nicht bewusst, dass E-Mails so wenig geheim wie Postkarten sind. Wer vor der Technik zurückschreckt, bekommt jedenfalls bei Cryptopartys (und in diesem Artikel) das nötige Wissen vermittelt.

Haben Sie denn den Eindruck, dass sich das Bewusststein durch Prism und Tempora verändert?

wrsqprmpf

19.07.2013, 14:28 Uhr

Das Verschlüsseln verbirgt aber nicht die Information, wer mit wem wann kommuniziert. Nichts anderes speichert die Vorratsdatenspeicherung. Und das ist schon eine Menge.

Ergeben sich daraus Verdachtsmomente, wird auf dem Rechner des Verdächtigen eine Software installiert, die Tastatureingaben und Bildschirminhalte noch vor dem Verschlüsseln abzieht.

Sichere Kommunikation müßte also wie eine normale Nachricht aussehen, und nur dem Eingeweihten erschliesst sich der ware Inhalt (Steganografie). Ausserdem darf sie nicht an einen bestimmten Absender gerichtet sein, sondern öffentlich zugänglich sein, so dass u.a. der Empfänger sie einsehen kann. Soo einfach ist das Ganze also nicht.

Und dass jeder eine Email einsehen kann stimmt so auch nicht. Dass können allenfalls Mitarbeiter der entsprechenden Kommunikationsunternehmen. Oder können Sie mir sagen, was ich in meiner Mail heute um 15:00 Uhr schreibe ?

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×