Zeichen und Wunder: De-Mail bald mit PGP verschlüsselt

Veröffentlicht am von

Es ist kaum zu glauben, und auch Kai Biermann ist bass erstaunt:

Die im vorigen Oktober gegründete Arbeitsgemeinschaft De-Mail geht das Problem der, nunja, Zurückhaltung gegenüber der De-Mail, grundsätzlich an, und präsentiert eine zumindest halbwegs massentaugliche Lösung für eine Ende-zu-Ende-Verschlüsselung der Nachrichten. Sie wird zwar noch nicht zur Standardeinstellung, soll aber über ein einfaches Browser-Plugin realisiert werden: mit (ausgerechnet) PGP.

Detlef Borchers schreibt auf heise.de:

Ab April sollen die De-Mail-Kunden der deutschen Telekom, Francotyp-Postalia und United Internet (1 und 1, Web.de, GMX.de) ein Plugin installieren und ihre Dokumente auf dem Transportweg zu Behörden und Unternehmen vom Sender bis zum Empfänger verschlüsseln können. Dies war bereits mit x.509-Zertifikaten (S/Mime) möglich, aber zu kompliziert. Ein Plugin soll nun dafür sorgen, dass PGP zum De-Mail-Standard wird.

[D]as neu entwickelte Plugin […] soll als Open Source veröffentlicht werden, denn alle Beteiligten kennen die Kritik der netzaktiven Szene an De-Mail. Es soll deutlich gemacht werden, dass keine Hintertüren existieren, wie dies von der sonst obligaten „kurzzeitigen Virenkontrolle“ vermutet wird, die bei de De-Mail-Anbietern stattfindet. Bei allen De-Mail-Anbietern soll es kostenlos sein, die PGP-Option zu nutzen.

Die Installation des Plugins, das auch die benötigten Schlüssel generiere, erfordere die „sichere“ Anmeldung mittels Zwei-Faktor-Authorisierung. Es ermögliche zudem, alle Kontakte im Adressbuch ebenfalls zur Nutzung des Plugins einzuladen. Was noch fehle sei aber die Möglichkeit, den öffentlichen Schlüssel im Verzeichnisdienst zu hinterlegen; das erfordere eine vorherige Anpassung der Technischen Richtlinie des BSI.

Das verwundert mich, denn die Technische Richtlinie sieht in Teil 1.4 (auf Seite 11 des PDF) bereits heute vor, dass der Verzeichnisdienst aller Anbieter das Attribut „Verschlüsselungs-Zertifikat“ ermöglichen muss. Eventuell muss die Richtlinie aber die automatische Befüllung des Attributs durch das Plugin zulassen.

Was mich dagegen nicht wundert, sind die Vorbehalte von BSI und BMI:

Stefan Paris von der Unterabteilung Cyber-Abwehr des Bundesinnenministeriums begrüßte den Schritt der De-Mail-Anbieter. In seinem Hause schlügen zwei Herzen, eines für die Sicherheit der Kommunikation und eines für den Bürgerschutz. „Der Bürgerschutz darf nicht erreicht werden, indem das Sicherheitsniveaus herabsinkt. Wir setzen da auf die Quellen-TKÜ“, für die das Bundeskriminalamt wie der Verfassungsschutz künftig probate Verfahren in petto hätten.

Die Abhörbarkeit auch verschlüsselter Kommunikation bleibt also gesichert. Der Leviathan hat weiterhin Angst vor seinen Bürgern.

[Nachtrag 1] Artikel auf ZEIT Online, Pressemitteilung des BMI. [1]

[Nachtrag 2] Detlef Borchers sammelte für heise.de die aus seiner Sicht verhaltenen Reaktionen auf die Ankündigung: Zwar verspreche sich Bundes-Datenschützerin Voßhoff etwas von einer einfach zu bedienenden Lösung, die Politik bleibe aber ebenso wie die technischen Sachverständigen bei ihrer Kritik an der De-Mail. Der CCC etwa moniere, dass die Verschlüsselung noch immer nicht standardmäßig eingebaut und aktiviert sei. Juristen seien skeptisch wegen der möglichen Auswirkungen auf die Zustellfiktion beim Verlust des PGP-Schlüssels durch den Adressaten. (Das finde ich allerdings wenig problematisch. Ich denke, das ist nicht anders zu behandeln als der Verlust des Briefkastenschlüssels – die Nachricht gilt als zugegangen, die Schwierigkeiten des Adressaten sind über eine Wiedereinsetzung bzw. Anfechtung zu fassen.)[2]

[1] Nachtrag vom 9. März 2015
[2] Nachtrag vom 9. März 2015