Home
Digital Twin

Digital Twin

Das Netzweltblog

Die DE-Mail hatte ihre Chance

| 14 Lesermeinungen

Google stellt "End-to-End"-Verschlüsselung für Webmail vor und selbst Facebook arbeitet intensiv an Datensicherheit. Die "Prism"-Unternehmen stellen ihre Konkurrenten wieder in den Schatten.

© dpaBlackberry war mal Vorreiter der sicheren Online-Kommunikation. Dann geriet verschlüsselter Textversandt aus den Augen, bis Edward Snowden ihn zum Thema machte. Für Google ist er nun ein Projekt.

In dieser Woche vor einem Jahr trafen Glenn Greenwald und Edward Snowden aufeinander, am 5. Juni begannen die Enthüllungen. Tags darauf veröffentlichte Greenwald die „Prism“-Dokumente, die bis heute zu denen zählen, die am meisten Aufsehen erregten. Die größten am Privatkunden orientierten IT-Unternehmen sollen demnach direkt den Datenstrom der NSA füttern. Bis heute ist ungeklärt, ob die NSA „direkten Zugang auf die Server“ der Unternehmen hat. Greenwald behauptet es so auch in seinem Buch, die Unternehmen halten seit der ursprünglichen Enthüllung vehement dagegen.

Das Wortgefecht wurde nun in dieser Woche von mehreren Nachrichten abgelöst, in denen die Unternehmen Pläne zur Verschlüsselung vorstellten. Gegen das „Muscular“-Programm der angelsächsischen Geheimdienste haben sich etliche der Unternehmen bereits gewappnet. Sie verschlüsseln nun den Datenverkehr, der auf eigenen Leitungen die Datenzentren verbindet. Nun soll der Nutzer in den Fokus rücken.

Auch in der deutschen Debatte um „Email made in Germany“, insbesondere die De-Mail-Initiative, wird als zentraler Kritikpunkt aufgeführt, dass die Verschlüsselungsmethoden nicht viel gegen staatliche Zugriffe helfen, wenn die Verschlüsselung auf dem Datenweg unterbrochen wird. Das „End-to-End“-Gegenmodell, bei dem Daten am einen Ende der Leitung verschlüsselt und erst am anderen Ende des Weges entschlüsselt werden, hat sich in den deutschen Initiativen nicht durchgesetzt, obwohl es vehement gefordert wurde.

Nun hat Google die deutschen Emanzipationsversuche mit einem Vorschlag eingeholt. Für Google sei die Sicherheit der Nutzer immer eine „Top-Priorität“ gewesen, heißt es in einem Blogpost. Man habe daher als einer der ersten Webmail-Anbieter Verschlüsselungsmethoden zwischen Heimcomputer und Unternehmensserver aktiviert und früh Systeme für Warnungen entwickelt, damit „bad actors“ weder Zugriffe auf Accounts bekommen, noch anderes Unheil treiben. Aktuell stellt Google „End-to-End“, ein Verschlüsselungsystem als Browser-Erweiterung vor.

Der Code stehe nun für Analysen und Betrachtungen zur Verfügung. Aus dem Geldtopf, der für das Finden von Sicherheitslücken in Google-Diensten zur Verfügung steht, darf auch derjenige schöpfen, der Sicherheitslücken in „End-to-End“ findet. Die Software selbst ruht auf der ohnehin einsehbaren OpenPGP-Software. Wenn der öffentliche Fehlerfindungs-Prozess abgeschlossen ist, soll das Tool zur allgemeinen Verwendung zur Verfügung stehen. Er soll offenbar, das wird nicht explizit gesagt, nicht nur für Gmail nutzbar sein und darüber hinaus mit anderen Verschlüsselungsprogrammen zusammenarbeiten können.

Damit plant Google einen lange geforderten Verschlüsselungsmechanismus nachzuinstallieren. Experten werden nicht glücklich darüber sein, dass die Verschlüsselung im Browser geschieht. Und wir wissen selbst im quelloffenen Firefox-Browser bald nicht mehr, was er tatsächlich für Software in sich trägt. Auch Edward Snowden legte wert darauf, zu sagen, die Verschlüsselung sei sicher, aber ihr Einbau in die genutzte Software sei häufig zu anfällig für Sicherheitslücken. Dennoch rückt nun die Verschlüsselung näher an den Nutzer heran, sie wird gemäß Googles Überlegungen tatsächlich einfacher anzuwenden.

Es bleibt vorerst alles ein Experiment: Zur Verschlüsselung ist nicht nur die „End-to-End“-Software notwendig, sondern auch ein geheimer Schlüssel, eine kleine Datei, die sich nicht auf einfachen Wegen sicher auf all die Geräte kopieren lässt, auf denen man seine verschlüsselten E-Mails lesen möchte. Ob Google plant, „End-to-End“ beispielsweise auch in mobile Apps einzubauen, ist nicht bekannt. Darüber hinaus schreibt Stephan Somogyi, der für Google die Öffentlichkeitsarbeit zum Projekt betreut, gehe man davon aus, dass diese Software „wahrscheinlich nur genutzt wird, wenn sehr sensible Daten“ verschickt werden. Dem Ansatz, alles zu verschlüsseln, folgt die Initiative also nicht.

© Leonardo RizziWer ist dieser Mann und was führt er im Schilde? Wahrscheinlich arbeitet er an Ende-zu-Ende-Verschlüsselung für die Nutzer am anderen Ende der Leitungen, die dieses Datenzentrum verlassen.

Laut „ZDNet“ arbeitet neben Google auch Facebook an einer Ende-zu-Ende-Verschlüsselung innerhalb seines sozialen Netzwerks. Der Staat solle, sagt das Unternehmen, künftig an der Vordertür klingeln, wenn er Zugriff auf Nutzerdaten haben wolle, anstatt sich durch die Hintertür ins System zu schleichen. Konkrete Pläne trug Gregg Stefancik, der für die Sicherheit der Infrastruktur der Facebook-Systeme Verantwortung trägt, neben den Absichtserklärungen aber noch nicht vor. Noch gehe es darum, erst einmal den Datenverkehr zwischen den Datenzentren vollständig zu verschlüsseln.

An Verschlüsselungen habe man bereits vor Snowden gearbeitet, hieß es von Stefancik weiter. Snowden habe gezeigt, dass viele der Befürchtungen, die man ohnehin hatte, wahr waren. Da es bei Facebook-Kommunikation allerdings um mehr gehe, als um direkten Nachrichtenaustausch, sei Verschlüsselung für das Unternehmen ein größeres Problem. „Wir verstehen die Eigenschaften der Verschlüsselung, aber es ist sehr schwer, sie anzuwenden“, sagt Stefancik.

Ein Jahr nach Snowdens erstem Auftritt gibt es von amerikanischen Diensten also ein wenig mehr als Absichtserklärungen zu vermelden. Zumindest Googles „End-to-End“-Software ist vorhanden und wird für den Einsatz vorbereitet. Hierzulande werden dagegen die Bemühungen kleiner Anbieter wie beispielsweise Posteo übersehen. Was auch dadurch geschieht, dass die großen Initiativen, sei es „Email made in Germany“, sowie die „De-Mail“, das Momentum, das der Spähskandal alternativen Angeboten bot, verspielten.

0

14 Lesermeinungen

  1. Bullshit
    Wer glaubt denn noch den US Firmen ?
    Niemand !! Ausser der Autor dieses Artikels, scheinbar.
    Jede Mail wird mitgelesen, und zwar wirklich jede, es sei denn man kümmert sich selber um die Verschlüsselung und tauscht die Keys mit dem Kommunikationspartner per USB-Stick aus. Das ist die einzige sichere Methode. Aber private Verschlüsselung ist in den USA ja VERBOTEN ! (kein Witz !)

    • Titel eingeben
      Wenn PGP ins Webmail eingebaut ist, ist das eine gute Sache. Auch wenn es noch im Browser läuft. Es geht schließlich um die Abwägung von einfacher Anwendung und grundsätzlichem Einsatz von End-to-End-Verschlüsselungssystemen. Allerdings denke ich auch, dass PGP und Co. besser nicht im Browser selbst laufen sollten. Die Webmail-Annehmlichkeiten fallen da alle raus.

    • Witz!
      In den Vereinigten Staten ist private Verschlüsselung selbstverständlich erlaubt. Das man sich möglicherweise Repressionen aussetzt, Großbritannien ist hier ein gutes Beispiel, ist eine andere Sache. Man muss auch nicht einen Schlüssel per USB-Stick irgendwo hinbringen. Dafür gibt es bei vernünftigen Kryptosystemen einen öffentlichen und einen privaten Schlüssel. Ich befürworte sehr die Verschlüsselung von E-Mails (mit GnuPG). Hier scheint aber noch eine ganze Menge Aufklärungsarbeit zu leisten zu sein.

  2. Blablabla!
    Erzählen kann Google viel. Die Frage ist, was ich diesem und anderen Unternehmen glaube.

    Behaupten kann ich auch alles mögliche. Woher soll ich wissen, was die wirklich tun? Woher soll ich als Nutzer wissen, was die Verschlüsselung taugt? Und ob die NSA nicht die Entschlüsselung von den US-Unternehmen geliefert bekommt, sei es erzwungen oder freiwilllig? Nur dafür, daß die Meldungen verbreiten, daß jetzt alles sicher „wäre“, kann ich mir nichts kaufen.

    Diese Unternehmen haben bisher gut bis erstklassig mit den US-Behörden zusammengearbeitet. Schön, mag sein, daß meine Verabredung zum Kino mit Kumpels nicht unbedingt vor der NSA mit Riesenaufwand geschützt werden muß. Nur muß ich auch niemandem etwas glauben, der bisher gelogen hat, daß sich die Balken biegen.

  3. Lachnummern made in Germany
    „E-Mail made in Germany“ und „De-Mail“ werden möglicherweise nicht wahrgenommen, weil den Leuten die bewußt ist, dass es hier nur um eine Transportverschlüsselung geht, die man bei richtigen E-Mail-Diensten schon seit Jahren findet. Es war scheinbar lange eine zu große technische Herausforderung ein Zertifikat zu kaufen und TLS am Server anzuschalten. Nutzen wird das eh nichts, solange die Mails unverschlüsselt auf den Servern liegen. Und was mit Diensten passiert, die die E-Mails ihrer Kunden schützen wollen, hat man am Beispiel Lavabit gesehen.
    Dabei sind die technischen Möglichkeiten für einen rechtssicheren, Ende-zu-Ende-verschlüsselten E-Mailverkehr doch gegeben. Es hätte gereicht statt De-Mail einfach einen Schlüssel für z.B. S/MIME auf die neuen nutzlosen Personalausweise mit Smart-Card zu schreiben, mit dem dann das Personal der BRD ihre elektronische Post verschlüsseln und signieren kann. Statt dessen gab es eine Lachnummer, die nur „sicher“ ist, weil das so im Gesetzestext steht.

  4. sinnlose Entwicklungen
    „Laut „ZDNet“ arbeitet neben Google auch Facebook an einer Ende-zu-Ende-Verschlüsselung innerhalb seines sozialen Netzwerks.“

    Das wäre so, als ob BMW jetzt ankündigen würde, den USB-Anschluss zu entwickeln.
    Oder die Telekom hat jetzt den Mailserver erfunden.

    Eine gut funktionierende Ende-Zu-Ende-Verschlüsselung gibt es seit über 20 Jahren! Nur leider läßt sich unsere Gesellschaft allzu leicht daran gewöhnen, Sicherheit zu Gunsten der Bequemlichkeit aus der Hand zu gegeben.

    • Keineswegs sinnlos
      Dass es funktionierende End-to-End-Verschlüsselung nicht erst seit heute gibt, ist richtig. Massentauglich war sie bisher nicht. Wenn selbst gestandene Admins mit den Augen rollen, sobald sie in Ihren Organisationen den E-Mail-Verkehr verschlüsseln sollen, dann ist da grundlegend etwas falsch.

      Das hat nur zum Teil etwas mit Bequemlichkeit zu tun, sondern damit, dass das gerne noch als Herrschaftswissen im kleinen Kreis gehalten wird. Hier gilt: Der Entwickler muss zum Anwender kommen. Nicht umgekehrt!

  5. Das soll End-to-End sein?
    End-to-End bedeutet, dass an beiden Enden nur zwei Personen sitzen, die die Entschlüsseln können: Der Sender und der Empfänger.

    Google macht doch hier letztlich denselben Quatsch, wie die Regierung/Telekom etc. bei der sogen. „DE-Mail“: Es wird zwischendurch entschlüsselt?

    Anders könnte Google doch auch seinem Geschäftsfeld, dem Scannen auch intimster Emails, gar nicht nachkommen?

    Oder sehe ich da ‚was falsch?

    Eine seriöse PGP-Verschlüsselung (empfohlen auch von Snowden, Greenwald etc.) ist seit 20 Jahren auf einem Linux-Rechner innerhalb von Minuten kostenlos auch für Laien einrichtbar. Wenn das auf Prism-Partner-Systemen schwieriger ist, sollte man ahnen, warum das so ist ….

    • Google will „end-to-end“ verschlüsseln, von Browser zu Browser mit OpenPGP.

    • ha !
      „Google will „end-to-end“ verschlüsseln, von Browser zu Browser mit OpenPGP.“
      .
      Und damit ihr Geschäftsmodell und ihre Milliarden-Erlöse (durch das Durchstöbern aller GMails nach Stichworten und den Verkauf dieser Daten an Reklamefirmen) einfach mal so aufgeben? Wer’s glaubt, wir selig.
      Ich glaub‘ der Firma durchaus, dass sie ihren Pressesprecher jetzt alle möglichen für sie positiv klingenden Versprechen rausposaunen lassen. Und die Journaille verbreitet’s ja willig, q.e.d.
      Nur, die NSA wird sich solch funktionierende Verschlüsselung eines amerikanischen Multis natürlich nicht gefallen lassen und Googles Ge$chäftsba$is wird es erst recht nicht zula$$en.
      Ergo: Bloße Reklame, um die Kunden zu beruhigen, …damit sie nicht alle wegrennen von GMail, zu zum Beispiel posteo.de – die nix speichern, also auch nix rausgeben KÖNNEN. ha!

  6. Weder noch
    Keinen von beiden kann man trauen.
    Eine Lösung wäre eine Zertifikatstelle mit Schlüsseln, welche von einer größeren Zahl ausgelosten Bürgern überwacht wird.

    • Gewagt 😉 End-to-end per Open Source ist doch ein guter Ansatz. Das Zertifikate-System dagegen ist nun wirklich kaputt.

  7. Werbung durch Mailscan
    Google war die erste Firma, die die Mails der Nutzer gescannt hat, um entsprechende Werbung einzublenden. Also verdient man mit den Mails Geld. Wenn wirklich End-to-End herrscht, dann müsste Google auf diese Einnahmemöglichkeit verzichten. Dies erscheint mir unwahrscheinlich. Also wie End-to-End sind die Systeme wirklich.

  8. Pingback: Ein Jahr nach Snowden: Ende-zu-Ende-Verschlüsselungs-Initiativen | De-Mail-News

Kommentare sind deaktiviert.