E-Mail gehört zu den ältesten, meist genutzten und flächendeckend verbreiteten Nachrichten- und Webprotokollen des Internets. Diese Form von „elektronischen Briefen“ wird selbst heutzutage noch für eine Vielzahl von wichtigen Kommunikationskanälen genutzt, sei es privat, geschäftlich oder für den Versandt von offiziellen Dokumenten, Rechnungen und vielem mehr.
Die Übertragung des Konzept von Briefen in den digitalen Raum geht sogar so weit, dass E-Mails beispielsweise in Deutschland unter das Brief- und Fernmeldegeheimnis fallen, ähnlich wie Telefonanrufe oder eben das analoge Pendant zur E-Mail: der schriftliche Brief. [1]
Dennoch teilt nicht die gesamte Welt dieses Verständnis von E-Mails. Gleichzeitig bieten E-Mails viel weitgreifendere Möglichkeiten Informationen unbemerkt abzufangen und großflächig auszuwerten, als dies bei analogen Briefen der Fall ist. Große IT-Konzerne wie Google, welche mit ihrem E-Mail Angebot „Gmail“ potenziell Zugriff auf die Kommunikation von Hunderten Millionen Menschen weltweit haben, stellen immer wieder unter Beweis, dass Nutzende dieser Dienste „Keine Erwartungen bezüglich Privatsphäre haben sollten“. [2, 3, 4]
Doch auch völlig von wirtschaftlichen Interessen von E-Mail Anbietenden abgesehen, welche die Daten ihrer Kundschaft zu Werbezwecken auswerten und/oder weiterverkaufen, ist die Kommunikation über grundsätzlich ungesicherte und unverschlüsselte Kanäle einfach nicht mehr zeitgemäß. Dies gilt selbstverständlich nicht nur für Journalist:innen, Aktivisti, sondern auch für alle anderen, sei es im privaten oder geschäftlichen Kontext. Gänzlich unverschlüsselte Kommunikation ermöglicht industrielle oder staatliche Massenüberwachung und kann neben der Gefahr für Demokratie und freie Meinungsäußerung auch zum Instrument von Ausbeutung und sozioökonomischer Unterdrückung werden. [5]
Das bedeutet nicht, dass der E-Mail das Ende bevorsteht – ganz im Gegenteil! Als vielseitiges, offenes, dezentral strukturiertes und anspruchsarmes Kommunikationswerkzeug hat die E-Mail vielen heute verbreiteten zentralisierten Systemen gegenüber einige ansprechende Vorteile. Aber die technische Implementation und unser Nutzungsverhalten mit ihr muss sich über kurz oder lang ändern; Und das lieber früher als später.
Arten der Verschlüsselung
Bevor wir in den angewandten Teil einsteigen, sollten die unterschiedlichen Typen der Verschlüsselung und einige grundlegende Begrifflichkeiten geklärt werden. Denn wie in so vielen Bereichen gilt auch hier: „Verschlüsselung“ ist nicht gleich Verschlüsselung.
Verschlüsselung des Mailzugangs
Hierbei handelt es sich um die sichere Übertragung vom eigenen Computer zum Mail-Server. Dies erfolgt in der Regel über die Nutzung sicherer Internetprotokolle wie beispielsweise „HTTPS“. Das Verschlüsseln dieser Schnittstelle stellt zum Einen sicher, dass weder die Betreibenden des Netzwerks (zum Beispiel ein öffentliches WLAN), in dem sich das Endgerät befindet, noch die potenziell dazwischenliegenden Server (wie unter Anderem die Infrastruktur des Internetproviders) freien Zugriff auf die übertragenen Informationen haben. Zum Anderen hilft die Nutzung von sicheren Internetprotokollen, dass der Server mit dem man interagiert wirklich der ist, der er vorgibt zu sein. [6]
Verschlüsselung der Mailübertragung
Der Schutz der Übertragung einer E-Mail an die vorgesehenen Empfangenden liegt derweilen vollständig bei den Mail-Anbieter:innen. Diese können zum Schutz ihrer Nutzer:innen entweder die Übertragungswege der E-Mail immer dann verschlüsseln, wenn die Gegenseite eine solche Verschlüsselung ebenfalls unterstützt oder sogar darauf bestehen und E-Mails grundsätzlich nicht verschicken, wenn die verschlüsselte Übertragung nicht garantiert werden kann.
Verschlüsselung der Informationen
Hierbei dreht es sich insbesondere um Verschlüsselungsmethoden, welche direkt auf die Inhalte einer E-Mail angewandt werden um sicher zu stellen, dass diese nur von den Empfänger:innen bzw. der versendenden Person gelesen werden können. Selbst in solchen Fällen, in denen Dritte durch das Abfangen bei der Übertragung oder auf anderem Weg an die E-Mail gelangen, stellt die Verschlüsselung der Informationen sicher, dass sie die Inhalte der Nachricht nicht einsehen können. Auch die E-Mail Anbietenden selbst, auf deren Server sich die Nachrichten befinden, können durch die Verschlüsselung der Informationen nicht auf deren Inhalt zugreifen. [5]
Eine solche Verschlüsselung der in E-Mails enthaltenen Informationen kann vielseitig passieren. Fast alle Varianten haben jedoch gemein, dass die Gegenseite, also alle involvierten Kommunikationspartner:innen ebenfalls eine entsprechende Verschlüsselungsmethode unterstützen müssen. Anders als bei der Verschlüsselung der Übertragungswege kommt es hier jedoch weniger auf die Mail-Anbietenden an und nahezu vollständig auf die Initiative der Nutzer:innen.
Alle drei Arten der Verschlüsselung haben ihre Daseinsberechtigungen und schließen sich auch absolut nicht gegenseitig aus. Anders als noch vor wenigen Jahren gilt die Verschlüsselung des Mailzugangs heute glücklicherweise zum absoluten Standard. Der Zugriff auf das Mailpostfach über einen Webbrowser geschieht in der Regel per HTTPS. Wird ein Desktop- oder Smartphone-Client wie beispielsweise Thunderbird, Outlook oder auch K-9 genutzt, kommt meist die Übertragung von TLS-verschlüsselten IMAP– und SMTP-Verbindungen zum Einsatz. E-Mail Anbietende achten inzwischen auch vermehrt auf die verschlüsselte Übertragung von Nachrichten oder erzwingen diese sogar (Im Zweifel finden sich Informationen dazu direkt auf der Seite des eigenen Mail-Providers). Allerdings hapert es auch 50 Jahre nach dem Versandt des ersten elektronischen Briefs an der Verschlüsselung von Informationen und somit an der effektivsten Form der Kommunikationsverschlüsselung beim Versand von E-Mails.
OpenPGP: So wird es genutzt
Obwohl eine Vielzahl von sicheren, verlässlichen und in teilen auch schon weit verbreiteten Lösungen besteht, möchten wir uns im Folgenden auf eine bestimmte Möglichkeit der Informationsverschlüsselung beschränken: „Pretty Good Privacy“ oder auch OpenPGP.
Die (Open-) PGP Spezifikation gehört zu den Ende-zu-Ende Verschlüsselungsmethoden, was – vereinfacht gesagt – bedeutet, dass die jeweiligen Informationen ausschließlich am Anfang (bei der versendenden Person) und am Ende (bei den Empfänger:innen) ausgelesen werden können. Während der gesamten Übertragung, Speicherung und Archivierung bleibt der Inhalt einer Nachricht verschlüsselt. [7]
Die Funktionsweise von OpenPGP erfolgt über ein duales Schlüsselsystem. Hierbei erzeugen alle Kommunikationsteilnehmenden einmalig jeweils ein Schlüsselpaar. Dies besteht aus einem öffentlichen Schlüssel, der an Andere gesendet oder sogar frei ins Internet gestellt werden kann und aus einem privaten Schlüssel, der unbedingt geheim gehalten werden muss. Möchte man nun eine verschlüsselte E-Mail an jemanden senden, benötigt man neben der Empfänger:innenadresse auch den öffentlichen Schlüssel der jeweiligen Person(en). Durch einen mathematischen Algorithmus wird dieser öffentliche Schlüssel dazu genutzt, die zu versendende Nachricht zu verschlüsseln. Dies wird bei mehren Empfänger:innen für alle jeweiligen öffentlichen Schlüssel getan. Die verschlüsselte Information kann dann nur noch ausschließlich vom jeweiligen passenden privaten Schlüssel entschlüsselt werden, sodass der Inhalt der Nachricht nur noch von den vorgesehenen Empfänger:innen eingesehen werden kann.
Die Einrichtung von Programmen, welche die OpenPGP Spezifikation implementieren wie beispielsweise der GNU Privacy Guard (GnuPG) hat lange Zeit ein erhebliches Maß an technischem Wissen und Mühe benötigt, wird jedoch inzwischen durch die Unterstützung vieler E-Mail Programme und Provider auch für ein weniger technisch versiertes Publikum einfacher nutzbar.
Am Anfang steht hierbei die Auswahl eines solchen Programms. Für den Desktop-PC bietet sich hierbei das ohnehin sehr empfehlenswerte Open Source Programm „Thunderbird“ an. Seit einiger Zeit bringt es die Unterstützung für OpenPGP direkt ohne externe Erweiterungen mit und eignet sich deswegen für einen besonders leichten Einstieg auf allen Windows, MacOS oder GNU/Linux Computern. Für Android hingegen empfiehlt sich die App „p≡p“ oder das bereits angesprochene „K-9“ mit der Erweiterung „OpenKeychain“. Unter iOS empfiehlt sich die App „PGPro“ und für alle, die gerne E-Mails über das Webinterface des Mailproviders versenden gibt es die Browser-Erweiterung „Mailvelope“. Eine ausgiebige, allerdings trotz aller Bemühungen nicht gänzlich vollständige Liste von kompatiblen Mailprogrammen findet sich auf der Seite des OpenPGP Projekt.
Weitere Informationen über die detailierte Anwendung von OpenPGP und GnuPG findet sich ebenfalls auf der Seite des OpenPGP Projekts unter dem Projekt „Email Self Defense“ der Free Software Foundation und in dem „E-Mail Self Defense Leaflet“ der Free Software Foundation Europe.
Quellen
- Roth, Wolf-Dieter (2006): Gilt für E-Mails das Brief- und Fernmeldegeheimnis? Heise Online, Telepolis. Online unter heise.de
- Kumar, Mohit (2013): Google – Gmail Users Should Have No Expectation of Privacy. The Hacker News, Online unter thehackernews.com
- Schiffer, Zoe (2019): Facebook and Google surveillance is an ‘assault on privacy,’ says Amnesty International. The Verge. Online unter: theverge.com
- Kuketz, Mike (2021): Gmail – Google liest eure E-Mails mit. Online unter kuketz-blog.de
- The Free Software Foundation (2014): Email Self-Defense. Online unter emailselfdefense.fsf.org
- Heaton, Robert (2014): How does HTTPS actually work? Online unter: robertheaton.com
- The OpenPGP Website: openpgp.org
Jan ist Mitgründer von ViOffice. Er kümmert sich insbesondere um die technische Umsetzung und Wartung der Software. Seine Interessen liegen insbesondere in den Themengebieten Sicherheit, Datenschutz und Verschlüsselung.
Neben seinem Studium der Volkswirtschaftslehre, später der angewandten Statistik und seiner daran anknüpfenden Promotion, hat er jahrelange Erfahrung im Bereich Softwareentwicklung, Opensource und Serveradministration.