Fraunhofer SIT und Telekom starten „Volksverschlüsselung“

Die Deutsche Telekom und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben ihr im November 2015 angekündigtes, für jedermann nutzbares Angebot zur Verschlüsselung von E-Mails gestartet. Die als „Volksverschlüsselung“ bezeichnete Lösung besteht aus einer vom Fraunhofer SIT entwickelten Client-Software und der zugehörigen Infrastruktur, die von der Telekom in einem „Hochsicherheitsrechenzentrum“ betrieben wird.

Die Volksverschlüsselung steht zunächst nur Windows-Nutzern zur Verfügung. Unterstützt werden alle Systeme ab Windows XP. Der kostenlose Download sollte mit dem Internet Explorer durchgeführt werden, damit die Signatur der Anwendung überprüft werden kann.

Nach der Installation des Clients können Windows-Nutzer über Programme wie Outlook oder Thunderbird verschlüsselt per E-Mail kommunizieren. Versionen für Mac OS X, Linux, iOS und Android sind in Planung. Die Software unterstützt zur Ende-zu-Ende-Verschlüsselung zunächst nur den S/MIME-Standard. Zusätzlicher Support für OpenPGP soll nachgereicht werden. Das Fraunhofer SIT wird den Quellcode der Software offenlegen, damit Sicherheitsexperten die Möglichkeit haben, sie auf Hintertüren zu überprüfen. Auch das Kommunikationsprotokoll, über das die Software mit der Zertifizierungsstelle kommuniziert, soll einsehbar sein.

Der Volksverschlüsselung-Client generiert zum einen die notwendigen kryptografischen Schlüssel und konfiguriert zum anderen die E-Mail-Programme des Benutzers. So sollen selbst unerfahrene Anwender verschlüsselte E-Mails verschicken können.

Die privaten Schlüssel werden direkt auf dem Endgerät des Nutzers generiert und gelangen zu keiner Zeit in die Hände des Betreibers der Infrastruktur. Zur Nutzung der Verschlüsselung genügt die Installation der Software und eine einmalige Identifikation. In der ersten Ausbaustufe erfolgt die Authentifizierung elektronisch über das Telekom-Log-In, das dem Anmeldeverfahren im Kundencenter entspricht, oder mit Hilfe des elektronischen Personalausweises. Darüber hinaus besteht die Möglichkeit, sich persönlich bei einer Reihe von Fraunhofer-Veranstaltungen zu registrieren.

In weiteren Schritten wollen die Anbieter die Registrierung zeitnah vereinfachen. Geplant ist beispielsweise, dass sich Interessierte in Telekom-Shops ausweisen und sich registrieren lassen können. „Die Volksverschlüsselung auf breite Füße zu stellen und viele Nutzer zu haben, ist unsere Priorität. Denn nichts ist unerfreulicher als verschlüsselt kommunizieren zu wollen, aber keine Empfänger dafür zu finden“, erklärt Thomas Kremer, Datenschutzvorstand der Telekom.

Für Privatanwender ist die Nutzung von Infrastruktur und Software in der ersten Ausbaustufe kostenlos. Die Partner denken aber auch schon an Lösungen für Unternehmen, die dann kostenpflichtig sein sollen.

Die Software erzeugt zunächst auf dem Gerät des Nutzers die kryptografischen Schlüssel, mit denen sich E-Mails und Daten verschlüsseln und signieren lassen. Nachdem der Anwender seinen Registrierungsschlüssel eingegeben oder sich erfolgreich identifiziert hat, werden bei der Zertifizierungsstelle der Volksverschlüsselung digitale Zertifikate für Verschlüsselung, Authentisierung und Signatur erzeugt. Nach Empfang der Zertifikate sucht die Software automatisch auf dem Gerät des Nutzers nach E-Mail-Programmen, Browsern und anderen Anwendungen, die Kryptografie nutzen können.

Die Schlüssel und Zertifikate werden dann automatisch in die vorhandenen Anwendungen zur Nutzung der Zertifikate eingebracht. Nach diesem einmaligen Schritt lassen sich E-Mails etwa in Outlook und Thunderbird einfach verschlüsseln und signieren. Die Integration in Web-Mail-Dienste ist anbieterabhängig und erfordert deren Mitarbeit, zu der das Fraunhofer SIT sie ausdrücklich auffordert.

„Mit der Volksverschlüsselung können Bürgerinnen und Bürger ihre digitale Souveränität verbessern und sich wirkungsvoll vor unerwünschter Massenüberwachung schützen“, sagt Michael Waidner, Leiter des Fraunhofer SIT. „Mit unserem neuen Angebot unterstützen wir die digitale Agenda der Bundesregierung und erfüllen die Forderungen der Charta zur Stärkung der vertrauenswürdigen Kommunikation, die auf dem vergangenen IT-Gipfel von Vertretern aus Wirtschaft, Wissenschaft und Politik vorgestellt und unterzeichnet wurde.“

Während hierzulande seitens der Regierung die Verschlüsselung von E-Mails ausdrücklich begrüßt wird, planen andere Länder sie aufzuweichen respektive gesetzlich zu verbieten. Grund für diese Haltung ist die Schwierigkeit der Geheimdienste auf den Inhalt verschlüsselter E-Mails zuzugreifen. Diese Informationen benötigten sie aber, um die Bevölkerung vor terroristischen Attacken zu schützen. Kritiker halten dem entgegen, dass sich die massenhafte Überwachung als ungeeignet erwiesen habe, Anschläge wie die vom November 2015 in Paris zu verhindern.