Endlich Arbeit für die NSA

VERBESSERUNG Verschlüsselung- programme sind umständlich zu bedienen, und außerdem macht eh keiner mit – das ändert sich

VON SVENJA BERGT

Wenn man so will, versuchen die Macher des sozialen Netzwerkes Whispeer gerade, den gordischen Knoten aufzulösen. Den Knoten aus: Verschlüsseln von E-Mails ist kompliziert, man braucht dafür ein Mail-Programm, und sollte jemand ein weniger kompliziertes Verfahren entwickeln, muss man dem Anbieter vertrauen. Und wem will man schon vertrauen in diesen Zeiten?

Nils Kenneweg, Informatik-Student und Entwickler von Whispeer, ist da selbstbewusst: „Bei uns wird es für die NSA schon ziemlich schwierig.“ Noch in diesem Jahr soll das soziale Netzwerk an den Start gehen. Und anders als der Marktführer Facebook oder Konkurrenten wie Google+ setzt Kenneweg vor allem auf eines: Privatsphäre. „Bei uns wird alles verschlüsselt, Nachrichten, Pinnwandeinträge, das Profil.“ Der Sender müsse vorher festlegen, welche Empfänger die Inhalte entschlüsseln können. Alle Freunde etwa, die Freunde von Freunden oder nur Freund Y. Die Verschlüsselung erfolge schon im Browser, sodass erst gar keine lesbaren Daten übertragen werden. So kann sich das Netzwerk auch als Alternative für E-Mails nutzen lassen, wenn es darum geht, vertrauliche oder einfach so verschlüsselte Nachrichten zu senden – zumindest wenn auch der Empfänger dabei ist.

„PGP ist für Laien schwierig umzusetzen, das ist nichts für die Massen“, sagt auch Jörg Bauer, Sprecher von Startmail, dem Schwesterprojekt der alternativen Suchmaschine Startpage. Die Macher von Startmail wollen, dass ihre Nutzer verschlüsselte Mails senden können, ohne erst Schlüssel zu erstellen oder die Freunde zum Anmelden zu überreden: Der Versender verfasst die Nachricht und versieht sie mit einer Sicherheitsfrage, deren Antwort nur der Empfänger kennen sollte. Der wird anschließend per Mail darüber informiert, dass eine Nachricht für ihn bereitliegt. Auf der Webseite von Startmail gibt er dann über eine verschlüsselte Verbindung die Antwort auf die Frage ein und kann die Nachricht abrufen. Für den standardmäßigen Versand verschlüsselter Nachrichten ist das Verfahren zu aufwändig, das gibt auch Bauer zu. Es sei eher dafür gedacht, in ausgewählten Fällen eine E-Mail zu verschicken, die nicht von Dritten gelesen werden kann.

Knackpunkt ist die Beantwortung der Frage: Typische persönliche Fragen, mit denen sich Nutzer etwa bei einem vergessenen Passwort ihren E-Mail-Account zurückholen können – Mädchenname der Mutter, Name des ersten Haustieres – haben sich in der Vergangenheit als wenig zuverlässig erwiesen. So konnte beispielsweise 2008 ein Hacker mit der Funktion den Yahoo-Account der US-Vizepräsidentschaftskandidatin Sarah Palin knacken. Allerdings hat der Abholer bei Startmail nur drei Versuche. Nach drei Falscheingaben wird die Mail gelöscht. Brute-Force-Attacken, bei der Angreifer in kurzer Zeit viele Begriffe ausprobieren, sind damit nicht möglich. Momentan befindet sich der Dienst noch in der Testphase – spätestens Anfang nächsten Jahres soll er für die Öffentlichkeit nutzbar sein.

Für alle, die sich auch beim alltäglichen Mailen mehr Verschlüsselung wünschen, arbeitet der E-Mail-Anbieter Posteo an einer Neuerung. Schon jetzt ist Posteo in Datenschutz-Kreisen beliebt – vor allem, weil er anonyme Postfächer anbietet und von Anfang an die Übertragung der E-Mails zwischen den Servern verschlüsselte.

Demnächst ist ein weiterer Schritt geplant: Die Mails sollen nicht nur wie bisher bei der Übertragung verschlüsselt werden, sondern auch die einzelnen Postfächer auf dem Server. Denn auch, wenn sich seit einigen Wochen große Anbieter wie die Telekom oder GMX damit rühmen, neuerdings die Verbindungen zwischen den Servern zu verschlüsseln – auf dem Server selbst liegen die E-Mails dort im Klartext. Wer sich hier einen Zugriff verschafft, kann in Ruhe mitlesen. In Deutschland können etwa Strafverfolger die Herausgabe eines Postfachinhalts verlangen.

Mit der Weiterentwicklung bei Posteo bekommen die Kunden des Anbieters die Möglichkeit, ihre Inhalte zu verschlüsseln: Für Dritte wären damit nur unverständliche Zeichenketten zu sehen. Ein zusätzlicher Aufwand für die Nutzer entsteht dabei nicht. Nur auf eines weist Gründer Patrik Löhr hin: Sein Passwort sollte man dann lieber nicht vergessen – sonst ist an die Mails kein Herankommen mehr. Und zumindest laut Posteo-Statistik ist das gar nicht so selten: Über 1.900 vergessene Passwörter zählte das Unternehmen seit seiner Gründung vor vier Jahren und weist darauf hin: Dunkelziffer unbekannt.