PG(MX)P

Nach meiner dreimonatigen Auszeit (ich glaube, ich berichtete schon darüber) komme ich langsam in den Alltag zurück. Die Auszeit ist auch der Grund, weshalb ich ein Thema erst heute beackere, das eigentlich schon so durch ist, dass es in der gedruckten (!) c’t abgehandelt ist. Und dennoch:

Hell has officially frozen over: Der bundesdeutsche Massenmaildienst GMX (und die Konzernschwester web.de) bietet End-to-end-Verschlüsselung in der Webmail-Oberfläche, basierend auf Standardtechnologien (PGP), an! Das – also GMX-Mail mit PGP verschlüsseln – konnte man mit Hilfe des Firefox- und Chrome-Plugins Mailvelope zwar auch bisher schon erreichen. Und auch jetzt ist das nicht anders: Auch die GMX-Lösung erfordert die Installation von Mailvelope (und den Gebrauch von Firefox oder Chrome), macht die Sache aber für Anfänger viel einfacher.

GMX muss noch verschlüsseln
GMX muss noch verschlüsseln

Nun ja. In gewisser Hinsicht. Denn GMX (und vermutlich auch web.de) blendet vieles aus, was ungeübte Verschlüssler abschrecken könnte. So bekommt man verschlüsselte Nachrichten gar nicht erst zu sehen (nur die Info, dass diese Mail verschlüsselt sei und erst nach Passwort-Eingabe entschlüsselt wird), und auch die Sache mit den öffentlichen Schlüsseln der anderen (für die Ungeübten: einen solchen öffentlichen Schlüssel braucht man, um die Nachricht an einen dieser anderen zu verschicken!) ist – aus GMX-Sicht – so einfach wie möglich gemacht. Wer von seinem GMX-Account eine verschlüsselte Mail an einen anderen GMX-Kunden verschicken will, sieht schon im Adressfeld, ob der Empfänger sich schon mit PGP eingerichtet hat. Das Vorhängeschloss neben dem Empfängernamen ist dann nämlich grün (= alles paletti) oder rot (= GMX schickt dem Empfänger auf Wunsch einen Link zum Einrichten der Verschlüsselung zu). Der Screenshot auf dieser Seite zeigt allerdings genau das Problem: Nicht jeder Nutzer ist bei GMX. Und dann weiß GMX nichts über den PGP-Zustand und zeigt ein graues Vorhängeschloss.

GMX hat verschlüsselt
GMX hat verschlüsselt

Der Witz ist: Mailvelope weiß ja, ob es den Schlüssel des Empfängers hat. Und spätestens beim Verschicken meldet es sich und sagt gegebenenfalls, dass es diesen Schlüssel nicht hat – und die Sache bricht ab. Wenn allerdings alles seine Ordnung hat, kommt die Nachricht so an, wie sie soll: end-to-end verschlüsselt.

Innerhalb der GMX-Welt ist PGP-Verschlüsselung also tatsächlich ganz einfach geworden (und nein, wir reden jetzt nicht über die Sicherheit von PGP mit Javascript-Geschmack). Außerhalb dieser Welt aber bleibt die Schlüsselverwaltung nach wie vor dem Mailvelope-Plugin überlassen, und weil GMX für seine Kunden alles so einfach wie möglich darstellt, um sie nicht zu verschrecken, spielt die Bedienung von Mailvelope in den von GMX bereitgestellten Infos keine große Rolle, und unerfahrene Nutzer werden allein gelassen.

Wesentliche Frage
Wesentliche Frage

Aber… Aber da ist auch noch die Sache mit der Schlüsselverwaltung über mehrere Geräte hinweg. GMX bietet schon seit Jahren seinen Usern maßgeschneiderte Android-Apps an und tut das auch weiterhin, jetzt mit eingebautem Android-PGP (was erheblich einfacher ist, als andere Mailer mit zum Teil sehr kruden PGP-Apps zu verheiraten). Aber wie erfährt mein Androide von meinem PGP-Schlüsselring auf dem heimischen Rechner?

Ja. Klar. Über GMX. Denn wie jeder andere Anbieter, der PGP in die Weboberfläche integriert anbietet (und nicht nur sagt: Nehmt Mailvelope, und der Rest ist eure Sache), speichert auch GMX den Schlüsselring im Netz. Das geschieht angeblich verschlüsselt, und der Schlüsselring ist nur mit einem langen Buchstabencode zu übertragen – aber das Grundvertrauen in die Sicherheit der eigenen Daten muss der User dem Anbieter eben doch entgegenbringen. Laut der GMX-Fernsehwerbung ist das aber überhaupt kein Problem: Dort ist GMX der Anbieter, dem die Deutschen am meisten vertrauen. Dann ist ja alles gut.

Fazit: End-to-end-Verschlüsselung ist gut. Dass GMX sie für Einsteiger leichter macht, ist sehr gut. Aber es ändert nichts an der Tatsache, dass PGP-Verschlüsselung ebenso sicher wie grundsätzlich umständlich zu bedienen ist, spätestens, wenn eine Mail verschlüsselt an einen Nicht-GMXer gehen soll. Und die sind noch in der Mehrheit.

1 Gedanke zu „PG(MX)P“

Kommentare sind geschlossen.

Mentions