Volksverschlüsselung: So soll es gehen

https://blog.wdr.de/digitalistan/volksverschluesselung-so-soll-es-gehen/

Volksverschlüsselung: So soll es gehen

Kommentare zum Artikel: 5

Das Internet ist ein denkbar indiskreter Ort. Was nicht verschlüsselt wird, kann grundsätzlich mitgelesen werden – theoretisch von jedem. Das ist auch der Grund, wieso Webseiten heute in der Regel Daten verschlüsselt übertragen. Auch Messenger wie WhatsApp verschlüsseln heute die Kommunikation, ohne dass wir das groß merken. Aber ausgerechnet die E-Mail, die wir täglich nutzen und der wir vieles anvertrauen, läuft heute in der Regel unverschlüsselt ab. Völlig unverständlich – und eigentlich auch unverantwortlich.

Klar, es gibt Lösungen zur Verschlüsselung, etwa PGP oder auch andere Systeme wie Protonmail, die versprechen, alles einfacher zu machen. Letztlich ist es aber den meisten Usern dann doch zu lästig – und sie lassen es. Doch nun kommt die Volksverschlüsselung – und die soll alles einfacher machen. Der Name lässt schon vermuten: Diese Art der Verschlüsselung kann sich jeder leisten und die bekommt auch jeder hin.

Volksverschlüsselung; Rechte. Telekom

Die Volksverschlüsselung startet

Verschlüsseln soll einfacher werden

Die Volksverschlüsselung ist eine Idee und ein Projekt von Telekom und Fraunhofer Institut für sichere Informationstechnologie. Zusammen wollen die beiden das Verschlüsseln von E-Mails einfacher machen als bisher – und den Austausch von E-Mails für uns alle sicherer. Das wurde schon im November vergangenen Jahres und auch auf der CeBIT im März diesen Jahres noch mal angekündigt, jetzt ist es aber so weit, der Startschuss ist gefallen. Das ist wichtig, denn das Verschlüsseln von E-Mails ist zwar möglich, aber immer noch vergleichsweise schwierig, weil man sich Extra-Software besorgen muss und damit kommt nicht jeder klar.

Zugriff darauf haben erst mal Kunden der Telekom. Die Möglichkeit zur Volksverschlüsselung soll da demnächst im Portal angeboten werden. Man muss sich mit Personalausweis registrieren, denn es geht ja gerade darum, dass jeder User auch wirklich überprüft ist. Wenn jemand von mir eine Mail bekommt, die zertifiziert ist, muss auch sicher sein, dass nicht nur Jörg Schieb drauf steht, sondern auch Jörg Schieb dahinter steht. Später soll man sich auch in den T-Punkten der Telekom vorstellen können: Personalausweis herzeigen und Volksverschlüsselungskonto eröffnen.

Zertifikate kommen vom Fraunhofer Institut; Rechte: Telekom

Von wegen fürs Volk: Erst mal nur für die Windows-Welt

Es ist allerdings Spezial-Software nötig. Im Augenblick gibt es die nur für Windows-Rechner und da auch nur für die Mail-Programme Outlook und Thunderbird. Wer ein anderes Mail-Programm benutzt, kann den Austausch von verschlüsselten Nachrichten nicht über sein Mail-Programm erledigen. Gängige Browser wie Edge, Chrome und Firefox werden unterstützt, damit man auch Web-Mail benutzen kann.

Die Unterstützung für macOS und iOS ist für später angekündigt, andere Betriebssysteme werden noch was länger dauern. Das ist schon ein Ding, dass nicht macOS, iOS und Android von Anfang an unterstützt werden, denn das schränkt die angebliche „Volks“verschlüsselung doch gleich erheblich ein. In Wahrheit ist es eine Windows-Verschlüsselung, zumindest noch. Angesichts der langen Vorbereitungszeiten ist mir das unerklärlich.

Wenn man die Volksverschlüsselungs-Software geladen hat, müssen beim ersten Start die nötigen Schlüssel erzeugt und hinterlegt werden. Man braucht immer Schlüsselpaare, bestehend aus öffentlichem Schlüssel – den darf jeder sehen, zum Ver- und Entschlüsseln der Nachrichten, die mit mir ausgetauscht werden – und privaten Schlüssel. Den darf ich auf keinen Fall herausgeben, der gehört nur mir. Das erledigt die Software automatisch. Die Mail-Software wird entsprechend konfiguriert, damit die Mails verschlüsselt werden. Damit wird dann eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht.

Bildschirmfoto 2016-06-29 um 11.20.23Spezial-Software derzeit nur für Windows

Zertifikate nicht von der Telekom

Dass in diesem Fall das Fraunhofer Institut die Schlüssel generiert und verwaltet, macht die Sache glaubwürdig. Wenn die Telekom die Schlüssel erzeugen würde, wären sicher viele skeptisch. Die Telekom verwendet hier das X.509-Zertifikat. Das ist nicht nur weit verbreitet, sondern auch OpenSource, das bedeutet, jeder kann sich davon überzeugen, dass es keine Hintertüren gibt. Das ist schon gut durchdacht.

Die Telekom-Konkurrenz 1&1 mit Web.de und GMX hat schon vor einigen Monaten die Verschlüsselung von Mails per PGP eingeführt. Die De-Mail von Web.de und Co. funktioniert nach einem ähnlichen Konzept, auch hier muss man sich mit Personalausweis anmelden, dafür kann man rechtssicher kommunizieren, auch mit Banken und Behörden. Das Angebot wird allerdings praktisch nicht benutzt, zum einen, weil kaum Behörden das unterstützen und viele die Anmeldung mit Personalausweis scheuen.

Begrüßenswert ist, dass sich in diesem Bereich etwas tut. Warum man allerdings nur ein Betriebssystem und so wenig Software unterstützt, ist mir schleierhaft. Es sorgt nicht für den nötigen Effekt, schließlich müssen Sender und Empfänger in der Lage sein, mit verschlüsselten Nachrichten klarzukommen. Je weniger Betriebssysteme und Software unterstützt werden, um so schwieriger.

https://vimeo.com/172933392/e1e6ca7f31

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

5 Kommentare

  1. Das Internet war am Anfang ganz bestimmt nicht indiskret.Es hat jedoch so viel Aufmerksamkeit erregt, dass es indiskret wurde. Ich kann da den Sozialen Menschen verstehen,der sich ein vornehmes Netz wünscht.

  2. Schwadralla am

    Große Worte bei denen ich etwas zusammenzucke und dabei kann ich meine eigenen Schlüssel schon lange selbst für den E-Mail-Verkehr erzeugen (warum auslagern?) und lt. heise.de soll hier OpenPGP erst künftig eingebunden werden …

    Und wenn das Gegenüber nicht mitmacht … ?

    Viel Lärm um Nichts – wie ich finde!

    Aber gewisse Firmen haben sich wieder ins Gespräch gebracht – kostenlos!

  3. [Zitat] „… Dass in diesem Fall das Fraunhofer Institut die Schlüssel generiert und verwaltet, macht die Sache glaubwürdig. Wenn die Telekom die Schlüssel erzeugen würde, wären sicher viele skeptisch. …“
    Nun, die geheimdienstliche Kooperation der Telekom (z. B. „Frankfurter Knoten“, VoIP-Installationsabsprachen mit Geheimdiensten etc.) wurde bereits hinreichend offengelegt. Allerdings scheint in Vergessenheit geraten zu sein, dass 2013 die Fraunhofer-Gesellschaft auf einer „Gehaltsliste“ des US-Verteidigungsministeriums auftauchte. Von dieser transatlantischen „Forschungskooperation“ wussten selbst hochrangige Bundestagsmitglieder nichts! Der Weg von Verteidigungsministerien zu Geheimdiensten ist bekanntlich recht kurz – deshalb scheint auch hier eine gesunde Skepsis angebracht!
    [Zitat] „…Das Angebot wird allerdings praktisch nicht benutzt, zum einen, weil kaum Behörden das unterstützen und viele die Anmeldung mit Personalausweis scheuen. …“
    Stimmt! Und eben deshalb wird auch diese „Volksverschlüsselung“ scheitern!
    [Zitat] „…Erst mal nur für die Windows-Welt…“
    Wer das Tool unter einer Win10-Wanze (KeyLogger, Hidden „Services“ etc.) nutzt, der kann es m. E. auch gleich bleiben lassen und weiter öffentlich/unverschlüsselt mailen; oder würden Sie Ihre vertraulichen Dokumente etwa in einem durchsichtigen Safe deponieren?

    Auch vor dem Hintergrund Ihres Blogeintrags vom 26.06. / „Behörde soll Verschlüsselung knacken“, wirkt diese „Volksverschlüsselung“ ohnehin wenig glaubwürdig, sondern vielmehr paradox!

  4. Hubertus Zollmüller am

    Es ist zwar begrüssenswert, dass sich in dem Bereich etwas tut, aber die Validierung mittels Personalausweis ist meines Erachtens höchst problematisch. Schliesslich werden die Metadaten nicht verschlüsselt, und so geht jede Anonymität _gegenüber Aussenstehenden_ (nicht gegenüber dem Adressaten) verloren. Es sollte genau das Gegenteil angestrebt werden, denn was z.B. Threema so sicher und glaubwürdig macht, ist gerade der Umstand, dass keine persönlichen Daten hinterlegt werden müssen.

  5. Und wo ist das jetzt „einfacher“ als der bisherige weg? Davon abgesehn kann man Zertifikaten die nicht von einem selbst erstellt werden wirklich Vertrauen das eine Kopie des Schlüssels nicht beim BND registriert wird?

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top