Das Sommermärchen von der sicheren Email, das zum Monatsende wieder von der Providertruppe „E-Mail made in Germany“ erzählt wurde, ist eine regelrechte – man verzeihe den Ausdruck – Verarschung der Menschen, die sich nicht unbedingt mit den technischen Grundlagen des Emailverkehrs auskennen.

Und wenn dann die in der Initiative “E-Mail Made in Germany” zusammengeschlossenen Firmen Deutsche Telekom, Freenet, Gmx, Web.de, 1&1 und Strato stolz erklären, sie hätten die SSL/TLS-Verschlüsselung des Email-Verkehrs ihrer Kunden wie angekündigt zum 29. April 2014 abgeschlossen und auch Perfect Forward Secrecy (PFS) implementiert – welcher Nicht-Techniker glaubt dann an einen Fake? Es ist aber einer, und zwar von der üblen Sorte, der die Menschen in Sicherheit wiegt, um dann ihre Kommunikation in Ruhe mitlesen zu können.

Eine echte und wirksame Verschlüsselung der Email, die sicherstellt, dass nur die beiden Kommunikationspartner die Email lesen können, muss die Verschlüsselung zwangsweise vom einen bis zum anderen Ende des Weges aufrecht erhalten. Das ist die sogenannte Ende-zu-Ende-Verschlüsselung.

Das realisiert man üblicherweise mit einem Schlüsselpaar:

  1. Man erzeugt ein Schlüsselpaar aus einem öffentlichen und einem proivaten Schlüssel. Mit dem öffentlichen Schlüssel, kann man dann eine Email verschlüsseln und Signaturen prüfen, mit dem privaten kann man eine Email entschlüsseln und signieren.
  2. Den öffentlichen Schlüssel kann man ohne Bedenken ins Internet stellen, damit die Leute damit Emails an den Eigner des Schlüssels versenden können, während man den privaten Schlüssel, mit dem man die mit dem öffentlichen verschlüsselten Emails entschlüsseln kann, geheim hält.

Und was machen nun diese Märchenerzähler? Völlig unabhängig davon, ob der Emailprovider das verschlüsselte Protokoll TLS oder das ältere SSL unterstützt, wird dadurch nur der Transportweg zwischen zwei Systemen verschlüsselt.

Aber an jeder Zwischenstation wird diese verschlüsselte Verbindung wieder beendet und die Daten werden dort entschlüsselt. Und als Sahnehäubchen gibt es dann dort zu allem Überfluss auch noch eine Abhörschnittstelle für deutsche Behörden…

Der Chaos Computer Club (CCC) hatte die Ankündigung der Brancheninitiative vom August 2013 über den Einsatz von SSL/TLS-gesicherten Verbindungen deshalb auch als Sommermärchen von der sicheren E-Mail bezeichnet.

Dann kann man seine schützenswerten Daten auch direkt per offener Postkarte versenden. Denken Sie immer daran:

Wer sicher sein will, dass nur der Empfänger die Email lesen kann, kommt an einer Ende-zu-Ende-Verschlüsselung mit Systemen wie beispielsweise PGP oder S/MIME nicht vorbei.

Tun Sie sich selbst einen Gefallen und trauen Sie niemandem, der versucht, Ihnen etwas anderes zu erzählen – besonders nicht Politikern und Beamten (was einem ja besonders häufig in Personalunion über den Weg läuft).