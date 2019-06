Jeder kennt das: Man ist im Stress, ein schneller Anruf von der Bank – es werden noch Daten für eine dringende Überweisung benötigt – was geht da schneller und einfacher, als im Nachgang an das Telefonat eine kurze E-Mail zu schreiben und die benötigten Infos damit zu verschicken. So weit, so gut, und angekommen ist auch alles – doch wer kann hier eigentlich mitlesen?

Das Thema Datenverschlüsselung ist populärer denn je. Und gerade für die E-Mail mit sensiblen Informationen, die ohne eine solche Verschlüsselung im Klartext, möglicherweise sogar noch aus dem offenen Hotel- oder Zug-WLAN, verschickt wird, gilt: Achtung, hier sind die Daten nicht sicher! Mittlerweile gibt es aber immer mehr Möglichkeiten, auch für den Endverbraucher, seine Kommunikation kostengünstig oder gar kostenlos vor neugierigen Dritten zu schützen – und das, auch ohne ein Technik-Nerd zu sein. Für die Mailverschlüsselung gibt es zum Beispiel die frei im Internet erhältliche kryptografische Software „GNU Privacy Guard“ (GnuPG), womit sich Daten ver- und entschlüsseln und elektronische Signaturen zur eindeutigen Identifizierung im Netzverkehr generieren lassen. Auch kann so garantiert werden, dass die verschickten Daten auf dem Transportweg nicht unbefugt manipuliert wurden. GnuPG gibt es für unterschiedliche Betriebssysteme und für verschiedene Anwendungen – so beispielsweise als Plug-In für Mozilla Thunderbird oder für Microsoft Outlook.

Das technische Verfahren, das hinter dem Tool steckt, ist gleichermaßen einfach wie revolutionär: Da es sich um eine so genannte „Public-Key“-Verschlüsselung handelt, besitzt jeder Nutzer ein zweiteiliges so genanntes „Schlüsselpaar“: Der private Schlüssel gehört allein seinem Eigentümer und sollte mit einem hinreichend komplexen Passwort geschützt sein. Diesen privaten Schlüssel verwendet man zum Entschlüsseln und zum Signieren von Daten. Der öffentliche Schlüssel hingegen ist für jedermann zugänglich, und mit ihm kann man dann Daten verschlüsseln und signierte Daten prüfen. Natürlich kann man aber mit dem öffentlichen Schlüssel nicht die Funktionen ausführen, die mit dem privaten Schlüssel möglich sind. Da sich theoretisch jeder ein solches Schlüsselpaar erstellen kann, stellt sich natürlich die Frage, wie man verlässlich herausfinden kann, wer welchen öffentlichen Schlüssel hat. Hierzu gibt es im Internet so genannte „Public Key-Server“, auf denen eine Vielzahl von Schlüsseln gespeichert sind, die Personen zugeordnet werden können. Hier findet man dann auch manchmal kuriose Schlüssel von „Bill Clinton“, „Angela Merkel“ oder „Barack Obama“. Dass sich diese drei zum Schutz ihrer Nachrichten sicherlich keines Public-Key-Verfahrens bedienen, liegt auf der Hand – hier hat es sich jemand zum Spaß gemacht, für fiktive Personen dieses Namens ein Schlüsselpaar zu erstellen. Wie kann man aber unter solchen Umständen gewährleisten, dass nicht einfach jemand anders ein Schlüsselpaar für einen generiert? Verhindern lässt sich das nicht, aber man kann das Problem mit einem so genannten „Web of Trust“ lösen. Das funktioniert dergestalt, dass zum Beispiel Hartmut Meier ein Schlüsselpaar anlegt, und dies auch seine Nachbarin, Sieglinde Müller, tut. Beide können dann mit ihrem privaten Schlüssel auf dem Key-Server den Schlüssel des jeweils anderen signieren und so bestätigen, dass er „echt“ ist. Je mehr Personen folglich die Echtheit eines Schlüssels bestätigen, umso größer ist damit auch die Wahrscheinlichkeit, dass dieser tatsächlich der bezeichneten Person gehört. Und logisch, dass die Schlüssel von „Angela Merkel“ oder „Bill Clinton“ deshalb meistens von kaum jemandem signiert wurden.

Das Thema Verschlüsselung von Daten reicht aber weiter, denn noch einfacher als ein Public-Key-Verschlüsselungsverfahren ist es, einen Messenger-Dienst zu verwenden, der bereits die Ende-zu-Ende-Verschlüsselung unterstützt. Dies sind zum Beispiel Signal, Threema und Telegram – aber auch WhatsApp. Dieses Angebot an Verschlüsselungsmöglichkeiten für jedermann schafft zwar einerseits mehr Privatsphäre und Datensicherheit, andererseits erschwert es aber auch den Zugriff von Behörden auf Datenbestände etwa für strafrechtliche Ermittlungen. Schon seit Längerem werden deshalb politisch die Möglichkeiten diskutiert, um trotz Verschlüsselung an die Daten zu gelangen. So wurde in den USA vor einigen Jahren der Vorstoß gemacht, mittels „Key Escrowing“ staatlichen Einrichtungen Zugriff auf die Schlüssel eines kryptografischen Verfahrens zu geben. Ermittlungsmethoden wie die „Quellen-Telekommunikationsüberwachung“ erlauben zudem, verschlüsselt übertragene Gespräche noch vor ihrer Verschlüsselung abzuhören, und mit dem „Bundestrojaner“ lassen sich Computer online durchsuchen. Jüngst hat Bundesinnenminister Horst Seehofer angekündigt, Messenger-Dienste zukünftig dazu zu verpflichten, „Hintertüren“ in ihren Programmen offen zu halten, damit zumindest die Behörden trotz Verschlüsselung Zugriff auf übermittelte Daten haben.

Wie dieser „Crypto-War“ zwischen Staat und Bürgern auch in Deutschland ausgehen wird, ist zurzeit noch offen – zumindest aber von Datenschützern, Chaos Computer Club und IT-Experten werden die Pläne der Bundesregierung bereits heftig kritisiert.