Wann wird E-Mail-Verschlüsselung endlich brauchbar?

Wann wird E-Mail-Verschlüsselung endlich brauchbar? Verschiedene Stellen arbeiten an benutzerfreundlicher Verschlüsselung – mit mäßigen Erfolg. Vorbildlich ist ausgerechnet Whatsapp, alles andere ist Stückwerk.

Anwälte, Steuerberater und Notare sind eigentlich verpflichtet, die Daten ihrer Mandanten konsequent zu schützen. Offener E-Mail-Versand ohne Verschlüsselung geht da gar nicht. Wenn man sich aber die Praxis anschaut, könnte man über solche Forderungen nur lachen, wenn es nicht so traurig wäre. Google liest Gmail-Nachrichten aus, der BND zapft den DeCIX hier in Frankfurt großzügig an – trotzdem verschlüsselt fast niemand seine Mails. Und es ist auch sonnenklar, woran es liegt: An der Usability.

„Security by design“ und „Security by default“, das sollte Standard sein. Ist es aber nicht. Außer „ausgerechnet“ bei Whatsapp. Der beliebte Messenger zeigt ganz vorzüglich, wie Verschlüsselung massentauglich wird: Indem man es als Anbieter einfach einführt, und zwar so, dass die Benutzer nichts zu tun brauchen. Gar nichts. Jeder Klick ist einer zuviel. Mozilla könnte bei Thunderbird eine ähnliche Automatik einführen, Microsoft bei Outlook. Unternimmt eine der Firmen Schritte in diese Richtung? Davon ist nichts zu sehen.

Verschwörungstheoretiker wissen natürlich, woran das liegt: Da sowohl Mozilla als auch Microsoft in den USA beheimatet sind, stecken sie mit der NSA unter einer Decke. Spaß beiseite: E-Mail ist ein offenes System, da können einzelne Anbieter nicht einfach etwas einführen. Aber man kännte wenigstens eine Automatik schaffen, die die Krypto-Fähigkeiten der Gegenstelle prüft und schrittweise auf ein besseres Sicherheitsniveau hinarbeitet. Einen solchen Ansatz hat die DATEV gerade für ihre Steuerberater eingeführt. Das System namens SEPPmail prüft die Verschlüsselungsfähigkeiten des Empfängers und stellt sich automatisch darauf ein. Die Lösung versucht, die beiden konkurrierenden Standards unter einen Hut zu bringen: S/MIME setzt auf zentrale Vertrauensinstanzen, OpenPGP auf Benutzer, die sich gegenseitig zertifizieren. Im Forum der DATEV mühen sich die Kunden mit der Lösung ab. Die Rechtsanwälte dagegen kämpfen seit Monaten mit Sicherheitslücken in ihren digitalen Postfächern. Erst Anfang September 2018 soll der Betrieb wieder aufgenommen werden. Aus der Open-Source-Community kommen die Projekte PEP und Autocrypt, die ebenfalls beide die E-Mail-Verschlüsselung vereinfachen wollen. Web.de und GMX starteten vor einiger Zeit einen Vorstoß, ihre Webmail mit dem Browser-Add-on Mailvelope abzusichern. Das System funktioniert, hatte aber auch keinen durchschlagenden Erfolg.

Und dann gibt es noch DE-Mail. Diese Initiative versuchte, Verschlüsselung mit Hilfe eines Gesetzes durchzusetzen. Ebenfalls nicht wirklich erfolgreich. Sehen wir es positiv: Früher gab es nur S/MIME und PGP, heute gibt es immerhin mit Whatsapp einen Dienst, der in Sachen Benutzerfreundlichkeit Zeichen setzt. Und es gibt etliche Initiativen, die an einfacherer Verschlüsselung arbeiten. Dabei muss doch irgendwann mal was Brauchbares rauskommen, verdammt nochmal!