Berlin - Was in großen Firmen gang und gäbe ist, scheint im Alltag meist unnötig: die Verschlüsselung der E-Mail. Wer sich einfach nur mit Freunden austauscht, hat normalerweise selbst dann nichts zu befürchten, wenn Kriminelle den Mailverkehr mitlesen. Doch manchmal verschicken auch Privatanwender E-Mails, die besser nicht in fremde Hände geraten sollten.
Wer etwa Log-in-Daten für bestimmte Dienste an einen Freund weiterleitet, will diese Daten auch geschützt wissen. Ähnliches gilt etwa für den freiberuflichen Erfinder, der eine Blaupause für eine neuartige Konstruktion verschickt - oder für den Romanautor, der ein noch unveröffentlichtes Manuskript zum Gegenlesen weiterleitet. Und auch im Mail-Verkehr mit Behörden oder bei Verträgen kann eine zusätzliche Absicherung in Form einer digitalen Signatur durchaus sinnvoll sein. Generell gilt: Wer sensible Daten per Mail verschickt, sollte zumindest über eine Verschlüsselung nachdenken.
Dass die Allgemeinheit keine Verschlüsselung benutzt, liegt vor allem daran, dass sie zunächst recht aufwändig ist, wie Experte Daniel Bachfeld von der Zeitschrift «c't» sagt. Bis der Anwender sich in das relativ komplizierte Thema eingearbeitet hat, vergeht schon mal mehr als eine Stunde. Bei dem kostenlosen Programm GnuPG etwa muss man zunächst ein Schlüsselpaar erstellen und in seinen Keyring aufnehmen. Das Paar besteht aus einem öffentlichen und einem privaten Schlüssel. Den öffentlichen Schlüssel bekommt der Mailadressat, mit dem privaten Schlüssel wird die Mail signiert, damit der Adressat erkennt, dass sie echt ist. Entschlüsselt wird die Mail mit dem privaten Key des Empfängers.
Bei solchen Programmen ist es daher sehr wichtig, dass der private Schlüssel auch wirklich geheim bleibt. Ein Backup ist dennoch angebracht, denn wenn der Computer des Besitzers einmal völlig ausfällt, reißt er auch den privaten Schlüssel mit ins Daten-Nirwana. Der öffentliche Schlüssel hingegen ist zur Verbreitung vorgesehen: Er kann nicht nur an Mail-Partner verschickt, sondern auch auf spezielle PGP-Schlüsselserver gestellt werden. Ist GnuPG erst einmal eingerichtet, ist es leicht zu bedienen: Mit einem simplen Mausklick kann man seine Mails verschlüsseln. Zum Abschicken muss man nur noch ein Passwort eingeben. Ähnlich läuft es beim Empfang von verschlüsselten Mails.
Einfacher zu bedienen und vertrauenswürdiger sind X509-Zertifikate, die meist im Unternehmensumfeld genutzt werden und von behördlich akkreditierten Dienstleistern, sogenannten Trust Centern, ausgestellt sind. Bei ihnen geht von Anfang an alles automatisch. Einziger Haken: Die
Zertifikate müssen erst gekauft werden. Die Kosten dafür liegen für den Privatgebrauch meist im zweistelligen Euro-Bereich, doch hinzu kommt der Aufwand: Um Zertifikate zu beantragen, muss man ein Postident-Verfahren über sich ergehen lassen - also persönlich beim Postschalter erscheinen und per Ausweis nachweisen, dass man tatsächlich die im Antrag genannte Person ist.
Die Wartezeit, bis das Zertifikat endlich einsatzbereit ist, liegt meist bei deutlich mehr als einer Woche. Manche
Banken bieten ihren Kunden für relativ wenig Geld ähnliche Zertifikate an. Sie sind beim digitalen Unterschreiben etwa von Verträgen jedoch nur eingeschränkt gültig, wie Bachfeld sagt.
Ein weiteres Problem ist, dass Verschlüsselungsprogramme nicht automatisch mit den Mailclients zusammenarbeiten. So unterstützt etwa das viel genutzte Mailprogramm Outlook zunächst nur den kryptografischen Standard S/MIME, jedoch nicht das weit verbreitete OpenPGP. Für andere Mailclients wie Thunderbird benötigt man für das jeweilige Verschlüsselungsprogramm spezielle Plugins, die erst noch heruntergeladen, installiert und konfiguriert werden wollen. Im privaten Alltag stünden Aufwand und Nutzen bei der Verschlüsselung von Mails daher meist in keinem Verhältnis, sagt Bachfeld.
Die elektronische Post ist ohnehin längst nicht mehr so einfach abzufangen wie früher. Vor einigen Jahren waren manche Internet-Knotenpunkte noch anzapfbar, heute müssten Kriminelle schon die Straße aufbuddeln, um an den Mailverkehr einer bestimmten Person heranzukommen. Die einzige Ausnahme sind offene WLAN-Netze. Dort kann prinzipiell jeder alles mitlesen. Beim Abrufen von Mails über das öffentliche WLAN ist daher besondere Vorsicht angebracht, warnt Sicherheitsexperte Bachfeld. Man kann seine Mails aber auch bei vielen Mailservern per SSL abholen. Dabei ist die Mail zwar weiterhin unverschlüsselt, aber die eigentliche Datenübertragung ist verschlüsselt, so dass trotzdem niemand den Inhalt der Mails sehen kann.
Kriminelle gehen aber inzwischen ohnehin ganz anders vor: Sie verschicken einfach einen Trojaner, der sich auf dem Rechner ihres Opfers einnistet und alles mitliest. In einem solchen Fall hilft auch kein Verschlüsselungsprogramm, denn man entschlüsselt die Mails ja ohnehin, um sie lesen zu können. Seine E-Mails schützt man also am besten, indem man sich vor Trojanern in Acht nimmt.