Die deutschen E-Mail-Anbieter WEB.DE und GMX haben das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Damit können die über 30 Millionen Nutzer der beiden Dienste ihre Nachrichten erstmals so verschlüsseln, dass nur Sender und Empfänger sie lesen können. Die Lösung basiert auf dem weltweit anerkannten Standard „Pretty Good Privacy“, den WEB.DE und GMX jetzt für jedermann nutzbar machen. Die neue Sicherheitsstufe für E-Mail funktioniert auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen.
„Mit unserer Lösung kann jeder Nutzer auch ohne technische Vorkenntnisse seine E-Mails so verschlüsseln, dass nur der Empfänger den Inhalt öffnen kann. Egal ob über den Internet-Browser oder die WEB.DE und GMX App auf dem Smartphone – jetzt kann jedermann mit einer Profi-Technologie verschlüsseln, die bisher einige technische Vorkenntnis erforderte. Wir wollen damit der durchgehenden Verschlüsselung zum Durchbruch verhelfen“, wird Jan Oetjen, Geschäftsführer von GMX und WEB.DE, in einer Pressemitteilung zitiert.
Die beiden E-Mail-Anbieter setzen auf PGP-Verschlüsselung mit der Open-Source-Software Mailvelope. Die Verschlüsselung kann auf allen gängigen Geräten eingesetzt werden. Bei der Nutzung über den Browser wird das Plug-in in die gewohnte Mail-Oberfläche von WEB.DE und GMX integriert und verschlüsselt den Mailinhalt sowie Anhänge direkt vor dem Versenden. Die WEB.DE und GMX Apps für Android- oder iOS-Smartphones bzw. -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann. Auch Anlagen können auf allen Endgeräten einfach mit verschlüsselt werden, was bisher einen weiteren Zusatzaufwand darstellte.
Der Ansatz löst nach Meinung von WEB.DE und GMX die drei Grundprobleme, die es bisher beim Einsatz von Ende-zu-Ende Verschlüsselung für den Nutzer gab und die Verbreitung stark beschränkte: Einrichtung von PGP, Austausch der Schlüssel und Hilfe bei Verlust des Schlüssels. Bei WEB.DE und GMX führt ein Einrichtungsassistent den Anwender in wenigen Schritten zum Versand seiner ersten verschlüsselten Mail. Nach Installation der Browser-Erweiterung wird automatisch der für PGP erforderliche private und öffentliche Schlüssel erzeugt, der jedem Nutzer eindeutig zugeordnet ist. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines geheimen privaten Schlüssels nur von ihm selbst entschlüsselt werden. Durch die einfache Übertragung der Schlüssel zwischen den Endgeräten kann der Nutzer seinen privaten Schlüssel sehr schnell auch auf sein Smartphone laden, so dass er ihn im Falle des Verlustes über eines der Geräte wiederherstellen kann.
Mit ihrem internen Public-Key-Verzeichnis bieten WEB.DE und GMX eine Lösung für ein bisher ungelöstes PGP-Problem: Wie kommt man sicher an die öffentlichen Schlüssel der anderen, und wie stellt man sicher, dass es auch die richtigen sind? Alle mit der Browser-Erweiterung erzeugten öffentlichen Schlüssel werden in einem von WEB.DE und GMX gepflegten Verzeichnis abgelegt. Mit Hilfe einer Signatur stellen WEB.DE und GMX sicher, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen. Die entsprechenden privaten Schlüssel kennt nur der Nutzer.
Mit der Veröffentlichung des Source-Codes und einer Überprüfung durch externe Security-Experten sorgen die Provider für Transparenz. Alle sicherheitsrelevanten Informationen wie private Schlüssel und Passwörter liegen außerhalb des Einflussbereichs von WEB.DE und GMX und können von diesen zu keiner Zeit eingesehen werden, so dass der Nutzer die volle Datensouveränität behält. Dazu gehört zum einen, dass es ihm überlassen bleibt, welche Nachrichten er verschlüsseln möchte und welche nicht. Bei aller Vereinfachung bringt Ende-zu-Ende Verschlüsselung zum anderen auch die Verantwortung des Nutzers für die Sicherheit seines Endgerätes und seinen privaten Schlüssel mit sich, denn die Verschlüsselung ist nur sicher, wenn auch das Endgerät gesichert ist.
Zudem ist PGP eine wichtige Ergänzung des Sicherheitsstandards „E-Mail made in Germany“, auf den sich 1&1, freenet, GMX, Telekom, Strato und WEB.DE als Mailverbund geeinigt haben. Wer sein E-Mail-Konto bei einem Provider des Mailverbunds hat, schützt neben dem Inhalt der Mails auch die sogenannten Metadaten wie Absender, Adressat, Betreff, Versandzeitpunkt und vor allen auch die Tatsache, dass er PGP-verschlüsselt kommuniziert. Bei allen „E-Mail made in Germany“ Providern können die Nutzer Standard-PGP-Lösungen verwenden und so Mail-Inhalt und Metadaten schützen.
Die für die mobile Nutzung erforderlichen neuen Versionen der Apps wurden bereits in die Stores hochgeladen und werden im Laufe des Tages zur Verfügung stehen.