Hush Hush

Dumm gelaufen für eine Gruppe von Leuten, die mit Steroiden handeln, also eine Gruppe von Doping-Dealern. Weil diesen Herrschaften bekannt war, dass ihr business nicht wirklich legal ist, verließen sie sich als gewiefte Netzbürger auf verschlüsselte Email. Weil ihnen aber andererseits der ganze Kram mit selbständiger Verschlüsselung, PGP und was nicht alles, viel zu umständlich war, verließen sie sich auf Hushmail, eine Firma, die seit 1999 verschlüsselte Webmail anbietet. Und diese Firma hat jetzt auf einen Gerichtsbeschluss hin 12 CDs mit ehemals ver- und jetzt entschlüsselten Mails an die Strafverfolgungsbehörden übergeben, wie Wired berichtet.

Hushmail bietet zweierlei Dienste an: Einerseits kann der Benutzer seine Mail vor dem Versand mit Hilfe eines Java-Applets mit seinem eigenen Rechner verschlüsseln, andererseits aber auch die Verschlüsselung auf die Server von Hushmail verschieben. Dabei wird der Text zwischen dem Absender und Hushmail mit SSL – quasi vorläufig verschlüsselt – übertragen. Damit aber Hushmail überhaupt verschlüsseln kann, braucht es die Passphrase, mit der der Empfänger wieder entschlüsseln kann. Und diese Passphrase sollte eigentlich ein Geheimnis zwischen Absender und Empfänger bleiben, wenn man Kryptographie wirklich ernst nimmt.

Peinlich für Hushmail ist, dass sich herausgestellt hat, dass eine ganze Szene (illegaler Dopingmittelhandel) sich auf die Firma verlässt. Peinlich für die Händler ist, dass Hushmail wenig Wert auf derartiges business legt und lieber mit den cops zusammenarbeitet.

Was lernt uns das? Dreierlei:

  1. Immer ehrlich bleiben und nicht gegen Gesetze verstoßen.
  2. Sich, wenn es um Verschlüssselung von Daten geht, auf keine Fremden verlassen.
  3. Es muss „Was lehrt uns das?“ heißen. „Lernt“ ist falsches Deutsch.