Sicherheit: Web.de und GMX führen einfache PGP-Verschlüsselung ein

Veröffentlicht am: von

webdeSeit gestern können Nutzer der beiden deutschen E-Mail-Anbieter Web.de und GMX ihre E-Mails per PGP mit einer Ende-zu-Ende-Verschlüsselung versehen und ihre Kommunikation so gegenüber unerwünschten Mitlesern absichern. Die zu United Internet gehörenden Anbieter kommen damit dem Wunsch vieler Internet-Nutzer nach, die sich seit den Enthüllungen durch Edward Snowden und dem NSA-Skandal verstärkt um ihre Online-Privatsphäre sorgen. Zwar kommen E-Mails zuverlässig beim Gegenüber an, jedoch kann nicht sichergestellt werden, dass der Inhalt schon auf dem Weg dorthin von anderen nicht mitgelesen wird.

Um ein Mitlesen Dritter zu verhindern, können E-Mails mit einer Ende-zu-Ende-Verschlüsselung abgesichert werden, sodass nur noch Sender und Empfänger die Inhalte lesen können. Ein solches Verfahren war bislang allerdings alles andere als einfach zu integrieren und damit für die Masse nicht umsetzbar. Einen ersten Schritt in die richtige Richtung geht man nun bei Web.de und GMX. Nach gerade einmal drei Schritten und nur wenigen Handgriffen sollen Nutzer der beiden Dienste nach Aussagen der Entwickler ihre Nachrichten "abhörsicher verschlüsseln" können.

Dabei setzt man auf den PGP-Standard (Pretty Good Privacy), welcher auch auf gängigen Endgeräten zur Verfügung steht und kompatibel zu allen bisherigen PGP-Anwendungen ist. Das System arbeitet mit öffentlichen und privaten Schlüsseln, die jedem Nutzer eindeutig zugeordnet werden. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines geheimen privaten Schlüssel nur von ihm selbst entschlüsselt werden. Für die Nutzung über den Browser setzen die beiden Mail-Anbieter auf die Open-Source-Erweiterung Mailvelope, welche sich direkt in die gewohnte Oberfläche von Web.de und GMX integriert und den Mailinhalt sowie die Anhänge direkt vor dem Versenden verschlüsselt. Auch die Smartphone- und Tablet-Apps von Web.de und GMX verfügen über eine entsprechende PGP-Erweiterung.

pgp verschluesselung webde k
So funktionert die Verschlüsselung

Per QR-Code lässt sich der private Sicherheitsschlüssel, welcher laut United Internet zu keiner Zeit mit dem Unternehmen geteilt oder gar auf dessen Servern abgelegt werden soll, auf andere Geräte übertragen. Durch die einfache Übertragung der Schlüssel zwischen den Endgeräten soll der Nutzer aber nicht nur seinen privaten Schlüssel schnell auf sein Smartphone laden können, sondern ihn auch im Falle eines Verlusts einfach über ein anderes Gerät wiederherstellen können. Ein Austausch des öffentlichen Schlüssels ist zumindest zwischen Web.de- und GMX-Nutzer nicht notwendig – die öffentlichen Keys werden in einem internen Public-Key-Verzeichnis gesammelt. Mithilfe einer Signatur soll sichergestellt werden, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen. Der Austausch der Schlüssel funktioniert natürlich nur mit E-Mail-Accounts von GMX und Web.de.

Insgesamt will United Internet damit drei Grundprobleme lösen: Die bislang sehr schwierige Einrichtung, den mühseligen Austausch der Schlüssel und den Verlust des privaten Schlüssels.