E-Mail-Verschlüsselung: Kurzem Boom folgt nun Stagnation

Die Menge der Internet-Nutzer, die ernsthafte Konsequenzen aus den Veröffentlichungen im Zuge des so genannten NSA-Skandals gezogen haben, lässt sich inzwischen recht eindeutig beziffern. Der Anteil jener, die auf eine Verschlüsselung von E-Mails ... mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Habe letztes Jahr insgesamt 5 Emails geschrieben und das unverschlüsselt, da meine Kontakte einfach nicht verstehen wie man PGP nutzt. Fast meine gesamte Restkommunikation läuft über Kryptomessenger.
 
@bamesjasti: Hier auch. Private Kommunikation via Email findet quasi gar nicht mehr statt. Aber selbst wenn, würden es wohl nur vier meiner Freunde und Bekannten auf Anhieb hinbekommen, weil bei den meisten einfach das nötige Verständnis bzw auch die Zeit fehlt, sich da von selbst mit dem Thema zu befassen.

Ansonsten läuft die ganze Privatkommunikation über Threema, nachdem ein Freund und ich da massiv Werbung für gemacht hatten.
 
@doubledown: 4? Das sind 4 mehr als bei mir. Bei meinen Freunden, Bekannten und Familie würde es niemand schaffen, wenn ich es nicht für diese einrichten würde.
Das wird aber nichts, weil dann wiederum deren Kontakte auch keine Verschlüsselung können.
 
Ist halt immer der Haken, daß (sinnvolle) Verschlüsselung unbequem ist:

Entweder man versucht sich an SMIME, welches zumindest insoweit generell unterstützt wird, daß man seine Mails signieren und damit gegen Veränderungen absichern und nach Quelle authentifizieren kann, auch ohne daß der Gegenüber selber ein Zertifikat haben muß. Allerdings braucht man halt das Zertifikat und das kostet Geld und der Gegenüber muß auch eins haben - insbesondere, wenn wirklich verschlüsselt werden soll.

Oder man schaut Richtung PGP (und Ablegern), müßte aber dann re: Authentifizierung schon schauen, ob und wie. Meines Wissens nach gibts das Web Of Trust ja nicht mehr.

- Mails sollen aber einfach und bequem und kostenlos verschickt werden können und das steht halt der Idee "Verschlüsselung" polar gegenüber.
 
@RalphS: Für Privatanwender gibt es sogar S/MIME Zertifikate gratis.
https://www.comodo.com/home/email-security/free-email-certificate.php

Da muss man aber einen Mail-Klienten verwenden, bei den Webinterfaces der Providers fehlt die Unterstützung durch die Bank weg.
 
@otzepo: Nur nutzen die nicht ernsthaft was, weil sie nichts sicherstellen.
 
@RalphS: Na klar tun sie das, jedenfalls wenn man den Absender persönlich verifiziert hat. Rein technisch ist das ein vollwertiges Zertifikat. Mit den "besseren", kostenpflichtigen Zertifikaten mit Identitätsprüfung hast du nur den Vorteil, dass du dich auch gegenüber bislang unbekannten Personen ausweisen kannst.

Wenn das kostenfreie Mailzertifikat auf die Mailadresse eines Bekannten/Freundes ausgestellt ist und ich mich durch persönlichen Kontakt davon überzeugt habe, dass das auch wirklich sein Zertifikat ist, weiß ich für die Zukunft anhand des Fingerprints eindeutig, ob die Mail von ihm kommt oder nicht. Ich speichere seinen von mir verifizierten öffentlichen Schlüssel in Outlook/Mailprogramm unter seinem Kontakt ab, und wenn dann von ihm eine Mail kommt mit abweichender Signatur, kommt eine Warnung.

Das ist ja dann das gleiche Prinzip wie bei PGP, denn auch hier weißt du ohne Verifizierung/Beglaubigung des Fingerprints bei Erstkontaktaufnahme nicht, ob derjenige wirklich der ist, der er vorgibt zu sein.

Ein SMIME-Zertifikat mit Identitätsprüfung geht dann schon weit über das hinaus, was PGP bezüglich sicherer Signatur zu leisten imstande ist.
 
@mh0001: Wenn Du das in der Form meinst, daß letztlich der "Ausweis" nur vom (guten) Bekannten ausgestellt wird, der insbesondere auch vertraut, dann hättest Du recht. So funktioniert(e) ja auch das Web of Trust bei PGP.

Könnte prinzipiell gefallen, das System, hätte aber dasselbe Problem wie auch PGP mit seinem Web of Trust: nur weil X der Person Y vertraut, heißt das noch lange nicht, daß ich oder Du das auch tu. Des geht dann nur kaskadierend und dann sieht man sehr schnell sehr gar nicht mehr durch, weil Tausende und Abertausende Signaturen pro Schlüssel erforderlich werden.
 
@RalphS: Also letztendlich lief das bisher in der Praxis, auch in Anbetracht der Tatsache, dass nur so wenige Leute es nutzen und der Aufwand sich daher in Grenzen hält, bei mir so:

Per SMIME signierte Mail kommt bei mir rein mit gratis Klasse 1 - Zertifikat, also nur auf die Mailadresse des Absenders ausgestellt ohne Identitätsnachweis (also per Ausweis durch die CA überprüfter Vor- und Nachname).

Dann kopiere ich den Fingerprint des öffentlichen SMIME-Zertifikats des Absenders und schicke ihn auf einem anderen Kommunikationsweg (z.B. Skype oder anderer Messenger) dem Kontakt und frag ihn, ob der mit dem von ihn eingesetzten Zertifikat übereinstimmt.
Ist das der Fall, rechtsklicke ich in Outlook auf den Absender der Mail und lasse das Zertifikat als vertrauenswürdig in mein Adressbuch übernehmen.
Von nun an weiß ich sicher, dass die so signierte Mail von ihm stammt, wenn sie mit diesem Zertifikat ankommt!
 
@RalphS: Das ist aber ein allgemeines Problem dieser Zertifikate und macht keinen Unterschied ob es gratis oder kostenpflichtig ist.
Wenn die Email-Anbieter jedem Kunden ein Zertifikat aufdrängen würden wäre zumindest eine problemlose Verschlüsselung möglich, ob diese nun was taugt oder nicht.
So wie es zur Zeit ist hat man ja kaum Chancen überhaupt einen Kontakt zu finden der ein/en Zertifikat/Schlüssel hat, um eine Verschlüsselung durchführen zu können.
 
@otzepo: Nicht der Mailanbieter, der hat damit gar nix zu tun. Es sei denn, er würde den Kunden prüfen (für "kostenlos" ausgeschlossen).

Aber, ja, das zentrale Problem ist natürlich, daß bei jeglicher Art von Verschlüsselung Sender *und* Empfänger zumindest ein kompatibles System verwenden müssen (welches es bisher bestenfalls in Form von SMIME gibt und selbst da ist es schon... fragwürdig) UND auch zumindest die Möglichkeit haben müssen, verschlüsselte Nachrichten *ent*schlüsseln zu können. Aber genau dafür braucht man private Schlüssel und die fallen nicht vom Himmel, sondern die muß man sich selber beschaffen.

- Via "NPA" und der QES wäre eine Option, wenn man dem Staat vertraut (und das Ding mal verfügbar werden sollte).
 
Für den normalen Anwender ist es viel zu kompliziert, sich sowas einzurichten. Und wenn es keiner nutzt, bringt es nicht, weil man die E-Mails doch wieder unverschlüsselt senden muss.
 
@dodnet: Kompliziert ist es eigtl. nicht wirklich, aber es hängt natürlich vom verwendeten Mailprogramm ab. Bei Thunderbird installierst du über den eingebauten Store Enigmail und drückst im automatisch aufgehenden Assistenten vielleicht 3-4x einfach auf "weiter", und schon ist alles einsatzbereit.
Ähnlich simpel läuft es mit der Browser-Variante Mailvelope, mit der auch die Webmailer-Fraktion bedient wird.
Das Thema KANN sehr komplex werden, vor allem wenn man seine Mails auf verschiedenen Plattform und Mobilgeräten entschlüsseln können will und das alles irgendwie kompatibel zueinander sein muss.

Gerade für den anspruchslosen Nutzer, der seine Mails nur auf einem Gerät checkt, ist es eigtl. kinderleicht und sehr schnell eingerichtet. Wenn jeder sich nur diese 5 Minuten nehmen würde...
 
@mh0001: Du untertreibst ganz schön, was die Komplexität der Installation angeht - sowohl was den Zeitbedarf (5 Minuten) als auch das erforderliche Know-How ("kinderleicht"... einfach im Assistenten auf "weiter" klicken...) angeht.

Enigmail ist lediglich ein Frontend zu einer vorhandenen GnuPG-Installation. Siehe Seite zu Enigmail bei den Mozilla AddOns: "Enigmail requires GnuPG (www.gnupg.org) for the cryptographic functions. Note: GnuPG is not part of the installation.".

Davon, dass jemand, der einfach nur mailen will, schon eine fertige GnuPG-Einrichtung auf seinem Rechner hat, kann man wohl kaum ausgehen.

Unser "anspruchsloser Nutzer" muss also auf gnupg.org (dazu muss er auch erst mal verstehen, was ihm der Hinweistext bei Enigmail überhaupt sagen will) gehen und sich von dort erst mal eine GnuPG-Installation holen (durchhangeln... Windows... Gpg4win... ähm, was denn nun, stable, modern oder classic?) und einrichten (da geht's dann vermutlich weiter mit lauter Fragen/Entscheidungen/Aufgabenstellungen an den Anwender, die jemand, der sich nicht auskennt und sich nicht mühsam durchackern will, überfordern). Dann geht's weiter mit Identität / Schlüssel einrichten ("welcher Verschlüsselungsalgorithmus und welche Schlüssellänge darf's denn sein?").
 
@FenFire: Da muss man eigtl. nichts vorher einrichten. Enigmail lädt ja den gpg4win-Installer automatisch runter, wenn es noch fehlt, und zwar in der Basis-Version ohne irgendein GUI. Nichts weiter als Dateien in einem Ordner, auf die Enigmail dann zugreift. Um die Verwaltung und Einrichtung kümmert sich dann Enigmail und du hast 3 Möglichkeiten am Anfang: Einfach, Fortgeschritten und Experte. Bei einfach bekommst du die Details nicht einmal zu Gesicht und alles wird automatisch mit Standard-Einstellung konfiguriert.
 
@mh0001: Ah, danke für die Info. Da wurde wohl einiges gemacht seit ich es vor Jahren selbst mal eingerichtet habe, damals war das noch ein sehr manueller Vorgang ;)
 
Lustigerweise wird man immer noch schief angeschaut, wenn man seinem Gegenüber klar machen will, wie wichtig Verschlüsselung ist und dass er es benutzen soll.
Die Menschheit lernt nichts aus Geschichte. Nichtmal wenn diese nur 2 Jahre zurück liegt.
 
@Freudian:
Es kommt hier doch auf den Kontext an.
Deine pauschalisierte Aussage jeder sollte dies benutzen ist einfach Unfug und Panikmacherei.

Als aller erstes sollte man nicht in Panik verfallen. Dann gilt es Kosten und Nutzen abzuwägen. Es ist einfach ein Unterschied ob ich nun etwas banales während eines alltäglichem Gespräch erzähle oder pikante Dinge erwähne. Auch spielt es eine Rolle wo man ist. Würde ich ich mich z.B. in China befinden ist die Notwendigkeit einer Verschlüsslung deutlich höher als hier in Deutschland.

Auch leben wir aktuell nun mal im Informationszeitalter, mit all seinen tollen Vorteilen, sowie seinen Nachteilen. Das Sammeln von Daten und Informationen ist kaum zu verhindern. Vielmehr geht es darum Rahmenbedingungen zum Umgang mit diesen Daten zu definieren und zu bestimmen.

Ich persönliche sehe, z.B. mit der Vorratsdatenspeicherung die Entwicklung mit großer Besorgnis, aber bin noch nicht soweit jedem zu Empfehlen seine belanglose private Kommunikation verschlüsseln zu müssen. Man könnte auch Gegenargumentieren, je mehr Datenmüll hier generiert wird desto aufwendiger und schwieriger wird es mit den Daten etwas Sinnvolles anzustellen.
 
@Andy2019:
Immer wieder merke ich, wie schwer es für viele ist richtig zu lesen. Wo habe ich gesagt dass es jeder benutzen soll?
 
@Freudian:
Ich kann schwer in deine Gedankenwelt eintauchen und kann mich eben nur auf dein geschriebenes Wort stützen.
Du schreibst:
"Lustigerweise wird man immer noch schief angeschaut, wenn man seinem Gegenüber klar machen will, wie wichtig Verschlüsselung ist und dass er es benutzen soll."

Kurz: Deinem Gegenüber willst du klar machen das er es benutzen soll. Beim 'das er es benutzen soll' ist die Aussage klar, dein Gegenüber SOLL es benutzen. Du hast nicht geschrieben SOLLTE oder etwas wie EMPFEHLENSWERT. Beim 'Gegenüber' kann man sich sicherlich drum streiten, wer genau damit gemeint ist. Da du aber keine näher Angaben zu deiner Vorstellung eines Gegenübers getätigt hast, wie 'Meinen Gegenüber aus China' oder 'Meinen Gegenüber, welcher die NSA ausspioniert' muss ich davon ausgehen das mit deinem Gegenüber jeder gemeint sein kann.

Vielleicht in Zukunft einfach mal seinen eigenen Text lesen, das hilft.
 
@Andy2019:
Ja eben, woher kennst du meine Gegenüber? Einfach mal reininterpretiert und vorverurteilt, und ich soll dran schuld sein? Es sollte ja eigentlich klar sein dass nicht jeder eine Verschlüsselung wirklich braucht.
Noch ein kleiner Tipp: Nächstes mal ganz einfach und nett fragen, wenn du was nicht verstehst. Das lernt man sogar noch bevor man eingeschult wird und lesen lernt...
Mann Mann Mann.......
 
@Freudian:
Ich Bitte dich vielmals mir zu erklären, wo ich etwas falsch gelesen habe und wo ich etwas hineininterpretiere. Das ich mit Gegenüber Gegenüber lese und verstehe?

Wie kann ich von einem Leser verlangen etwas zu lesen und zu verstehen, was gar nicht geschrieben ist?
 
@Andy2019:
Du merkst gar nix mehr oder?
Wieso interpretierst du dann was rein und vorverurteilst was ich gesagt habe, wenn es gar nicht geschrieben wurde?
Du hast echt eine Logik... wow... Wird mir echt zu dämlich mit dir.
 
@Freudian:

"Wo habe ich gesagt dass es jeder benutzen soll?"
Diese Frage habe ich ausführlich beantwortet. Wenn du es nicht nachvollziehen kannst, und es nicht erklären kannst warum du es nicht nachvollziehen kannst ist es dein Problem.

Da du mir vorwirfst ich interpretiere etwas hinein. Und du auch eine allgemeine Aufforderung nett zu fragen, wenn etwas nicht verstanden wird, formulierst, frage ich etwas nach, was ich nicht verstehe "Ich Bitte dich vielmals mir zu erklären, wo ich etwas falsch gelesen habe und wo ich etwas hineininterpretiere".

Anstatt eine Antwort drauf zu geben, reagierst du abneigend/beleidigend.
Wie soll ich es denn noch anders formulieren um von dir eine gescheite Antwort auf meine Frage zu erhalten?

"Wieso interpretierst du dann was rein und vorverurteilst was ich gesagt habe, wenn es gar nicht geschrieben wurde?"
Nochmals, du hast es geschrieben!

"Du hast echt eine Logik... wow... Wird mir echt zu dämlich mit dir."
Fühle dich herzlichst dazu eingeladen die Fehler dieser Logik aufzudecken und mir mitzuteilen. Es ist ein einfaches Mittel Dinge zu behaupten, schwieriger wird es dies auch nachvollziehbar zu begründen.

Aber hey, ich mach mir es auch einfach. Du bist mir zu rosa hinter deinen Haarspitzen... wow... Wird mir echt zu dal­kig mit dir.
 
@Freudian: Das Komische ist, dass nach der Übernahme von Whatsapp durch Facebook ein Teil meiner Kontakte am Rad gedreht hat, sich zu Kriegern für die Ende-zu-Ende-Verschlüsselung in Messengern erklärt und den Umstieg auf Threema etc. propagiert hat. Über 1 Jahr später sind jetzt alle wieder bei Whatsapp und wenn man denen was von Mailverschlüsselung erzählt zucken sie allerhöchstens mit den Schultern und fragen, wofür sie das denn bräuchten.
 
@mh0001:
Yep, beobachte ich auch. Nicht nur bei Whatsapp u.Ä.
 
Ich kann die Emails an einer Hand zählen die ich privat zur Kommunikation schreibe. Alles andere sind nur Bestätigungslinks oder Hinweise das mich wer in einer Plattform angeschrieben hat.
 
Immerhin haben die Provider nachgelegt und die Übertragung zwischen denen läuft heutzutage im Normalfall verschlüsselt ab.
 
Mir ist es egal, wenn irgendwer völlig unbekanntes meine Mails liest. So lange es keine Bekannten sind. Ist so wie bei Frauen: Die liegen auch nur da oben ohne rum, wo sie weit weg von Bekannten und Nachbarn sind.
 
@GeraldW: Da wir uns nicht kennen kannst du mir dann ja deine Zugangsdaten für deine Mail-Accounts geben damit ich mitlesen kann. Danke.
 
Tja das falsche in Sicherheit wiegen, von wegen Mails werden doch verschlüsselt gesendet, oder die ganz "Harten" die nichts zu verbergen haben.
Auf eins können die Anbieter und Profiteure sich verlassen, die Trägheit der Masse ist nur sehr langsam zu überwinden.

Dabei gibt es das nette Add-on Enigmail, das es nun wirklich auch Deppen ermöglicht es einfach zu machen, das verschlüsseln.
 
@Kribs: vorausgesetzt man nutzt thunderbird.
 
@kkp2321: Wen man eine Wirksame "einfache" Verschlüsselung will, kommt man mit Thunderbird oder Seamonkey u.a. am einfachsten daran man kann mehrere Mailadressen und Provider bündel.
Ein Paket für fast alle, schnell und einfach und in kurzer Zeit eingerichtet.

Außerdem macht es nur Sinn, wenn man wirklich verschlüsseln will, dies Extern vom Mail-Diensteanbieter zu machen.
 
@Kribs: Ich bin da eher der Meinung, dass eine "halbsichere" Verschlüsselung, die dafür komfortabel ist und dann auch wirklich genutzt wird (!), immer noch erheblich besser ist als wenn ansonsten gar keine Verschlüsselung zum Einsatz käme.

Z.B. bietet OpenXchange mit ihrem OX Guard ein System an, bei welchem der private PGP-Schlüssel auf den Servern des Mailproviders liegt, jedoch mit einem nur dem Nutzer bekannten Passwort verschlüsselt ist. Kommt eine PGP-verschlüsselte Mail rein, öffnet sich im Webmailer ein Popup, das nach dem Passwort für den PGP-Key fragt. Dieser wird dann in verschlüsselter Form zum PC des Nutzers übertragen, dort mit dem Passwort entschlüsselt und dient dann zur Entschlüsselung der Mail.

Einziger Knackpunkt: Man muss soweit Vertrauen in den Provider haben, dass der im Webmailer den entschlüsselten PGP Private Key nicht abfängt und speichert, oder das dafür verwendete Passwort abspeichert und somit selber den Key entschlüsseln kann.
Großer Vorteil: Es geht im Webmailer, ohne irgendein Add-On installieren zu müssen, somit von überall aus, und man braucht sich keine Gedanken um Backup und Handling der PGP-Keys machen.

Das System ist so einfach, dass die Nutzer es eben einfach aktivieren, auch wenn sie Verschlüsselung sonst nie in Erwägung gezogen hätten. Und das ist finde ich gut so.
Einen Brief klebst du ja auch gegen neugierige Blicke zu, obwohl es für die Post natürlich prinzipiell ein leichtes wäre, unterwegs mal reinzuschauen.
 
@mh0001: Der Vergleich mit dem Brief ist schon stimmig, den klebt meist der Absender zu, nur der Transport übernimmt ein anderer.
Genau so sehe ich die Verschlüsselung, die sollte auch der Absender vornehmen auf seinen System (mit Unterstützung), der Transport kann man dann einen anderen überlassen zu dem man vertrauen hat.
Damit kann man die Gefahr das der Transporteur an Schlüssel oder Inhalt kommt auf unwahrscheinlich minimieren, außer er setzt massiv kriminelle Energie ein.

Open-Xchange ist Browser abhängig, hat damit einen klaren Nachteil.
 
Das wird sich auch nie bei der breiten Masse durchsetzen, solange nicht die großen Anbieter E-Mail-Übertragungen grundsätzlich nur mehr in verschlüsseltem Zustand zulassen und alles andere blockieren (so wie ja auch heute schon Browser unsichere Verbindungen zurückweisen).
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles