Vertraulich E-Mailen ist Allgemeinwissen

Der Thriller um Snowden hat eine gute Diskussion um Datenschutz und Sicherheit losgetreten. Einige Leute fragen sich, wie man denn im Internet überhaupt noch vertraulich miteinander kommunizieren kann. Das ist leider nicht so einfach, aber es sollte Allgemeinwissen sein.

Vertrauen

Eine der wichtigsten Frage im Bereich der Kryptografie ist immer das Vertrauen. Vertrauen sie ihrem E-Mail Provider (Gmail, Web.de, GMX, Betrieb, etc)? Also glaube sie, dass ihr Provider ihre Daten nicht für Werbezwecke weiterverkauft? Glauben sie, dass ihre anonymisierten Daten die weitergegeben werden auch kompetent anonymisiert wurden? Glauben sie, dass ihr Provider kompetent genug ist, ihre Daten vor Einbrechern zu schützen? Vertrauen sie der Regierung ihres E-Mail Providers? Jede Regierung kann im eigenen Land angesiedelte Unternehmen bzw. Server durchsuchen und konfiszieren lassen. Glauben sie, dass die Beamten kompetent genug sind, dass sie nicht Opfer eines Justizirrtums werden?

Falls sie all diese Frage mit Ja beantworten, dann benutzen sie ihren E-Mail Provider weiterhin. Falls nicht, dann muss man sich genauer anschauen, wie man die Vertrauenslücken umgehen kann.

Ende-zu-Ende Verschlüsselung

Das andere Ende der Skala ist Ende-zu-Ende-Verschlüsselung. In diesem Fall müssen sie nur dem Empfänger der E-Mail vertrauen, aber nicht den dazwischen liegenden E-Mail Providern, Regierungen und Weiterleitungen. Vor allem viele Informatiker sind der Meinung, dass eigentlich alle Menschen diesen Ansatz benutzen sollten. Das Problem ist, dass man notwendigerweise ein bischen was dazulernen muss. Keine noch so nette Bedienoberfläche kann Authentifikation und Verschlüsselung vollständig verstecken. Andererseits haben die meisten Menschen ja auch gelernt, dass man seine Wohnungsschlüssel nicht in der Öffentlichkeit herumliegen lässt und fremden Leute nicht die PIN verrät. Zu den Vorraussetzungen und Notwendigkeiten.

1. Die E-Mail muss auf dem eigenen Rechner verschlüsselt werden. Das bedeutet, dass alle Webangebote (Gmail, Web.de, GMX) ausscheiden und man einen Mailclient (Outlook, Thunderbird) benutzen muss. Andernfalls müsste man dem Webanbieter vertrauen.
2. Man muss ein eigenes Schlüsselpaar einrichten. Das ist vergleichbar damit, eine eigene Kombination in seinen Safe einzuprogrammieren.
3. Kontaktdaten müssen gegengeprüft werden. Das ist vergleichbar damit, Geheimzeichen zur gegenseitigen Erkennung auszutauschen. Man möchte sicherstellen, dass niemand sich als jemand anders ausgeben kann.
4. Der Empfänger und der Sender müssen beide alles so eingerichtet haben. Das bedeutet, dass man niemandem die Arbeit abnehmen kann, die obigen Schritte selbst zu lernen.

Diese vier Punkte sind notwendig. Kein Gesetz, kein Vertrag, keine Initiative und kein Startup kann dabei helfen. Vereinfachen könnte man Dinge, wenn man mehr Vertrauen vorraussetzt. Wer beispielsweise der Deutschen Post vertraut, der kann EPost benutzen.

Ein besserer Ansatz wäre Ende-zu-Ende-Verschlüsselung in der Schule zu vermitteln. In unserer Zeit gehört es eigentlich zu Allgemeinbildung, wie man im Internet vertraulich kommunizieren kann.

PS: Die Piratenpartei hat konkretere Infos für Thunderbird und PGP.

PPS: Was mit E-Mails technisch gar nicht funktioniert, ist dass niemand mitbekommt wer wem eine Nachricht schickt. Das ist es was den NSA vor allem interessiert. Der Inhalt der Nachricht ist gar nicht so relevant.