Wer nicht will, dass andere mitlesen, muss seine Mails codiert verschicken. Doch für die meisten IT-Laien ist das zu kompliziert. Das Fraunhofer-Institut will sichere Kommunikation nun endlich einfacher machen.

Von Helmut Martin-Jung

Für Michael Herfert, Diplom-Informatiker am Fraunhofer-Institut für Sichere Informationstechnologie (SIT), ist die Sache klar. Dass die Geheimdienste möglichst alle Quellen ausschöpfen, derer sie habhaft werden können, habe ihn nicht überrascht, sagt er. Überraschend fand er aber "das Ausmaß und die Perfektion" der Aktivitäten, die durch die Enthüllungen des Whistleblowers Edward Snowden ans Licht kamen. Dagegen, das ist für den IT-Experten Herfert genauso klar, gibt es nur ein Gegenmittel, das wirklich funktioniert: Eine starke Ende-zu-Ende-Verschlüsselung.

Bei E-Mails heißt das also: Die Mails müssen beim Absender codiert werden und dürfen erst beim Empfänger wieder decodiert werden. Alle, die versuchen, eine E-Mail unterwegs abzugreifen, beim E-Mail-Anbieter oder indem sie die Leitung anzapfen, sehen nur unleserlichen Datensalat. Mit vertretbarem Aufwand ist der nicht zu knacken.

So weit, so gut. Doch die Methoden der Ende-zu-Ende-Verschlüsselung sind seit Jahren bekannt und entsprechende Programme sogar kostenlos verfügbar. Verwendet werden sie trotzdem nur von einer geringen Zahl an Nutzern. Warum aber ist das so? "Das Problem ist: Wie kommen die Leute an den Schlüssel?", sagt Michael Herfert.

Einfache Apps sollen das ganze Komplizierte übernehmen

Denn sichere Ende-zu-Ende-Verschlüsselung arbeitet mit einem Paar sogenannter asymmetrischer Schlüssel. Einem geheimen, den nur der Empfänger einer Nachricht kennt, und einem öffentlichen, den der Sender kennen muss, damit er die Mail für den Empfänger verschlüsseln kann. Die Frage, die Herfert und seine Mitarbeiter am Fraunhofer SIT beschäftigte, war also die: "Wie gestalten wir den Prozess so, dass viele ihn nutzen können?"

Die Lösung, die Herfert und Kollegen vorschlagen, sind Apps, die das ganze Komplizierte an der Verschlüsselung übernehmen. Der Nutzer muss dazu nur einmal seine Identität über das Internet nachweisen, dazu könnte beispielsweise die entsprechende Funktion des neuen Personalausweises verwendet werden. Die App erzeugt die Schlüssel und untersucht das jeweilige Gerät. Wenn es Anwendungen findet, die Verschlüsselung unterstützen, stellt die App sie so ein, dass sie künftig Mails verschlüsselt senden.

Nun ist es heute aber so, dass Nutzer nicht nur ein Gerät haben, mit dem sie Mails abrufen, sondern zwei, drei oder noch mehr unterschiedliche Geräte. Einen Laptop mit Windows etwa, ein iPhone, das mit Apples Betriebssystem läuft, und dazu vielleicht noch ein Tablet auf Basis von Googles Android-System. "Wir werden da eine priorisierte Auswahl treffen müssen", räumt Herfert ein.

Was, wenn nur wenige Menschen mitmachen?

Sprich: Nicht für alle Geräte und Systeme wird es sofort eine App geben. Beim iPhone könnte die Sache ohnehin schwierig werden, denn so einfach auf andere Apps zuzugreifen, ist unter Apples iOS-Betriebssystem nicht möglich. Die nötigen Informationen könnten von einem Computer aus sicher auf Mobilgeräte übertragen werden, zum Beispiel, indem man einen Barcode abfotografiert.

Es gibt aber auch noch andere Hürden. Das System funktioniert dann am besten, wenn viele Leute verschlüsseln und ihre öffentlichen Schlüssel zur Verfügung stellen. Doch was ist am Anfang, wenn nur wenige Menschen mitmachen? Wenn nur wenige die öffentlichen Schlüssel haben? Herfert hat sich auch dafür etwas überlegt. Falls das Verschlüsselungsprogramm keinen öffentlichen Schlüssel findet, erstellt es mit einem Zufallsgenerator selbst einen und schickt diesen per E-Mail an den Empfänger.

In der Mail steckt ein kleines Programm, mit dem man sich die eigentliche Mail dann von einem sicheren Server holt. Der kann so eingestellt werden, dass die Mail nach dem Abholen gelöscht wird, genannt burn after reading. "Das ist nur die zweitbeste Lösung", weiß auch Herfert, zumindest aber wisse man bei diesem System, wenn man belauscht worden sei - dann kann man nämlich die Mail selber nicht mehr abholen.

Das Fraunhofer-Institut ist auf der Suche nach Partnern

Ein anderes Problem ist die Finanzierung. Bis jetzt hat das Institut eine Version der App für Windows-Computer fertiggestellt, die man aus eigenen Forschungsmitteln finanziert hat. Herfert ist überzeugt, dass die Nutzer kein Geld für eine solche App ausgeben möchten. Das Fraunhofer SIT ist daher auf der Suche nach Partnern, hat das Projekt auch schon beim Wirtschaftsministerium vorgestellt. Mit riesigen Kosten rechnet er nicht. Das System lasse sich mit "unter einer Million Euro pro Jahr" betreiben, ist er sicher.

Ende-zu-Ende-Verschlüsselung ist derzeit ein heißes Thema. Auch andere Anbieter versprechen, dass sie dieses Sicherheitsmerkmal anbieten oder es wenigstens vorhaben. Apples Nachrichten-App zum Beispiel verschlüsselt die Daten, auch die Chat-App WhatsApp, die vor allem bei Jüngeren beliebt ist, verschlüsselt die Kommunikation.