Das Thema Verschlüsselung wird in der Datenschutzdebatte zu wenig thematisiert

Cryptowars, Cypherpunks und ein Fehlalarm

Vermeintliche Sicherheitslücken in Verschlüsselungssystemen für E-Mails haben im vergangenen Monat für Verwirrung gesorgt. Doch die Krypto-Verfahren selbst sind überhaupt nicht betroffen.
Von

Mitte Mai brachte ein Tweet der Electronic Frontier Foundation viele Menschen weltweit dazu, ihre E-Mail-Verschlüsselung abzuschalten. Die US-Bürgerrechtsorganisation behauptete, einen schwerwiegenden Fehler im Kryptographiesystem GNU Privacy Guard gefunden zu haben, der die Computer, auf denen das System eingesetzt wird, angreifbar mache. Sie empfahl, entsprechende Plug-ins für E-Mail-Programme zu entfernen. Wer das tat, konnte anschließend keine verschlüsselten Mails mehr senden oder empfangen. Alte verschlüsselte Mails ließen sich nur noch mit Mühe lesen. Dabei war die Warnung völlig unnötig.

Innerhalb kurzer Zeit stellte sich heraus, dass die Sicherheitslücke gar nicht die Verschlüsselungssoftware selbst betraf, sondern die E-Mail-Programme. Für den Fall, dass ein Angreifer in der Lage ist, E-Mails vor der Zustellung abzufangen und zu manipulieren, könnte etwas eingeschleuster HTML-Code das E-Mail-Programm dazu bringen, den entschlüsselten Inhalt an einen Server im Internet zu schicken. Das ist eine peinliche Lücke für die Programmierer von Software wie Microsoft Outlook oder Apple Mail. Die eigentliche Verschlüsselung wurde dabei aber nicht geknackt und auch private Schlüssel des Programms kamen nicht abhanden. Wer sich gegen den unwahrscheinlichen Angriff schützen möchte, sollte die Anzeige von HTML-Mails abschalten – eine Einstellung, die aus Sicherheitsgründen in jedem E-Mail-Programm vorgenommen sein sollte.

Völlig unklar ist, was die Electronic Frontier Foundation mit dieser Warnung bezweckt hat, die viele Nutzerinnen und Nutzer verunsichert hat. Schließlich sollte sie kein Interesse daran haben, dass weniger Menschen verschlüsseln. Allgemein ist es üblich, beim Auffinden von Sicherheitslücken zunächst die Hersteller der betroffenen Software zu informieren und mit dem Veröffentlichen drei Monate zu warten, um Sicherheitsupdates zu ermöglichen, bevor Angreifer die Lücken ausnutzen können.

Vielen Menschen ist das Thema Verschlüsselung unangenehm. Sie reagieren mit schlechtem Gewissen, weil sie nie dazu kommen, sich um Verschlüsselung zu kümmern. Bei E-Mails wird neben dem Industriestandard S/MIME immer noch vor allem der GNU Privacy Guard eingesetzt. Wer ihn nutzen will, muss zunächst einen privaten und einen öffentlichen Schlüssel generieren. Der öffentliche Schlüssel wird an Freunde und Kollegen weitergegeben, während der private streng gehütet werden muss. Wer jemandem eine Mail schreiben möchte, verschlüsselt diese Mail mit dem öffentlichen Schlüssel des Adressaten. Der Empfänger hat den dazu passenden privaten Schlüssel und kann die E-Mail entschlüsseln und lesen. Das Ganze funktioniert nur, wenn alle Beteiligten ihre Schlüssel pflegen und tauschen und dabei aufpassen, nichts zu verwechseln. Die zugehörige Software ist zwar recht einfach und komfortabel zu bedienen, stellt aber für weniger computeraffine Menschen dennoch eine Hürde dar. Wer Verschlüsselungssoftware einsetzt, hat selten mehr als eine Handvoll Kommunikationspartner, mit denen das klappt. Der weitaus größte Teil des weltweiten E-Mail-Verkehrs bleibt unverschlüsselt.

Für Ermittlungsbehörden ist es lästig, wenn Menschen in größerem Umfang ihre Geräte und Kommunikation verschlüsseln.

Dass es auch einfacher geht, zeigen Messenger-Dienste. Das zu Facebook gehörige Whatsapp verschlüsselt die Botschaften mittlerweile standardmäßig. Wer Facebook, dem Eigentümer von Whatsapp, nicht über den Weg traut, verwendet alternativ den ebenfalls kostenlosen Messenger-Dienst Signal. Es gibt weitere Alternativen wie Threema und Telegram, die allerdings aus verschiedenen Gründen kritisiert werden. Alle haben gemeinsam, dass sie ohne den Aufwand der E-Mail-Verschlüsselung auskommen und einfach funktionieren. Für E-Mails gibt es weiterhin nichts Vergleichbares.

Das will nun eine Genossenschaft namens Pep Coop ändern. Dahinter stehen Programmierer, Juristen und Bürgerrechtsaktivisten, darunter auch Sibylle Berg und Juli Zeh. Ziel der Genossenschaft ist es, die Privatsphäre in der digitalen Welt mit technischen Mitteln schützen. Das heißt unter anderem, bessere Verschlüsselungssoftware zu entwickeln. Die Genossenschaft soll sich aus Spendengeldern, Mitgliedsbeiträgen und Anteilsscheinen finanzieren. Wer Genosse wird, darf mitbestimmen, was für Software entwickelt werden soll. Verschlüsselungssoftware soll auch von Menschen ohne Vorwissen einfach benutzt werden können. Pep Coop wurde erst im Mai gegründet. Anwendbare Software wird also noch etwas auf sich warten lassen.

Einfach zu bedienende Verschlüsselung für alle – das gefällt längst nicht jedem. Besonders Polizeibehörden und Geheimdienste haben Interesse daran, die Kommunikation der Bevölkerung zu überwachen. Mit Prism hat der US-amerikanische Geheimdienst NSA ein Programm entwickelt, mit dem große Teile des weltweiten Internetverkehrs mitgelesen und analysiert werden können.