CIO Kurator 

Email-Verschlüsselung mit PGP: Verschlüsselungseifrige IT-Redakteure vs. alle anderen Nutzer

“Ah, danke für deine Mail. Aber kannst du sie mir nochmal unverschlüsselt senden?” Diese Frage hat Herbert Braun schon des öfteren gehört oder gestellt, wie er in seinem treffsicheren Kommentar: „Weg mit PGP, her mit alltagstauglicher Mail-Verschlüsselung“ auf Heise.de verrät. PGP steht für “Pretty Good Privacy“ – und wer würde nicht einen ziemlich guten Datenschutz wollen? Die Tücken stecken hier wie bei vielem im Leben vor allem im Detail.

PGP, das es in einer ersten Version bereits Anfang der 90er Jahre gab, verwendet das Public-Key-Verfahren. Dabei kann mit den öffentlichen Schlüssel jeder Nutzer Daten für einen Empfänger verschlüsseln. Den privaten Schlüssel, normalerweise durch ein Passwort geschützt, besitzt nur der Empfänger. Mit diesem kann er die Nachrichten entschlüsseln, die mit dem öffentlichen Schlüssel verschlüsselt wurden. So weit, so praktikabel. Theoretisch zumindest.

Kommentator Herbert Braun erhält allerdings nur von einem überschaubaren Empfängerkreis verschlüsselte Emails:

„Derzeit bekomme ich schätzungsweise zwei verschlüsselte Mails pro Monat, überwiegend von c’t-Redakteuren – und ich bewege mich in einem technik- und datenschutzaffinen Umfeld. PGP hatte über 20 Jahre Zeit, die Öffentlichkeit zu überzeugen, und ist damit gescheitert. Aus technischer Sicht mag es großartig sein, und wenn Sie Edward Snowden sind oder ein CEO, der eine feindliche Übernahme vorbereitet, werden Sie dankbar sein, dass PGP existiert.“

Email-Verschlüsselung für Dummies

Nicht die Email-Verschlüsselung als solches ist ärgerlich – ganz im Gegenteil, sie ist sehr wichtig und sollte noch viel häufiger angewandt werden. Nur: Sie ist für den Großteil der nicht allzu technikaffinen Nutzer schwierig umzusetzen.

Wenn laut Braun WhatsApp ohne Zutun der Nutzer selbst mäßig geheimnisrelevante Sätze wie “Bin gleich da, brauchen wir Milch?” End-to-end verschlüsseln kann, warum gibt es dann keine sichere E-Mail für den Großteil der Nutzer, die sich nicht aktiv mit Verschlüsselung beschäftigen wollen?

Bei PGP machen dagegen sogar die Profis Fehler: Wie Golem berichtet, hat Adobe neulich versehentlich sowohl den öffentlichen als auch privaten PGP-Key in einem Blog veröffentlicht. Auch wenn der potenzielle Schaden klein gewesen sein dürfte, hat der Fehler doch eine gewisse Aufmerksamkeit erzielt. Allerdings ist Adobe mit solchen Verschlüsselungs-Pannen nicht allein. Deshalb sollte „Email-Verschlüsselung für Dummies“ endlich auch für Emails möglich werden.