Verschlüsselte Kommunkation: Alternativen zu PGP

"Absolute Sicherheit gibt es nur mit PGP", sagt Holger Bleich vom Fachmagazin "c't". Die Abkürzung steht für "Pretty Good Privacy" (ziemlich gute Privatsphäre). Das ist ein Verfahren, bei dem jeder Nutzer zwei Codeschlüssel besitzt. Einer ist privat, der andere liegt auf Austauschservern. Nur wer im Besitz des öffentlichen Schlüssels des Absenders ist, und der richtige Empfänger ist, kann eine per PGP verschlüsselte E-Mail lesen. Alle anderen sehen nur Buchstabensalat.

PGP lässt sich in E-Mail-Programme wie Thunderbird, Outlook oder Apple-Mail integrieren, hat aber für Durchschnittsnutzer zwei entscheidende Nachteile: Das Erstellen der Schlüssel und die Integration in die Mailprogramme ist ein wenig kompliziert. Und man kann nur mit anderen PGP-Nutzern verschlüsselte E-Mails austauschen - wenn man sich zuvor gegenseitig die Schlüssel mitgeteilt hat.

Ein weiteres Problem mit PGP: Die meisten Menschen nutzen kostenlose E-Mail-Dienste über Webmail-Oberflächen im Browser. Hier lässt sich PGP meist schlecht einbauen. Browser-Erweiterungen wie Mailvelope (gibt es kostenlos für Chrome und Firefox) oder Whiteout Mail (funktioniert auch mit Smartphones) helfen hier. Im Laufe des Jahres wolle auch United Internet mit seinen Angeboten 1&1, Web.de und GMX eine eigene Verschlüsselungslösung auf Basis von Mailvelope herausbringen, sagt Bleich. "Dann könnte sich das durchsetzen." Aber es gibt schon einfache Lösungen am Markt, die jeder bedienen kann.

"Man muss ja nicht jede Mail verschlüsseln", sagt Bleich. "Wenn es nicht absolut, sondern nur hinreichend sicher sein soll, sind Dienste wie Tutatona und Startmail völlig ausreichend." Solche Dienste ermöglichen teilweise nicht nur PGP, sondern auch die Verschlüsselung von E-Mails mit einem Klick. Dabei wird vom Absender ein Passwort festgelegt und dem Empfänger - etwa per Telefon - mitgeteilt. Der Empfänger erhält eine Nachricht mit Link zum Webmailer des Anbieters, gibt sein Passwort zur Entschlüsselung ein und kann Klartext lesen.

Andere Dienste wie Mynigma übernehmen den lästigen Austausch der Schlüssel: Der öffentliche Schlüssel wird einfach mit der Mail mitgesendet. "Da erspart man sich viele Probleme, die man sonst mit PGP hat", sagt Michael Herfert vom Fraunhofer Institut für sichere Informationstechnologie. Aber auch der Empfänger muss Mynigma nutzen.

Verschlüsselt kommunizieren geht auch per Smartphone. "Wenn es nicht Mail sein muss, dann Messenger", rät Holger Bleich. Als besten Kompromiss zwischen Sicherheit und Funktionalität nennt er den Messenger Threema. Aber auch TextSecure sagt dem Sicherheitsexperten zu. Michael Herfert empfiehlt ebenfalls beide Apps. Weitere Messenger, die mit dem verschlüsselten Senden von Text, Bildern, Videos und Sprache werben, sind etwa Wickr, Signal oder Wire.

Vom Platzhirsch Whatsapp rät Holger Bleich aus Gründen des Datenschutzes und der Sicherheit ab. Zwar sendet Whatsapp für Android mittlerweile einige Nachrichten verschlüsselt, für den Nutzer ist aber nicht erkennbar, wann und ob das geschieht. Zum anderen werden die Kontakte aus dem Adressbuch zum Abgleich auf die Whatsapp-Server hochgeladen. Ähnlich ist es beim Messenger Telegramm, wie Stiftung Warentest nach einer Überprüfung der App kritisierte.

Kommunikation mit relativ hoher Sicherheit ist also auch ohne PGP möglich. Das größte Problem ist aber auch hier die geringe Nutzung solcher Angebote. "Man muss schon dafür werben, dass die Leute es auch einsetzen", sagt Michael Herfert.

"Die ganzen E-Mail-Programme können verschlüsseln, die Leute haben nur keine Schlüssel", beschreibt Herfert das Grundproblem. Sein Institut arbeite derzeit deshalb an einer kostenlosen Technologie, die sich weitgehend automatisch um die Erzeugung der Schlüssel und die Konfiguration aller nötigen Programme auf Computer und Smartphone kümmert - und so auf mehr Akzeptanz stoßen soll. Eine erste Version der "Volksverschlüsselung" soll im Herbst erscheinen.