Vom Versuch, verschlüsselt mit einem Abgeordneten zu kommunizieren

Habt ihr schonmal versucht, einem Abgeordneten oder einer Behörde eine verschlüsselte Mail zu senden? Wenn es sich nicht gerade um Bundes- oder Landesdatenschutzbeauftragte handelt, die glücklicherweise alle über einen PGP-Schlüssel verfügen, ist dieser Versuch oftmals zum Scheitern verurteilt.

Dass es um den Bundestag nicht allzu gut bestellt ist, wenn es darum geht, vertraulich mit Bürgern zu kommunizieren, war bekannt geworden als die FAZ im letzten August einen ausführlichen Bericht mit der Überschrift „Bundestag, wie hältst du’s mit der Verschlüsselung?“ verfasst hatte. Dabei gab es bereits 2002 Anstrengungen von Werner Müller aus dem Bundeswirtschaftsministerium, das CDs mit der kostenlosen Software GnuPP verteilte. Neben GnuPG war auch Thunderbird enthalten und sollte zur Durchsetzung von verschlüsselter Mailkommunikation, nicht nur im Bundestag, beitragen. Seitdem scheint es jedoch nicht vorwärts gegangen zu sein, sondern sogar zurück. Denn bei der standardmäßigen Installation von Outlook im Parlament bleibt höchstens die Möglichkeit, auf  S/MIME-Zertifikate zurückzugreifen, die Einrichtung von PGP erfolgt nur auf gesonderten Wunsch – demnach meistens gar nicht. Mit S/MIME-Zertifikaten bildet sich für den normalen Bürger aber eine inakzeptable Hürde, denn diese müssen zuerst beantragt werden und sind in der Regel kostenpflichtig.

Unter solchen Umständen bleibt die im September von FDP-Politiker Jimmy Schulz organisierte Cryptoparty, von Wahlkampfzwecken abgesehen, auch nur ein nett gemeinter Versuch, vor allem, da letztlich nur sechs Abgeordnete teilgenommen haben.

Die Situation in den Landtagen

In den deutschen Landtage, bzw. Bürgerschaften oder Abgeordnetenhäusern, sieht die Sache ähnlich aus. Diesen und den dort vertretenen Fraktionen habe ich mehrere Fragen zu ihrer Mailkommunikation gestellt:

1) Ist eine offizielle Infrastruktur zum Verschlüsseln und Signieren von Mails vorhanden?

1a) Wenn ja, wie erfolgt die Schlüsselverwaltung? Welche Standards (S/MIME, OpenPGP, …) werden benutzt? Wie sieht die Zertifizierungskette der Schlüssel aus?

1b) Wenn nein, ist es den Mitarbeitern erlaubt, auf persönliche Verantwortung Verschlüsselungssoftware zu nutzen und eigene Schlüssel dazu zu verwenden?

2) Existieren Leitlinien, dass/wann Mailkommunikation verschlüsselt und signiert erfolgen soll? Wird zur verschlüsselten Kommunikation ermutigt?

3) Findet eine Schulung der Politiker und Mitarbeiter zur sicheren Nutzung der eventuell vorhandenen Systeme statt?

4) Liegen Ihnen Statistiken zur tatsächlichen Nutzung vertraulicher Kommunikationsmöglichkeiten vor?

Vielerorts nur Schweigen…

Von vielen kam darauf leider keine Antwort. Baden-Württemberg verwaltet seine Technik zentral, reagierte aber nicht auf dreimalige Nachfrage. Bayern speiste mich nach halbstündigem Telefonat mit der zentralen Poststelle, in der meine Mails „verlorengegangen“ sind, damit ab, dass die Pressestelle befunden habe, man werde mir auf die Anfrage nicht antworten. Auch aus Brandenburg, Rheinland-Pfalz und Mecklenburg-Vorpommern gab es nur Schweigen.

Aber noch trauriger als Nicht-Antworten waren die, bei denen klar wurde, dass meine Frage nichteinmal verstanden wurde. „Wir geben über unsere technische Ausstattung keine Auskünfte“ (CDU Berlin), „Zu Sicherheitsaspekten des Hessischen Landtages können wir leider grundsätzlich keine Auskünfte geben“, „Wir geben grundsätzlich keinerlei Auskunft zu unserer elektronischen Kommunikation“ (FDP Sachsen) und ähnlich lauteten Aussagen von besorgten Stellen, die wohl zu glauben schienen, sie gäben wertvolles Geheimwissen preis, wenn sie ihre öffentlichen Schlüssel ausplaudern… Aber man darf vermuten, dass die eigentliche Sicherheitsinfo diejenige ist, dass es überhaupt keine Sicherheit gibt.

Ein Großteil der anderen Antworten lässt sich leider, was aber auch zu erwarten gewesen war, mit „Nein.“ zusammenfassen. In der Verwaltung des Abgeordnetenhauses Berlin, der Bürgerschaft Hamburg und den Landtagen Sachsen und Schleswig-Holstein kommt, zumindest in der Verwaltung, keine Verschlüsselungssoftware zum Einsatz. In vielen Fällen verwalten die Fraktionen jedoch auch ihre eigene Infrastruktur und sind für ihre Mailkommunikation selbst verantwortlich.

An einigen Stellen ist guter Wille vorhanden…

Wie im Fall Hamburgs, dort bleibt den Fraktionen und Abgeordneten die Möglichkeit, selbst Software und Infrastruktur zu installieren. Das gilt auch für den saarländischen Landtag, wo darüber hinaus empfohlen wird, OpenPGP und eine Schlüssellänge von mindestens 2048 bit zu nutzen. Es scheint also guter Wille vorhanden zu sein, doch etwas traurig klang der Zusatz, diese Möglichkeit werde zur Zeit von nur zwei Mitarbeitern genutzt – die jedoch hätten noch niemals eine verschlüsselte Mail bekommen. Ähnlich geht es auch dem Landesdatenschutzbeauftragten in Sachsen-Anhalt, der abgesehen von der Kommunikation mit einem Abgeordneten der Linksfraktion nur eine weitere verschlüsselte Mail erhielt.

Bei den Piraten in Berlin werden die Einrichtung von PGP-Verschlüsselung und Support von der fraktionseigenen IT-Abteilung angeboten, außerdem habe es eine gut besuchte CryptoParty gegeben. Auch bei der Fraktion der Grünen in Schleswig-Holstein hat man begonnen, sich mit sicherem Mailverkehr zu beschäftigen. Man stehe gemeinsam mit IT-Dienstleistungsunternehmen und dem IT-Referat des Landtages im Kontakt, um bald vertrauliche Kommunikation anbieten zu können. Die Piraten im selben Landtag sind schon einen Schritt weiter. Von dort erhielt ich die erste verschlüsselte Mail meiner Anfragehistorie. PGP wird dort als Verschlüsselungsstandard verwendet, ein gegenseitiges Keysigning sei geplant. Man signiere grundsätzlich und verschlüssele bei Bedarf, Support und Schulung geschähen, wenn sie individuell benötigt würden.

… an anderen Stellen unbenutzbare Lösungen

Sich selbst überlassen sind auch die Fraktionen der Bürgerschaft Bremen. Die Landtagsverwaltung verfügt jedoch über ein System namens Elektronisches Gerichts- und Verwaltungspostfach (EGVP) „für den Versand und den Empfang von verschlüsselten und/oder signierten Vorgängen oder Anfragen an die Bremische Verwaltung“. Dieses System wird auch an Gerichten in anderen Bundesländern eingesetzt. Doch wer glaubt, das ermögliche den einzelnen Mitarbeitern zumindest untereinander verschlüsselt oder signiert zu kommunizieren, liegt leider falsch. Die Geschäftsstelle der Bürgerschaftskanzlei ist mit einem einzigen speziellen Postfach an die EGVP-Infrastruktur des Landes Bremen angebunden.

Will man als Bürger Dokumente an die dortige Verwaltung senden, wird es noch abenteuerlicher. Jeder, der behauptet PGP sei zu kompliziert, sollte sich die EGVP-Seiten ansehen. Die Anwenderdokumentation hat übersichtliche 119 Seiten und zum Signieren werden eine Signaturkarte und ein Lesegerät benötigt. Es ist also kein Wunder, dass das unpraktikable System seit 2008 kaum genutzt wurde. Eine Dienstanweisung zur Nutzung von E-Mail-Postfächern aus dem Jahr 2002 soll demnächst überarbeitet werden soll, hoffentlich wird das Thema Verschlüsselung dann auch eine Rolle spielen.

Den Abgeordneten in Nordrhein-Westfalen bleibt die Nutzung eigener Verschlüsselungssoftware bisher leider verwehrt. Das Land bietet zwar DOI-CA Zertifikate an, die über IT.NRW an T-Systems/telesec beantragt werden können. Das Verschlüsseln personenbezogener Daten wird darüber hinaus sogar von der IT-Sicherheitsrichtlinie vorgeschrieben. Durch die Notwendigkeit, Zertifikate im Vorhinein zu beantragen ist dieser Weg aber für die Kommunikation mit Bürgern impraktikabel, wie bereits im Falle des Bundestages beschrieben. Die Fraktion der Grünen weist darauf hin, dass  eine eigenverantwortliche Lösung mit Verweis auf Sicherheitsbedenken seitens der Landtagsverwaltung abgelehnt werde. Seit Ende 2012 tage aber eine Arbeitsgruppe des Ältestenrats unter Beteiligung aller Fraktionen, in der insgesamt Fragen der IT- Ausstattung des Landtags diskutiert werden. Hier wurde das Thema „Verschlüsselung“ mehrfach diskutiert, bisher allerdings noch nicht abgeschlossen.

Auch die Piraten in NRW arbeiten an mehr Kommunikationssicherheit im Land. Letzten Donnerstag gab es Anhörungen zu drei verschiedenen Anträgen der Fraktion zum Schutz von Bürgern vor Massenüberwachung, Whistleblowing und Wirtschaftsspionage. Diese beinhalteten unter anderem die Forderung nach „der sofortigen Bereitstellung einer Ende-zu-Ende-Verschlüsselung des E-Mail-Verkehrs“. Mit dem ersten Antrag war eine Anhörung und Stellungnahme von Tobias Morsches verbunden, der  beruflich als Penetrationtester arbeitet. Er betont, wie wichtig es ist, dass jeder Bürger vertraulich mit öffentlichen Stellen und Abgeordneten kommunizieren kann:

Gerade die Kommunikation mit öffentlichen Stellen enthält oft sehr sensible Daten. Daher ist der Verzicht auf eine Verschlüsselung als Grob-Fahrlässig anzusehen. Während die Stadt oder Kommune keinen direkten Einfluß auf die Verschlüsselung seitens der Bürger hat, so sollte Sie doch zumindest den Bürgern die Möglichkeiten bieten. Um keine Bürger auszugrenzen, sollten dabei alle gängigen Verfahren, so wie unabhängige Alternativ-Verfahren sofern möglich angeboten werden. Bei unverschlüsselter Kommunikation sollte immer auf einfache Möglichkeiten für eine gesicherte Kommunikation hingewiesen werden.

Neben viel Frustration und einigen aufkeimenden Anzeichen von gutem Willen gab es eine große positive Überraschung aus Thüringen. Die dortige Fraktion Die Linke scheint sich sehr ernsthaft mit dem Thema auseinandergesetzt zu haben, auch wenn es noch keine offizielle Landtagsinfrastruktur gibt. Es wird sowohl truecrypt als auch OpenPGP angewendet, manche nutzen sogar XMPP mit OTR.  Neben der Empfehlung, grundsätzlich verschlüsselt zu kommunizieren, finden Verschlüsselungsworkshops für alle Abgeordneten und Mitarbeiter des Landtags und interessierte Außenstehende statt. Die Liste reicht zurück bis ins Jahr 2010 mit dem Einstiegsworkshop „Meine Daten gehören mir“ und behandelten seitdem Tracking, PGP, Truecrypt, Facebook-Nutzung und sogar die Einrichtung eines eigenen TOR-Servers. Und zum Nachlesen im Anschluss gibt es eine Zusammenstellung vieler Linkverweise – wir sind übrigens auch dabei.

Wie kann man die Situation verbessern?

Das Engagement einiger einzelner Fraktionen macht Hoffnung, dass sich irgendwann ein Bewusstseinswandel einstellen könnte. Aber an vielen anderen Stellen zeigt sich, dass es noch an Willen und Wissen fehlt. Verschlüsselung ist abstrakt, Bits kann man nicht sehen, also fällt die Vorstellung schwer, man könne sie abhören. Dagegen hilft nur Aufklärung und der hartnäckige Kampf gegen das Zeitalter des Internetausdruckens. Informationen können von vielen Stellen kommen. Notwendig und am effektivsten wären obligatorische Schulungen innerhalb der Landtagsstrukturen, aber auch selbst kann man Politiker zu Krypto-Workshops einladen oder Fraktionen anbieten, diese bei ihnen durchzuführen. Wobei noch vor den Grundlagen der sicheren Kommunikation generelles Verständnis für die Mechanismen im digitalen Neuland geweckt werden muss.

Eine andere Notwendigkeit ist, Druck auszuüben und klar zu machen, dass Verschlüsselung nichts Exotisches ist, sondern zum Alltag werden sollte. Das traurige Beispiel der zwei saarländischen Abgeordneten, die noch nie eine verschlüsselte Mail bekommen haben, zeigt auch, dass bisher nicht deutlich wird, dass Verschlüsselung verlangt wird. Denn wie sollte ein Abgeordneter von selbst auf die Idee kommen, dass er sich einen Schlüssel zulegen sollte? Ein Kommentar auf meine Fragen hat das schön auf den Punkt gebracht:

Es ist eben nicht einfach, einem landwirtschschafspolitischen Sprecher zu erklären, warum es nun so sehr notwendig ist, den Landesbauernverband zu überzeugen selbst einen PGP-Key anzubieten, damit erst einmal die Möglichkeit besteht, verschlüsselt zu mailen.

Es ist nicht viel Aufwand, seinen Abgeordneten per Mail aufzufordern, vertrauliche Kommunikationskanäle anzubieten. Und erst wenn diese Forderung von genügend Bürgern kommt, wird irgendwann auch die letzte Fraktion aufwachen und erkennen, dass Verschlüsselung keine Fantasie von Nerds und Verschwörungstheoretikern, sondern allgemein angebracht ist.

Und dann wird alles gut?

Leider wäre das Problem aber auch dann nicht gelöst, wenn plötzlich jeder Abgeordnete nur noch verschlüsselte E-Mails schreiben würde. In der oben erwähnten Stellungnahme für den Landtag NRW findet Morsches deutliche Worte dafür, wie es um die generelle IT-Sicherheit in deutschen Behörden bestellt ist:

[Wir erhielten] in fast allen Fällen, binnen kürzester Zeit (ca. 2-8 Stunden), ohne vorherige Kenntnisse der IT, vollen Zugriff auf alle Systeme der jeweiligen Kommunen oder Behörden.

Das Problem liegt also viel tiefer. Denn was bringt es, wenn zwar die Mail verschlüsselt über die Leitung läuft, der Angreifer aber nach dem Entschlüsseln vollen Zugriff auf den Computer des Abgeordneten und vielleicht sogar dessen private Schlüssel hat?

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

68 Ergänzungen

  1. PGP eignet sich schlicht nicht für eine breite Anwendung. Hierfür ist S/MIME wirklich viel besser geeignet und auch verbreitet. Ich selbst habe als normaler Bürger und mit Gratis-Zertifikat von StartSSL verschlüsselt mit dem Büro von MdB Dr. Tauber kommuniziert. Es ist kein Problem und geht mit allen gängigen Mailprogrammen ohne Plugin (auch vom iPhone).

    Die Verbreitung könnte man erhöhen, würde die staatliche auch Bundesdruckerei Gratis-Zertifikate herausgeben. Für eine erweiterte Verifizierung etc. kann man dann natürlich durchaus weiterhin einen Geldbetrag verlangen.

    Ein Liste der S/MIME bzw X.509-Verbreitung habe ich auf https://gist.github.com/rmoriz/5945400 gestartet.

    1. Die Behauptung ist grotesk. StartSSL-Zertifikate sind wertlos. Die vermeintliche Eignung von S/MIME besteht ausschließlich aus den vorinstallierten Root-Zertifikaten und dem Mangel an verbreiteten OpenPGP-Zertifizierungsinstanzen. Wer ein dreiviertel Jahr nach Snowden immer noch der Zentralisierung und damit Abhängigmachung das Wort redet, hat den Schuss nicht gehört.

      1. Wie schon unten erwähnt sind CAs bei S/MIME nicht das Problem. Ein Zweitzertifikat unterscheidet sich, sofern nicht auch der Privatschlüssel vom Benutzer gestohlen wurde. Somit ist das Prinzip und die Sicherheit äquivalent mit der von OpenPGP-Lösungen.

        Bei https bzw TLS sieht es anders aus, sofern kein Cert-Pinning verwendet wird. Hier sind Google, Paypal und co schon sehr weit dabei.

    2. Grundsätzlich richtig Deine Ausführungen zu Zertifikaten. Aber ist wie sicher ist ein privat Key/Zertifikat auf einem Mobiltelefon?

    3. Asymmetrische Kryptographie kann keine Lösung sein! Das Problem ist genau richtig beschrieben: Leuten ohne Schlüssel kann ich nichts verschlüsseltes senden und ist der Aufwand einen Schlüssel einzurichten und zu backupen zu groß!
      Nutzer sind es gewohnt Passworte einzugeben, nur so kann es funktionieren: Symmetrische Verschlüsselung. Verschlüsselte Mail schicken, Passwort über Seitenkanal durchreichen, fertig.

      1. Eine völlig absurde Haltung.

        1) „Leuten ohne vorherige Seitenkanalübertragung kann ich nichts Verschlüsseltes schicken.“ (Na, ja, kann man schon; sie können es bloß nicht lesen.)

        2) Wie groß ist der Aufwand bei zehn Kryptokontakten? Zehn Passwörter der Kategorie PgqrsriIJtlS3khEq. OpenPGP unterstützt zwar auch „symmetrische“ Verschlüsselung (bei S/MIME weiß ich das nicht), aber das unterstützt kein Mailclient. Das könnte sich natürlich ändern, so dass man die Passwörter nicht mehr per Hand (haha) eingeben müsste.

        3) Man kann Nachrichten nicht symmetrisch unterschreiben (erst recht nicht gegenüber Dritten).

        4) Nutzer sind es gewohnt, Scheißpasswörter einzugeben. Und sie sind es gewohnt, Passwörter zu vergessen. Bei symmetrischer Verschlüsselung ist dann alles vorbei, da hilft kein Backup.

        5) Wie soll der Seitenkanal automatisiert werden? Oder wie soll eine Organisation mit vielen (neuen) Kryptokontakten das ohne Automatisierung bewerkstelligen?

  2. auf geht’s – noch heute schreibt jede(r) ein paar Mails an Abgeordnete und bittet um Mitteilung des PGP-Pubkeys, da man vertrauliche Informationen über $(random-other-party) kommunizieren wolle ;-)

    1. Da wirds dann wohl, die Ausführungen im Artikel zu Grunde gelegt (”Wir geben grundsätzlich keinerlei Auskunft zu unserer elektronischen Kommunikation”), den ein oder anderen Abgeordneten geben, der überlegt die Polizei/… einzuschalten, weil er das für einen Hackerangriff o.ä. hält. ,-)

  3. Du schreibst negativ über die Verschlüsselungsvariante mit Smartcard und Kartenleser. Das kann ich nicht nachvollziehen.

    Bei der sichersten Variante der Mailverschlüsselung ist der private Schlüssel nur auf einer Smartcard gespeichert und nicht auf einem Computer. Am den daruf gespeicherten Schlüssel zu verwenden ist zusätlich ein Passwort erforderlich.

    Diese Methode funktioniert bei S/MIME recht gut und plattformunabhängig. Dass es bei OpenPGP ein ähnliches Verfahren gibt ist anzunehmen.

    Gruss

    Sven

    1. Auch wenn die Variante Vorteile haben sollte, die Einstiegshürde wäre noch höher als sowieso schon. Das sehe ich als Problem

  4. Liebe Anna,

    vielen Dank für die Arbeit, die Du Dir mit dieser Recherche und diesem Artikel gemacht hast. Ich weiß das als leidgeplagter Mensch, der bereits mehrfach versucht hat, mit Behörden, Unternehmen, Versicherungen und Banken verschlüsselt zu kommunizieren, sehr zu schätzen.

    In den vergangenen Monaten habe ich unzählige Versuche unternommen. Es war frustrierend. Was hier in diesem Text beschrieben wird, passt eins zu eins mit den durch mich gemachten Erfahrungen überein. Für mich ist die Situation insgesamt eine einzige Tragödie. Wir laufen hier herum und beschweren uns über wild herumschnüffelnde Geheimdienste und Wirtschaftsspionage; darüber, daß die Vertraulichkeit unserer (digitalen) Kommunikation absichtlich angegriffen wird und erlauben uns gleichzeitig aber SO WAS? Really? Deutschland, is this all you’re about to come up with? Man darf sich doch keine Sekunde lang über Schnorchelei beschweren, wenn man von sich aus nicht das Geringste tut, um es den Schnüfflern und Giftmischern auch nur ansatzweise zu erschweren!

    Ich bin ja inzwischen abgestumpft, was dieses Thema angeht. Wenn es rein nach mir ginge, würde jedes Unternehmen, jede Behörde, jeder Politiker, komplett gemieden werden, wenn nicht die Bereitschaft zur verschlüsselten Kommunikation besteht. Aber: Versuch das mal gegenüber Deiner Sparkasse durchzusetzen, wenn alle anderen Sparkassen/Banken genau so schlecht sind. Solange da nicht siginifikant mehr Druck von der Öffentlichkeit kommt, wird sich in Bezug darauf NIE etwas tun. Und bitte, alle die hier mitlesen, erzählt mir jetzt nichts von „Na aber der Staat macht doch DE-Mail!“. Nein, ich akzeptiere das nicht. De-Mail ist eine scheußliche Infrastruktur, die Vertraulichkeit *bewusst* untergräbt. Durchgefallen, disqualifiziert, der nächste Probant bitte!

    An alle, die, wie ich, gerne mehr Verschlüsselung sehen wollen, habe ich nur diese Bitte: Macht Druck gegenüber euren Dienstleistern, Behörden, Versicherungen, Banken und Infrastrukturanbietern. Ohne diesen Druck, wird sich hier niemals etwas tun!

    1. Liebe Teckies: Ich WILL NICHT MEHR Verschlüsselung!
      Es ist eine Horrorvorstellung, jetzt auch noch die Kommunikation mit Banken und Behörden künstlich zu erschweren.Was hier propagiert wird, ist ein solutionistisches Weltbild, das meint, alle gesellschaftlichen Probleme mit Technik lösen zu können. Das Problem ist nicht, dass irgendwer meine Steuerunterlagen oder privaten Mails sehen kann. Das Problem ist, dass dies komplett intransparent geschieht, nicht kontrolliert wird und bei rechtswidrigen Verstössen nicht sanktioniert wird. Dagegen bring Eure Verschlüsselung gar nichts. Im Gegenteil, das ist eine Nebelkerze, die vom eigentlichen Problem ablenkt. Das Problem ist nicht, dass Politiker ihre Mails nicht verschlüsseln, zefix, das Problem ist, dass sie die Geheimdienste nicht überwachen und sanktionieren.

  5. Danke für die Mühe des Selbstversuchs,

    hatte ähnliche Sachen auch schon gemacht. Habe paar Anmerkungen dazu

    1.) Die Entwickler von PGP / GnuPG usw. sind mit-Schuld dass so wenige es nutzen weil die es einfach nicht kapieren und da nicht sich erstmal Videos und Anleitungen ankucken wollen. Das sollte man also automatischer handlen können und auch benutzerfreundlicher.

    2.) Für Windows gibt es KEIN PGP ! Das mussten SEHR viele nicht-Technik-versierte überraschend feststellen als sie danach googleten und entweder nix fanden oder jede Seite die PGP enthielt zu Symantec führte. Daher kläre ich auf: Das Pretty Good Privacy Programm für Windows heißt: GPG4Win

    http://gpg4win.de

    3.) Statt verschlüsseln empfiehlt sich auch der folgende Dienste mit dem man Nachrichten erstellen kann die sich nur einmal aufrufen lassen. Die IP wird nicht gespeichert und die sind mit 256AES verschlüsselt außerdem auf Deutsch.

    4.) Verschlüsseln ist im Grunde auch gar nicht nötig solange man VPN benutzt. Bei VPN wird ALLES verschlüsselt was sich mit dem Internet verbindet: Games Programme Skype Messenger Browser usw. bei Tor hingegen nur der Browser Traffic. Außerdem ist VPN viel schneller als Tor. Die IP wird auch nicht gespeichert und das ganze ist ebenfalls mit verschiedenen Verschlüsselungsprotokollen angeboten: OpenVPN, SOCKS, PPTP, IPsec L2TP und das ganze dann mit AES verschlüsselt. Ich empfehle 2 sehr gute schnelle und bewährte

    http://cyberghostvpn.com
    http://hide.me

    Jedenfalls braucht ihr nicht zu verschlüsseln mit VPN da die VPN Verbindung einen verschlüsselten Tunnel aufbaut mit dem ihr z.B. auch im öffentlichen WLAN sicher seid. Als Normalbürger ist es im Netz das wichtigste NICHT dass die Daten verschlüsselt sind sondern dass man seine IP versteckt ! Das bedenken die meisten überhaupt nicht.

    5.) Noch ne Anmerkung wegen der Sache: Überrascht euch das Ergebnis wirklich ? Ich meine kuckt euch die PO-litiker doch an. Das sind alles Rentner in Führungspositionen ist doch klar dass die NULL Ahnung von IT und Technologie und Computern und sowas haben. Schon die Vorstellung ist übelst lustig – stellt euch mal euren Opa oder Oma mit Tablet vor wie sie da mit Verschlüsselungstools hantieren – genau so ist es bei den Politikern.

    6.) Im Übrigen hat mir in dem Artikel der Aufruft gefehlt den Politikern zu schreiben und Links zu deren e-mail Adressen zu veröffentlichen damit man die gleich anschreiben und zu Antworten drängen kann

    7.) Was viele Leute auch nicht wissen oder bedenken die sich nicht so mit Technik auskennen – es gibt noch mehr als PGP und TrueCrypt. Hier ne nette Auswahl mit benutzerfreundlicheren Tools

    http://www.chip.de/Downloads_13649224.html?tid1=39013&tid2=0

    Ansonsten verschlüsselt online

    https://encipher.it/

    1. EIn VPN-Tunnel kann doch bitte nicht das Verschlüsseln einer Mail ersetzen! Oder wie stellen Sie sich vor, daß das funktionieren soll? Da nutzt der schönste Tunnel nichts, wenn die Mail dann im Klartext am Mailserver liegt.

    2. Die Tools die Du empfielst sind nur begrenzt tatsächlich empfehlenswert. Bei encipher.it wird der Klartext auf den Server geladen und dort verschlüsselt. Heißt : im Zweifelsfalle hat der Betreiber von encipher.it deine Nachricht im Klartext vorliegen.
      VPN-Tunnel ersetzt, wie Robert schon erläutert, keine E-Mail-Verschlüsselung, denn spätestens wenn die Nachricht den Tunnel verlässt (also da wo der VPN-Server sie zum Mail-Server schickt) wandert sie wieder im Klartext durchs Internet.
      Warum jetzt das Verstecken der IP-Adresse wichtiger sein soll, als seine Daten zu verschlüsseln wird mir auch nicht klar, denn aus den Daten (zB. Mails) lässt sich deine Identität leichter ermitteln als aus deiner IP-Adresse.

    3. Das ist doch in mehrerer Hinsicht Unsinn. Ohne auf alle eingehen zu wollen, nehme ich nur den ersten Abschnitt: Benutzerfreundlichkeit von PGP/GPG.

      Meiner Meinung nach sollte man den Leuten beibringen, dass echte Sicherheit immer einen Verlust von Bequemlichkeit mit sich bringt.

      Beispiel: Der Fingerabdruckscanner des iPhone 5S ist tierisch bequem, aber er bringt nicht den Gewinn an Sicherheit, der dem User suggeriert wird.

      Analogie: Haustüren ohne Schlösser wären viel bequemer zu benutzen.

      Sicherheit und Bequemlichkeit schließen sich meiner Meinung nach aus. Es ist bei digitaler Verschlüsselung immer ein Verlust an Benutzerfreundlichkeit hinzunehmen, der aber durch Aufklärung kompensiert werden kann.

      1. Das ist der entscheidende Punkt.

        Man muss sich auch darüber im klaren sein, dass der Lernaufwand einmalig ist und dass asymmetrische Kryptografie nicht unverständlich kompliziert ist – wenn man nicht gerade versucht Leute ohne Vorwissen in drei Stunden damit vertraut zu machen, sondern ihnen dafür mehr Zeit gibt (v.a. an Schulen, aber auch gestreckte Schulungen sind zu diesem Zweck denkbar).

        Ein weiteres großes Problem in diesem Zusammenhang ist, dass immer unterschiedslos von „Sicherheit“ gesprochen wird und jeder (zurecht) etwas anderes darunter versteht. Da muss unsere Sprache präziser und einfacher werden. Was ist fallweise gefordert?

        http://www.crypto-fuer-alle.de/wishlist/securitylevel/

    4. Meine Vorredner haben schon das Meiste gesagt, was auch mir auf der Zunge lag. Jedoch wollte ich noch etwas ergänzend erwähnen:

      Zu 4: TOR unterstützt nicht nur Browser-Traffic, also HTTP und HTTPS (OSI-Layer 7, Layer 4: TCP), sondern alle TCP-Anwendungen. UDP zu tunneln ist afaik nicht möglich, jedoch verwenden die meisten Programme sowieso TCP. Mit den richtigen Firewall-Einstellungen kann man somit sehr wohl den gesamten fast allen Traffic über TOR leiten. (Dazu ist natürlich auch die richtige Firewall von Nöten ;-) )

      Wohingegen ein kommerzieller VPN-Anbieter vor allem eines ist: kommerziell. Damit will ich andeuten, dass dieser auf finanzielle Absichten hin handelt. Ob dieser deine Daten mitschneidet, kannst Du unmöglich wissen.
      Die, von Dir genannte, höhere Geschwindigkeit kannst du mit TOR auch annähernd erreichen, indem du die torrc-Konfigurationsdatei vernünftig anpasst. Außerdem sollte ein anonymer Tunnel wohl kaum zum Tauschen von Gigabytes an pr0n benutzt werden. Dafür gibt es einen pseudosicheren VPN-Zugang.

      Besonders die Beiden von Dir genannten Anbieter sind sehr fragwürdig:
      Der erste war früher für seine Logging-Aktivitäten bekannt. Außerdem erzwingt dieser, obwohl die Technik (soweit ich weiß) auf OpenVPN basiert, einen proprietären Client beim Nutzer – dieser schließt ganz nebenbei freie Betriebssysteme aus. Nice work!

      Deine andere Empfehlung hat seine Wurzeln in der Warez-Szene, welcher ich unabdingbar meine Privatsphäre in die Hände legen würde – sofort!

      Falls ich eine VPN-Provider-Empfehlung aussprechen müsste, würde ich vermutlich zu IPredator oder Perfect-Privacy raten. Wobei ersterer lediglich in Schweden hostet und mir nicht ganz suspekt ist. Letzterer hat fragwürdige Verbindungen zu braunen Zeitgenossen..

      Zusammengefasst (kuhle Kids sagen tl;df): Nutze TOR und steuere selber etwas zu dem Netzwerk bei, dann wird sich das Geschwindigkeitsproblem von selber lösen.

    5. aufpassen, dieser zeitgenosse ist ein scharlatan mit gefährlichem Halbwissen.

      Die meisten seiner Ausführungen sind technisch gesehen eher schwachsinnig.
      Haben zwar etwas mit Verschlüsselung zu tun aber sinn macht das ganze auch nicht.

      ein VPN ist kein Verschlüsselungsprogramm, ein Tor ist nicht nur über den Browser verwendbar und anderes zeug das er da schwer durcheinanderbringt und verschwurbelt.

    1. Eigentlich egal, zu welchen Deiner Punkte Du ein „ups“ nachschiebst — die sind alle und komplett ahnungsloser Quark.

    1. What?? apt-get install gnupg?

      seufz… fällt den Admins offensichtlich leichter den Behörden den Boden (Windows) unten den Füßen wegzuziehen als PGP-Verschlüsselung einzuführen.
      Zumindest so ein kleines, verwaistes Pseudo-Konto hätte ich jetzt erwartet…

      Aber verstehen kann ich die derzeitige Lage irgendwie schon:

      1. GPG (für Windows) ist auch seit Ewigkeiten nicht benutzerfreundlicher geworden!
      Als Windows-Nutzer wird man allerorts auf Thunderbird+Enigmail verwiesen ->

      2. Also muss man erst TB+Enigmail+GPG installieren.

      3. Enigmail selbst (BETA) ist leider von der Usability her immernoch nicht DAU-kompatibel. Woran das liegt?

      4. Der Entwickler von Enigmail, schultert das Projekt (den Contribs nach) praktisch alleine und hält das Tool über Wasser!
      Seitens Mozilla kommt da leider nix.

      Alle Welt verweist beim beliebten Thunderbird auf Enigmail und am Ende bleibts an einem ehrenamtlichen Programmierer hängen.

  6. Liebe Anna,
    ich kann Deine Ansicht „S/MIME-Zertifikaten inakzeptable Hürde“ nicht nachvollziehen. Die Installation in Thunderbird erschien mir leicht als PGP zu installieren.
    Aber:
    a) wo bekomme ich ein kostenloses *vertrauenswürdiges* X.509 Zertifikat her. (Danke Roland für Hinweis auf StartSSL).

    b) Das Problem ist der öffentliche Schlüssel des Gegenübers. Woher weiß ich, in welchem Verzeichnis mein Gegenüber geführt wird.

    @Bundes CIO CORNELIA ROGALL-GROTHE: Wer DE-Mail? Wir brauchen einen öffentlichen Verzeichnisdienst, aus dem alle öffentlich verfügbaren X.509 und PGP Zertifikate abgerufen werden können! Allein für Deutschland müsste durchsucht werden X.500-directory des Bundes, DFN Verzeichnisdienst, telesec, signtrust, D-Trust,… und viele weitere nicht so bekannte.
    Ich kann ja nicht jeden Gegenüber bitte mir erst einmal ein signiertes E-Mail zu schicken, um seinen öffentlichen Schlüssel zu importieren.

    @Anna: Ein Interview hierzu mit Staatssekretärin Rogall-Grothe wäre interessant.

    Grüße Hans

    1. 1. Vertrauenswürdiges Zertifikat
      Letztlich ist es egal, wer den Schlüssel signiert (=Zertifikat). S/MIME funktioniert wie PGP mit öffentlichen und privaten Schlüsseln. Die CA (Zertifikateaussteller) sollten idealerweise nicht im Besitz des privaten Schlüssels sein. Bei StartSSL.com wird der Schlüssel im Browser generiert und damit ein Zertifikate-Request an StartSSL gestellt. Es gibt sicher schönere Wege für versiertere Nutze, aber für diesen Zweck scheint es ausreichend

      2. Directories/Verzeichnisdienste, insbesondere bei PGP, sind nichts wert. Fakes und Fake-Trust sind sehr einfach einzuschleusen. Ich signiere per default alle Mails von allen Geräten und schicke mein Zertifikat mit. Somit kann die Gegenseite, sofern sie selbst S/MIME konfiguriert hat, auch verschlüsselt antworten. Meines Wissens signieren Unternehmen wie Postbank und Allianz schon einen Großteil der ausgehenden E-Mails.

      Das „einsickern“ über bestehende Mail-Kontakte ist m.E. auch weniger anfällig für Angriffe, als ein großer Verzeichnisdienst. So oder so fällt ein untergeschobenes Doppel-Zertifikat auf. Im Vergleich zu https ist eine Man-in-the-Middle-Attacke auf dem Transportweg nicht spurlos durchzuführen, ausser man besitzt bereits Vollzugriff auf eine der beiden Endpunkte.

      1. [blockquote]
        2. Directories/Verzeichnisdienste, insbesondere bei PGP, sind nichts wert. Fakes und Fake-Trust sind sehr einfach einzuschleusen.
        [/blockquote]

        Ich kann zwar einen PGP-Schlüssel mit der ID „Angela Merkel“ erstellen, aber wie soll denn jemand dem fälschlicherweise vertrauen?

        Natürlich sind die Verzeichnisdienste gut, denn sie erlauben die einfache Verteilung und Kontrolle von Schlüsseln, denn ich kann mir die Schlüssel und ihre jeweiligen Vertrauensstellungen an verschiedenen Stellen im Netz anschauen (oder auch selber ausrechnen).

        [blockquote]
        Ich signiere per default alle Mails von allen Geräten und schicke mein Zertifikat mit. Somit kann die Gegenseite, sofern sie selbst S/MIME konfiguriert hat, auch verschlüsselt antworten.
        [/blockquote]

        Und wo ist da der Vorteil gegenüber dem Zustand, daß ich (bei PGP) den Schlüssel von einem unabhängigen Schlüsselservernetzwerk herunterlade?

        [blockquote]
        Meines Wissens signieren Unternehmen wie Postbank und Allianz schon einen Großteil der ausgehenden E-Mails.
        [/blockquote]

        Und meines Wissens nutzen Unternehmen wie Siemens PGP, weil S/MIME wohl doch nicht wirklich brauchbar ist. Kann man denn damit inzwischen wenigstens auch MIME-Mails verschlüsseln, oder geht das immer noch nicht (bei PGP kein Problem)?

        Wie Hauke Laging schon schrieb: Wer heute nach Snowden immer noch zentralistischen Ansätzen, und S/MIME ist inhärent zentralistisch, das Wort redet, der hat zumindest den Schuß nicht gehört, oder ist, falls die Aussage trotz Sachkenntnis getätigt wird, meiner Einschätzung nach zutiefst unredlich, um es vorsichtig auszudrücken.

  7. Gibt es eigentlich einen SPAM-Filter für Verschlüsselte Mails, vor allem in dem Fall das man zu 30-40% mit Unbekannten (erst Kontakt) kommuniziert?

    Wenn von 100 Mails am Tag ‚max.‘ 25% verschlüsselter SPAM sind um den man sich von Hand kümmern muss wird das echt lästig :(

    1. Da müsste der Spam-Filter den privaten Schlüssel kennen. Wenn im Mailclient gefiltert wird, halte ich das für unproblematisch (da muss der Klartext ja eh vorliegen), bei einem serverseitigen Filter sollte man das nicht machen.
      Andererseits: Ist wirklich davon auszugehen, dass es signifikant verschlüsselten Spam gibt? Immerhin erfordert Verschlüsselung Rechenleistung und man kann nicht tausenden dieselbe Mail schicken (es muss für jeden Empfänger einzeln Verschlüsselt werden). Die Kosten dürften also deutlich höher liegen als bei unverschlüsseltem Spam.

    2. Das Verschlüsseln von Spam lohnt sich nicht, weil es sehr aufwendig ist: Die versendenden Rechner müssen sich erst das Zertifikat besorgen (das oft größer ist als die Mail!), und dann ist es mit erheblichem Rechenaufwand verbunden, die Nachricht zu verschlüsseln.

      Außerdem bietet Kryptografie nicht nur Verschlüsselung, sondern auch digitale Signaturen. Man könnte eine verschlüsselte Mail um eine unverschlüsselte Transportsignatur ergänzen, mit der man die Nachricht als legitim ausweist. Anonym ist der Mailversand dann natürlich nicht mehr, aber das ist er heute ja auch nicht.

    1. Och, bitte…

      – Mails werden nicht verschlüsselt.
      – „Die Festplatten unserer Server sind AES-verschlüsselt“. Geil, hab ich den Key oder Posteo?

  8. Hallo Anna,

    auch von mir vielen Dank für die Recehrche. Ich bin mit diesen Fragen auch vertraut gewesen und versuche als MdL die Situation sowohl in Fraktion als auch Landtag zu verbessern. Hängt immer von den Leuten vor Ort ab, und so weit wie Katharina König in Thüringen sind wir da in der Tat noch nicht.

    Kurzer Kommentar zu Und erst wenn diese Forderung von genügend Bürgern kommt, wird irgendwann auch die letzte Fraktion aufwachen und erkennen, dass Verschlüsselung keine Fantasie von Nerds und Verschwörungstheoretikern, sondern allgemein angebracht ist.

    Abgesehen davon, dass der Satz so stimmt, ist es ja nicht unser Wille darauf zu warten. Oder anders gesagt, so lange zu warten, dass es gerade jeder Druck von den vielen Aufforderungen der Bürger ist, der das Denken und Handeln ändert. Abgeordnete müssen schon den Anspruch haben frühzeitig (also Moment schon vorbei) zu handeln.

    Warum auch noch nicht warten? Ich sehe halt nicht, dass das passiert. Deswegen muss m.E. ein „irdisches“ Beispiel für jeden Verantwortlichen gefunden werden. Das ist nicht einfach, selbst für „einfache“ Abgeordnete ist Überwachung zu abstrakt. Können wir scheiße finden, aber nicht negieren.

    Noch eine kurze subjektive Einschätzung, da ich auch Leute ermutige Mails an mich zu verschlüsseln: Die meisten verstehe mich nicht, selbst wenn sie gewillt sind. Da übernehme ich die volle Verantwortung™ und schreibe es meinen allenfalls defizitären pädagogischen Fähigkeiten zu. Das tatsächlich häufigste Argument von Verschlüsselungsverweigern ist aber „«Die» hören ja sowieso alles ab.“ Und dann ist da der Moment, an welchem du dem Gmail/GMX/Outlook-Kunden nicht widersprichst…

    PS: Klasse, Thüringen. Weiter so. ;)

  9. Dieses Versagen müsste permanent von den Medien aufgezeigt werden. Es ändert sich nichts, weil Versager im Amt nicht sanktioniert werden.

    http://www.crypto-fuer-alle.de/andere/hall-of-shame/

    Es ist doch unmittelbar offensichtlich, dass inkompetente Politiker den aufgedeckten Schaden nicht vom Deutschen Volk abwenden können. Und wer möchte nun damit argumentieren, dass nur die Minister, nicht aber die Abgeordneten einen solchen Diensteid leisten?

    Wofür bekommen die, die professionell und vertraulich kommunizieren müssen!, zigtausend Euro im Monat, für die Großtat, ein paar zusätzliche Millionen zum BSI zu schieben?

    Es helfen nur noch drastische Maßnahmen.

    http://www.crypto-fuer-alle.de/wishlist/petition-crypto-bundestag/

    1. Langsam nervt deine penetrante Eigenwerbung und die Unsachlichkeiten die du verbreitest. Gerade dieser Eifer und Radikalismus hat schon vor 10 Jahren nicht funktioniert, weshalb selbst Open Source Aktivisten äusserst selten PGP untereinander nutzen.

      Web Of Trust ist der Traum jedes Post-Privacy-Fans, weil man so wunderbar sämtliche Beziehungen automatisiert auswerten kann.

      Wer also nach Snowden weiterhin ein offenes WoT propagiert, FUD gegen CAs fährt und wahrscheinlich auch noch nie realisiert hat, dass S/MIME out of the box auf allen populären OS in den Standard-MUA funktioniert…

      tja. So wird das nichts.

      Gerne weise ich nochmals auf die Liste von Unternehmen und Behörden hin, die S/MIME auf X.509-Grundlage einsetzen:
      https://gist.github.com/rmoriz/5945400

      Thunderbird, Mail.app, Mail auf iOS, Outlook, Lotus… können alle S/MIME out of the box. Support vom Hersteller out of the box, kein 3rd-party-binary notwendig!

      Die Feinde der Verschlüsselung sind nicht die unbedarften Nutzer sondern Evangelisten, die seit 10 Jahren Wein predigen und damit bis heute 0 Erfolg haben.

      Umdenken oder untergehen.

      1. Was Leute, die Schrott-Technik propagieren, nervt, geht mir sonstwo vorbei. Und die „Werbung“ sind kontextrelevante Links zu exzellenten Informationsquellen. Dass Du nicht mehr zu bieten hast, als immer wieder „StartSSL“ zu rufen, ist nicht mein Problem.

        Recht hast Du mit der Feststellung, dass sich vor zehn Jahren keiner für Kryptografie interessiert hat. Nur betrifft das eben nicht allein OpenPGP; das sieht bei X.509 nicht anders aus. Um im Hinblick auf die Einstellung sowohl der ITler als auch der Bevölkerung insgesamt die Zeit vor Snowden mit der danach gleichzusetzen, muss man schon völlig kaputt sein. Wie hat sich seitdem die Verbreitung von X.509 verändert und wie die von OpenPGP? Oooops.

        Deine Post-Privacy-Bemerkung offenbart, dass Du vom WoT nicht viel Ahnung hast. Einerseits sagen (was durchaus problematisch ist) die Signaturen nichts Relevantes über Beteiligten aus (sogar „gute“ Signaturen nicht mehr als dass die beiden einander mal auf einer Keysigning-Party getroffen haben), andererseits gibt es mehr als nur die beiden Extreme CA und „jeder signiert jeden“. Die wichtigen Kontakte verifiziert man sowieso direkt (und davon muss das WoT nichts mitkriegen). Der Gipfel der Lächerlichkeit ist, dass ich einer der energischsten Kritiker des WoT bin und Du ausgerechnet mir Propaganda dafür vorhältst. Erinnert mich an das sinnfreie Gelaber der Berufsfeministen.

        Ich muss Dich enttäuschen. Genauso wie „Rassismus“ und „Sexismus“ ist „FUD“ nicht irgendein Ausdruck, den man zur Diskreditierung anderer einfach mal einstreuen kann, sondern er hat einen Sinn. Der wesentliche Sinn ist: „Man weiß es nicht.“ Nun mag es sein, dass Du seit fast einem Jahr der Berichterstattung systematisch ausweichst und es Dir deshalb nicht klar ist, aber: Inzwischen wissen wir. Und für die grundsätzlichen Mängel des Systems hätte man nicht einmal Snowden gebraucht. Die Argumente gegen Zentralisierung sind präzise und belastbar. Das ist das Gegenteil von FUD.

        Und wenn andere aus einer allgemein bekannten Tatsache andere Schlüsse ziehen als Du und Du dann statt einer Analyse der Relevanz nichts Besseres zu tun hast als als einfach mal zu behaupten, die anderen hätten dieses Basiswissen nicht, dann ist das nicht überzeugend, sondern einfach nur peinlich. Wenn ich jemanden überzeugen soll, die Finger von X.509 zu lassen, dann zeige ich einfach auf dessen Protagonisten.

        Aber so wird das ja nichts, was? Selten ist mal jemand so mit der Realität kollidiert.

        Keine Sau interessiert, was Behörden und Unternehmen machen. Intern sollen die machen, was immer sie wollen. Aber wenn Behörden und Unternehmen X benutzen und der Bürger, also der Wähler und Kunde, Y, wie wird dieses Kräftemessen in Bezug auf die Kommunikation zwischen den beiden Seiten wohl ausgehen? So wie es immer ausgeht.

        Ich mache seit 1,5 Jahren in erheblichem Umfang Schulungen. In dieser Zeit ist mir nie das Argument „Iiieeh, das ist ja ein 3rd party binary…“ begegnet. Das wäre ja auch lächerlich, sich über den Support einer Close-Source-Software zu freuen, damit man nicht auf ein massenhaft genutztes Open-Source-Produkt angewiesen ist. Aber wahrscheinlich denken massenhaft Leute so wie Du – und kommen deshalb gar nicht erst auf die Schulungen. So wird es sein.

        Verschlüsselung hat kaum „Feinde“. Daran, dass sie sich nicht durchsetzt, sind diverse Gruppen schuld (wie man der Werbung entnehmen kann). Die Realität sieht so aus, dass die Evangelisten zwar bisher keinen großen Erfolg hatten, aber die einzigen sind, die überhaupt Erfolge vorzuweisen haben.

  10. Hallo Anna,

    Ich nutze S/MIME seit über 10 Jahren und das ist so einfach, dass meine Freunde, meine Frau und sogar meine Eltern es nutzen. S/MIME-Zertifikate gibt es reichlich kostenlos (CertifyID WISeKey (https://secure.certifyid.com), StartSSL , InstantSSL, CAcert, Web.de). Die Erstellung ist eigentlich Minutensache. Das geht schneller als GPG zu installieren.

    Probiere es doch einfach mal aus.

  11. Ich bin ja auch nur Laie in dieser Frage. Aber ich habe immer den Eindruck, dass Authentisierung des Senders und des Empfängers und Transportsicherheit hier gerne in einen Topf geworden werden, was das Ganze für den Anwender undurchschaubar macht.

    Es wäre schon sehr viel gewonnen, wenn man mit einer halbwegs vernünftigen Sicherheit von einer Transportverschlüsselung ausgehen könnte. Analog zum Brief, der verschlossen versendet wird, aber natürlich ein motivierter Gegner mit Resourcen diesen unbemerkt öffnen könnte.

    Die Verbindung zu meinem Mailserver (IMAP/POP3 und SMTP) laufen heute schon über TLS verschlüsselte Verbindungen. Es wäre Aufgabe der Admins des Mailservers den Weitertransport an dem Empfänger nur über ebenso verschlüsselte Verbindungen mit Perfect Forward Secrecy versenden würde.

    Das ganze liesse sich einrichten, ohne das sich Enduser mit Zertifikaten Vor- und Nachteilen der verschiedenen Verschlüsselungsmethoden beschäftigen müssten. Im Idealfall könnte man die Mailtransportprotokolle um einen weiteren Befehl erweitern, bei dem man für eine gegebene Emailadresse den Transportweg auf Sicherheit prüfen könnten, und das Mailprogramm würde eine Warnung ausgeben, wenn das nicht gegeben ist.

    Natürlich lägen die Mails unverschlüsselt auf den Mailservern, aber hier könnte der Admin auch mit Dateiverschlüsselungen mit EncFS oder Truecrypt einen gewissen Grad an Sicherheit darstellen.

    Anstatt sich einmal mit sicher nicht perfekten, aber einfach anwendbaren Lösungen zu beschäftigen, wird das Thema Mailverschlüsselung gerne verwendet, die Enduser als technische Analphabeten vorzuführen. Wer für sich mehr Sicherheit wünscht, kann ja dann immer noch S/MIME oder PGP oder auch GPG draufsetzen, oder setzt sich zu Hause einen eigenen Mailserver für die Kommunikation auf.

  12. KinderInnen
    PersonInnen
    MenschInnen
    SieInnen (Also natürlich der Honorativ)
    GruppInnen

    und Grunsätzlich alle Wörter im Plural.

    1. ich sehe in ihrer skandalösen bemerkung die entmenschlichende diskriminierung von vanillekipferlnnen.

      das klage ich an.

      .~.

  13. Die IP zu verstecken ist wichtiger, weil sicherer Mailverkehr auch heißt, dass man nie seine echten Daten eingibt. Wenn man z.B. über Tor an die Bullen oder Geheimdienste oder ne Behörde oder Anwälte usw. ne kritische Mail schreibt oder jemanden im Internet beleidigt oder bedroht, dann kann es ruhig im Klartext stehen. Niemand kann mit nem Pseudonym was anfangen und selbst wenn da ein Name im Klartext steht, heißt es nicht, dass es auch die Person ist. Also schaut man nach der IP, ist die von einem VPN Server oder nem Proxy oder Tor eben, sind die Ermittlungschancen NULL ! Und jetzt vergesst mal die NSA & Co. Paranoia, ich rede von den Leuten ausm Alltag, die Uploader von Copyright Files und sowas. Die haben nix vom Geheimdienst zu befürchten.

    Beim Kopp Verlag steht auch bei Wikipedia nur Kritisches drüber, obwohl Wikipedia laut Regeln NUR objektive Beschreibungen liefern soll. Aber wer Wikipedia als Quelle und auch noch als primäre, dem ist echt nicht mehr zu helfen. Googlet mal über Wikipedia hinterher, das ist mittlerweile nichts weiter als eine PR Maschine.

    Im Übrigen empfiehlt es sich direkt auf die Beschreibung der Seite zu linken und nicht auf irgendwelche Dritt-Quellen, die sich hinter Offshore Servern verstecken.

    http://www.kopp-verlag.de/Ueber-uns.htm?websale8=kopp-verlag&tpl=tpl_ueber_uns.htm&otp1=ueber_uns

    Außerdem kann soviel Kritik oder Flaming und Spam über die Seite stehen wie es will, wer die Seite besucht und paar Aritkel durchliest (und zwar bis zum Ende, denn dann wird er sehen, dass der Verlag NICHTS mit dem Inhalt zu tun hat, sondern NUR der Autor für den jeweiligen Artikel verantwortlich ist und die Quellen außerdem ebenfalls mit angegeben sind, sodass diese „anzuprangern“ wären und nicht der jenige der die Nachricht übersetzt oder darüber schriebt)

    Die IP ist und bleibt das wichtigste, um sich im Internet zu verstecken, denn niemand ist so hohl und quatscht von sicherer Kommunikation, aber verwendet dabei seine echten Daten, wie etwa e-mail Adresse, Nachnamen, Adresse, Tel.Nr. u.ä.)

    Bei ner verschlüsselten Mail, besteht zumindest theoretisch die Möglichkeit die zu entschlüsseln oder den Key zu bekommen, bei dem Dienst hier aber ist die Mail beim 2. mal nicht mehr aufrufbar.

    https://privnote.com

    Ihr könnt diese einmal-gültige-Mail auch mit nem Passwort verschlüsseln.

    http://www.hidelinks.com

    DAS liebe Leute ist kompetent.
    DAS ist benutzerfreundlich.
    DAS ist sicher.

    Alles in Verbindung mit VPN wie bereits gesagt. Und da braucht ihr mir nix zu erzählen. Ich schreibe schon seit Jahren Behörden an, Justiz, Bullen, BKA, LKA, Geheimdienst, BND, MAD, NSA, CIA, FBI, Zoll und und und – habe schon zig Leute bedroht und beleidigt gegen Unmengen von Copyrightdings verstoßen und nie NIE kam was.

    VPN ist das sicherste Allround Paket was man haben kann im Netz, sowohl für die Profis als auch – und besonders für die – Anfänger

    1. zig leute beleidigt?

      hoffentlich nicht als pr-maschine. oder verschwörungstheoretischer fachverlag. besonders für die – anfänger.

      ach ja, wo wir gerade beim thema sind:

      kommt ein ufo an die tankstelle. sagt das ufo zur zapfsäule: „ey, alter. nimm den finger aus dem ohr, wenn ich mir dir rede.“

      .~.

  14. Können wir nicht bitte endlich eine Email-Verschlüsselung haben, die auch möglichst viele der Metadaten enthält? Oder wenigstens den Betreff?:)

    GPG ist nicht schwer zu nutzen, aber es ist nun mal weder ein „Leidensdruck“ da, noch hat man einen Vorteil durch die Nutzung. So gesehen ist es kein Wunder, dass es sich nicht durchsetzt. Es ist befriedigender, seinen Verbandskasten im Auto umzusortieren.

    1. So sieht es doch aus. GPG ist weitgehend nutzlos, da der Betreff überhaupt nicht verschlüsselt wird. Schlimmer noch, es ist sogar gefährlich, da es mit Sicherheit viele Leute gibt, die nicht realisieren, dass das so ist und sich dadurch in falscher Sicherheit wiegen.
      Da muss dringend was neues her.

  15. „Mit S/MIME-Zertifikaten bildet sich für den normalen Bürger aber eine inakzeptable Hürde, …“

    Stimmt nicht. Geht mit caCert sehr einfach..

  16. Eine erste schnelle Lösung könnte doch so aussehen daß die Abgeordneten ein Kontaktformular auf ihrer SSL-verschlüsselten Webseite anbieten. Das ermöglicht zumindest die verschlüsselte Kontaktaufnahme.

    Ich halte S/MIME Zertifikate (auch die von StartSSL) nicht für wertlos: Wenn man es mitbekommt, wenn das verwendete Zertifikat gewechselt wird (Certificate Pinning) ist es eigentlich fast egal, welche CA das Zertifikat ausgestellt hat.
    Wenn man sich erstmal ein S/MIME-Zertifikat geholt und installiert hat (wird z.B. hier erklärt: http://www.heise.de/ct/artikel/Brief-mit-Siegel-1911842.html ) funktioniert es von da an transparent.

  17. Für die FDP-Landtagsfraktion in Niedersachsen hab ich mir die Frage auch schon gestellt, aber leider noch keine befriedigende Lösung gefunden.

    Der Niedersächsische Landtag arbeitet im Wesentlichen mit Outlook/Exchange. Da dachte ich mir halt: „Gehste zur Landtagsverwaltung, die werden doch bestimmt ne CA haben, lässt dir für jeden MdL und Fraktionsmitarbeiter so’n Zertifikat ausstellen, spielst denen das in ihr Outlook ein und setzt dann überall die Häkchen für ‚Immer signieren und nach Möglichkeit verschlüsseln.“
    Leider hat der Niedersächsiche Landtag keine CA für sowas.

    Jetzt könnt ich natürlich hingehen und mir selber ne CA machen, die ich dann halt nutze um die Zertifikate auszustellen. Dann bekomme ich allerdings das Problem, dass die natürlich in den Outlooks der anderen Fraktionen und der Landtagsverwaltung und sowieso bei jedem Externen, der da ne signierte Mail bekommt immer als BÖSE, BÖSE, NICHT VERTRAUENSWÜRDIG angezeigt wird. Sodass ich dann erst mal den ganzen Usern erklären muss, dass sie das mal ignorieren sollen.

    PGP wäre ne Alternative, funktioniert aber mit Outlook in der Praxis auch nicht so richtig gut. Und auch da müsste man dann natürlich hingehen und erst mal gegenseitig alle Schlüssel verteilen und gegenseitig am Besten auch gleich unterscheiben und vertrauen usw. Auf alle Fälle sehr viel Aufwand. Er wäre es wert, sicher, aber die Zeit muss man auch erst mal über haben.

  18. Bayerische Behörden bieten PGP an. Allerdings sollte man nicht versucht sein es zu benutzen, denn verschlüsselte E-Mails an die Poststellen (nur die Poststellen haben PGP-Keys) gehen dort gerne unter.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.