Warum ich meine E-Mails nicht verschlüssele
Ich gestehe: Ich verschlüssele meine Mails nicht. Ein hitziger Aufschrei geht durch die Menge der IT Enthusiasten: „Wie kann er nur?“ – „Vorratsdatenspeicherung“ – „Zensur“… Ja aber warum verschlüssele ich nicht? Habe ich nichts zu verbergen? Bin ich dazu nicht in der Lage? Sehe ich keine Notwendigkeit? Keines der genannten Argumente entspricht der Wahrheit. Natürlich habe ich etwas zu verbergen: Meine E-Mails nämlich. Völlig egal was darin steht, es geht weder den Staat, meinen Provider oder den „zufällig“ auf der Leitung lauschenden Hacker an wann Tante Erna zu Besuch kommt oder ob ich bei Amazon Viagra gekauft habe. Selbstverständlich bin ich auch dazu technisch in der Lage. Aber sind es denn meine Mitmenschen?
Es gab eine Zeit vor ca. 13 Jahren, da war PGP (Pretty Good Privacy) ein Public Key Verfahren mit öffentlichen Keyservern der letzte Schrei. Und was haben wir unsere öffentlichen Schlüssel ausgetauscht und gegenseitig signiert…ich fuhr sogar extra zur CEBIT, um meinen Schlüssel am Heisestand unterzeichnen zu lassen. Wow, waren wir cool *hüstel* Jetzt aber zurück in die Realität: Kein Schwein nutzt PGP. So schön die Idee der zentralen Keyserver auch war, bei denen man sich die öffentlichen Schlüssel jedes E-Mailnutzers hätte herunterladen können, so schlecht war sie auch. So viel Spam wie zu der Zeit hatte ich noch nie, denn meine Mailadressen, so schien es mir, waren für jeden der sich eine Datenbank zum Spammen aufbauen wollte, frei zugänglich.Außerdem muss vor den Erfolg die Arbeit setzen. Man benötigt mindestens ein extra Softwaretool oder zumindest ein Plugin, das auch eingerichtet werde möchte und bisher nicht trivial zu bedienen ist. Kurzum, die Hürde ist für die große Masse zu hoch und im Ergebnis kann ich mit fast niemandem verschlüsselte Mails austauschen.
Dann nutzen wir eben Zertifikate. Ähnliches Verschlüsselungsprinzip, andere Infrastruktur zur Gewährleistung der Integrität des Systems. Ich war in der Mitte meines Studiums ganz scharf auf Zertifikate. Eine Zeit lang war ich CACert Assurer, dann aufstrebendes Mitglied 😉 im Thawte Web of Trust. Aber was nutzt das schönste Zertifikat wenn allein die Installation ein Informatikstudium erfordert? Mit den Steinen, die einem da in den Weg gelegt werden, könnte man ein Mehrfamilienhaus bauen, auch wenn beinahe jeder bekannte Mailclient sie nativ unterstützt. Hat man diese Hürde aber erstmal genommen, dann steht man wieder vor dem bekannten Problem: Kaum jemand nutzt ein Zertifikat (nicht mal auf Arbeit, wo wir eine eigene Certificate Authority haben…pfff), also kann ich meine Mail wieder nicht verschlüsseln.
Eine interessante Alternative bot 2006 das Projekt Freenigma, welches sich als Browserplugin in gängige Webmailoberflächen einbinden wollte. Die Verschlüsselung basierte auf GnuPG und die benötigten Schlüsselpaare hätten auf dem Server von Freenigma erstellt und verteilt werden sollen. Was mit Freenigma passiert ist weiß ich nicht. Zur Beta meldete ich mich an, zugelassen wurde ich nie. Vielleicht ist das auch besser so, denn wer möchte schon, dass sein privater Schlüssel von einer dritten Partei erstellt und evtl sogar gespeichert wird?
Aber der Ansatz ist doch nicht schlecht? Die wichtige E-Mail Verschlüsselung kann sich nur dann großflächig durchsetzen, wenn sie mit einem Klick eingerichtet ist und dem Benutzer so viel wie möglich abnimmt. Als Nutzer sollte ich (wenn überhaupt) nur ein Plugin installieren, egal ob für den Browser oder das Mailprogramm, gebe ein Passwort ein und bin bereit Mails verschlüsselt zu versenden. Von der Keyerstellung und der Registrierung meines öffentlichen Schlüssels mit einem Keyserver bekomme ich im Idealfall nichts mit. Vor dem Versenden fragt das Plugin einen Keyserver, ob es für den Hashwert (!) der Empfängeradresse einen öffentlichen Schlüssel gibt und verschlüsselt den Mailinhalt dann mit diesem. Ist das so schwer? Anscheinend leider schon, denn sonst würde ich ja, anders als im Titel geschrieben, meine E-Mails verschlüsseln…