Im Praxistest: E-Mail-Verschlüsselung mit PGP oder GnuPG - #pb21

PGP ist freie Software, um E-Mails sicher zu verschlüsseln. Grafik von fsf unter CC BY 2.0.

Eine Bildungsagentur steigt aus, Teil V: Pretty Good Privacy, PGP

Täglich versenden wir in E-Mails Verträge, Personal-Entscheidungen, Daten von Klienten, Konzepte, Austausch unter Kolleg/innen und auch privateste Informationen. Alle diese Informationen würden wir, wenn wir sie per Brief verschicken würden, in Umschläge packen, damit sie weder der Überbringer noch sonstwer unterwegs lesen kann. Nur bei Mails, da machen wir das nicht. Da versenden wir jeden Tag intimste Informationen per Postkarte, lesbar für jeden, der auf dem Transport-Weg mitlesen möchte. In Zeiten von Vollüberwachung durch Geheimdienste an entscheidenden Internetknoten ein sehr reales Szenario.

Dabei gibt es längst ein etabliertes System, um Mails effektiv zu verschlüsseln. PGP, pretty good privacy, ist ein Standard in der Mail-Verschlüsselung, der bereits seit 1991 existiert. Doch bis heute findet PGP hauptsächlich bei technisch bewanderten Nutzern und Aktivist/innen Verbreitung. In der Breite ist PGP bislang nicht angekommen.

Die Anforderungen

„Eine Bildungsagentur steigt aus“
eine Artikelreihe zu freien Alternativen zu gängigen InternetdienstenVideo „Eine Bildungsagentur steigt aus“ von Blanche Fabri, Tessa Moje und Jöran Muuß-Merholz unter CC BY 3.0 DE.
Weitere Artikel aus dieser Reihe hier.

Im Falle der Mail-Verschlüsselung bedurfte es unsererseits keine Recherche. Klar ist: Mail-Verschlüsselung geht nur mit Standard, da kann niemand eine individuelle Lösung nutzen. Nur wenn alle mit demselben Verfahren arbeiten, kann das dezentrale System Mail mit einheitlichem Verschlüsselungssystem genutzt werden.

Unsere Anforderungen:

open-source
systemübergreifend (mindestens Windows, Mac, iOS und Android)
einfach in der Handhabung, gut integriert im Alltag
hohe Sicherheitsstandards

Die Lösung

PGP oder auch die freie Implementation GnuPG sind über alle Betriebssysteme verfügbar und untereinander kompatibel. Die Software wird beim Nutzer installiert, danach wird für die eigene (oder mehrere) Mailadresse ein Schlüsselpaar erzeugt. Der eine Schlüssel ist der private, geheimzuhaltende Schlüssel – der andere ist der öffentliche (public) Schlüssel. Der öffentliche Schlüssel kann nun an Kommunikationspartner gegeben oder / und auch über sogenannte Schlüsselserver veröffentlicht werden. Wenn eine Mail an mich versendet werden soll, verwendet der Sender seinen privaten Schlüssel in Kombination mit meinem öffentlichen Schlüssel. Diese so verschlüsselte Mail kann dann erst wieder von mir mit den jeweiligen Gegenstücken geöffnet werden, also mit dem öffentlichen Schlüssel des Senders zusammen mit meinem privaten Schlüssel. Diese Grafik verdeutlicht dieses Verfahren aus technischer Sicht.

Schritt für Schritt führt die Anleitung der free software foundation durch den Prozess der Anmeldung bis hin zur Nutzung von GnuPG, einer freien PGP-Variante. Grafik unter CC BY 2.0. — Schritt für Schritt führt die Anleitung der free software foundation durch den Prozess der Anmeldung bis hin zur Nutzung von GnuPG, einer freien PGP-Variante. Grafik von fsf unter CC BY 2.0.

Dabei ist enorm wichtig zu verstehen, das der eigene private Schlüssel geheim und unter „Verschluss“ gehalten werden muss. Nur darüber kann garantiert werden, dass die für einen selbst bestimmten Mails nicht ausgelesen werden können.

Praxiserfahrungen

Der Autor selbst hatte von den Anfängen seiner Netz-Bewegungen an einen PGP-Schlüssel, ebenso ein Kollege, alle anderen nicht. Benutzt haben wir ihn auch selten – nicht zwischen uns, und auch selten mit anderen. Das Problem bei PGP: Viele müssen mitmachen. Und viele machen nicht mit, weil Sicherheit an der Stelle zusätzlichen Aufwand bedeutet. Und weil Verschlüsselung an dieser Stelle die Verwendung von Mail-Programmen bedeutet, die PGP implementiert haben. Damit schließen sich Webmailer wie z.B. gMail, web.de und GMX aus (wobei es dazu erste Ansätze durch Browser-Plugins gibt) und bestimmte Mail-Programme wie z.B. Airmail uvm..

Sowohl die fehlende Einfachheit der Anwendung als auch der eingeschränkte Verbreitungsgrad durch die Nicht-Unterstützung der Webmailer gepaart mit der Nicht-Problematisierung dieses unsicheren Zustands verhinderte bis heute, das sich eine sehr sinnvolle Technologie durchsetzte. Genau an diesem Problem stehen wir auch im Team: Wo wir es über die letzten Monate geschafft haben, uns jeden Monat von einem zentralen/überwachten Dienst zu verabschieden, ist uns das bei PGP nicht so schnell gelungen. Viele im Team setzen Webmailer ein. Das ist der Hauptgrund, warum dies nicht so einfach ist. Darüber hinaus bedarf es ausreichend Mail-Partner, die ebenfalls PGP einsetzen, allein lässt sich das Problem nicht lösen.

Unser Zwischenfazit

Verschlüsselung von Mails ist wichtig, da sind wir uns im Team einig. Wir werden also weiter nach Lösungen suchen und versuchen, Mail-Verschlüsselung im Team und mit Partnern umzusetzen. Für Mail-Verschlüsselung braucht es Botschafter und Überzeugte, die von der Notwendigkeit berichten, selbst praktisch betreiben und andere begeistern und mitreißen können für eine nicht-überwachte Kommunikation. Daran werden wir weiterarbeiten.

Wer selbst starten möchte, dem empfehlen wir die Kampagnen- und Anleitungsseite der fsf.

Und Sie?

Welche Bedeutung spielt PGP in ihrem Alltag?
Welche Ansätze verfolgen Sie, wie sind ihre Erfahrungen damit?
Ist Verschlüsselung (von Mails) und das Bewußtsein darum Aufgabe der politischen Bildung?

Inhalte auf pb21.de stehen i.d.R. unter freier Lizenz (Informationen zur Weiterverwendung).
Der Artikel (Text) auf dieser Seite steht unter der CC BY 3.0 DE Lizenz. Der Name des Autors soll wie folgt genannt werden: Daniel Seitz für pb21.de.
Urheberrechtliche Angaben zu Bildern / Grafiken finden sich direkt bei den Abbildungen.