Ende-zu-Ende-Verschlüsselung für De-Mail kommt
Vor drei Jahren fiel auf der CeBIT 2012 der Startschuss für die De-Mail. An den angeblich sicheren Online-Brief wurden hohe Erwartungen seitens der De-Mail-Befürworter geknüpft. Wie sich mittlerweile herausstellte, ist die De-Mail ein relativer Flop. Vor allem die Privatkundschaft hat sich der De-Mail verweigert. Einer der Gründe dafür dürften die vielen Berichte sein, dass die De-Mail doch nicht so sicher ist, wie es die Protagonisten gerne darstellten. Der Sicherheitsanalyst Linus Neumann argwöhnte auf dem »Chaos Communication Congress 30C3« vor eineinviertel Jahren sogar, dass die De-Mail möglicherweise absichtlich unsicher programmiert worden sein könnte.
Vor allem fehlte eine echte Ende-zu-Ende-Verschlüsselung. Aber an diesem Punkt feilen nun die De-Mail-Anbieter kräftig: Auf der morgen beginnenden CeBIT 2015 wird ein so genanntes vereinfachtes Verfahren für die sogenannte Ende-zu-Ende-Verschlüsselung vorgestellt. Eingeführt werden soll es dann im Laufe des April, betonen die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet mit 1&1, web.de und GMX. Auch die bei der Anmeldung nötige Identifikation für den De-Mail-Dienst soll einfacher werden.
De-Mail-Verschlüsselung mit PGP-Verfahren kommt
Inhalt dieses Artikels
De-Mail-Nutzer können demnach ab April von den Internetseiten ihrer Anbieter ein kleines Zusatzprogramm herunterladen und darüber die Ende-zu-Ende-Verschlüsselung installieren. Das Programm ist ein sogenanntes Plugin für die Internet-Browser Firefox oder Chrome. Die Verschlüsselung basiert auf dem weltweit anerkannten PGP-Verfahren (Pretty Good Privacy).
Bereits heute können De-Mail-Nutzer ihre Dokumente auf dem bereits verschlüsselten Transportweg zusätzlich Ende-zu-Ende verschlüsseln. Dies erfordert aber technisches Know-how. Künftig wird dies für alle Kunden möglich sein. Bei PGP liegen die Schlüssel ausschließlich bei Sender und Empfänger, nicht beim Anbieter.
Es gibt einen großen Markt für die sichere und rechtsverbindliche digitale Kommunikation
»Mit der digitalen Agenda der Bundesregierung will Deutschland eine Vorreiterrolle bei der Nutzung digitaler Dienste einnehmen. Verschlüsselung ist dafür eine wichtige Voraussetzung«, sagt Bundesinnenminister Dr. Thomas De Maizière. »Mit den bestehenden De-Mail-Sicherheitsfunktionen in Verbindung mit der ab April zusätzlich verfügbaren, massenmarkttauglichen Ende-zu-Ende-Verschlüsselung bietet De-Mail jetzt für alle Anwendungsfälle auf den verschiedenen Schutzniveaus ein einfaches und nutzerfreundliches Verfahren an. Die aus dem Bereich Datenschutz und Datensicherheit in der Vergangenheit vorgebrachten Forderungen nach zusätzlicher Sicherheit werden von den De-Mail-Anbietern auf sehr nutzerfreundliche Art und Weise erfüllt.«
»Die Digitalisierung des deutschen Briefmarktes ist bisher hinter den Möglichkeiten zurück geblieben. Ein Teil der Korrespondenz ist bereits über E-Mail digitalisiert, für einen großen Teil ist allerdings Rechtsverbindlichkeit erforderlich, die nur über De-Mail hergestellt werden kann«, sagt Ralph Dommermuth, Vorstandsvorsitzender von United Internet. »Durch die Ausweitung und vor allem Vereinfachung der Sicherheitsfunktionalitäten werden wir hier einen weiteren Impuls setzen. Das Beispiel anderer Länder zeigt, dass es einen großen Markt für die sichere und rechtsverbindliche digitale Kommunikation gibt.«
Weitere Erleichterungen bei Erstidentifikation geplant
Neben der Einführung der Ende-zu-Ende-Verschlüsselung beabsichtigen die De-Mail-Anbieter auch weitere Vereinfachungen des für die Anmeldung nötigen Identifikationsprozesses. So müssen sich Bankkunden auf hohem Niveau ausweisen, wenn sie ein Konto eröffnen. Diese Identifikation soll künftig auf die De-Mail-Erstregistrierung übertragbar sein. Voraussetzung wäre dann ein Online-Bankkonto, das die Kunden bei der De-Mail-Anmeldung im Internet angeben, um ihren De-Mail-Account so vom Computer aus vollständig elektronisch zu eröffnen.
KuppingerCole-Analyst bleibt kritisch
Auch wenn Ende-zu-Ende-Verschlüsselung letztendlich gut klingt – was die Umsetzung anbelangt, bleiben Marktbeobachter kritisch. »Um diese neue Funktionalität zu aktivieren, müssen Benutzer ein Browser-Plugin installieren. Diese Lösung basiert auf einer Open-Source-JavaScript-OpenPGP-Unterstützung und steht derzeit nur für Chrome und Firefox-Browser zur Verfügung«, argwöhnt Alexei Balaganski, Analyst bei KuppingerCole. »Somit werden die Browser von mehr als 60 Prozent aller deutschen Internetnutzer nicht unterstützt. Noch größer ist das Problem des Mangels an Unterstützung für mobile Anwendungen oder Desktop-Mail-Clients.«
Nach Meinung von Balaganski wird der Dienst von De-Mail auch in Zukunft erhalten bleiben, zumindest solange dieser aktiv von der Regierung unterstützt wird: »Allerdings habe ich ernsthafte Zweifel, dass De-Mail durch diese Unternehmungen einen spürbaren Einfluss auf ihre Popularität hat. Der einzig richtige Weg zur Implementierung einer Ende-zu-Ende-Verschlüsselung ist nicht zu versuchen, weiter auf der alten E-Mail-Infrastruktur aufzubauen, sondern neue Protokolle mit Rücksicht auf die Sicherheit von Anfang an zu implementieren. Dafür muss man das Rad nicht neu erfinden, sondern sich ein Beispiel an bestehenden Entwicklungen, wie zum Beispiel der Dark Mail Technical Alliance, nehmen. Was die Industrie braucht, ist einen gemeinsam entwickelten Standard für die verschlüsselte Kommunikation zu erreichen.«
web.de und GMX auf der CeBIT 2015:
Halle 7, Stand A58
- Dresden erklärt sich zu De-Mail-City
- GMX und web.de implementieren De-Mail-Flatrate
- Deutsche Post liebäugelt jetzt doch mit De-Mail
- NIFIS moniert De-Mail als offenes Scheunentor für Prism
- 1&1 beginnt mit De-Mail-Vermarktung für Business-Kunden
- Telekom pocht auf »de-Mail.de«-Endung
- Noch mehr News von ECMguide.de zur CeBIT 2015
.