Wem kann ich trauen

…und muss ich das überhaupt?
Zum Abschluss meiner Reihe über die Vorzüge von E-Mail als digitales Kommunikationsmittel werfe ich heute unter dem Gesichtspunkt
“Wem kann ich trauen?”
einen Blick auf die Anbieter von E-Mail-Diensten.
Mein Hauptaugenmerk liegt dabei – berufsgemäß – auf Sicherheit und dem Schutz der Privatsphäre.
Denn digitale Selbstverteidigung beginnt schon bei der Auswahl des elektronischen Kuriers meiner digitalen Post.

Wem schenke ich meine Gunst?

Nicht nur meine Gunst verschenke ich bei der Auswahl meines E-Mail-Providers.
Sondern schlimmstenfalls meine Daten, bestenfalls nur mein Geld.
Allenfalls auch mein Vertrauen, denn schließlich ist dieser digitale Botendienst für die Übermittlung meiner elektronischen Post zuständig.
Und da soll ja möglichst wenig schief gehen.
Aber wie wähle ich denn nun einen passenden Dienstleister aus?
Grundlegend dampfe ich diese Auswahl auf drei Kriterien herunter:

  1. Der Anbieter sollte in Deutschland beheimatet sein.
    Damit unterliegt er deutschen Datenschutzrecht.
    Und das ist immer noch eines der besseren.
    Darüber hinaus schützt sogar bereits das Grundgesetz in Artikel 10 unsere Briefkommunikation – worunter auch elektronische Post fällt (was jedoch einige Anbieter leidlich ignorieren).
    Wir sollten bei unserer Auswahl eines Anbieters aus Deutschland auch explizit darauf achten, dass dieser seine Datenspeicher- und Rechnerkapazität ausschließlich aus Rechenzentren in Deutschland schöpft – das dient deutlich dem bereits erwähnten Datenschutzgedanken.
  2. Der Anbieter betreibt keinen Datenhandel.
    Das ist gewissermaßen der Super-GAU für die Privatsphäre:
    Mein elektronischer Briefbote wird zum Datenhändler!
    Wenn wir uns das einmal vergegenwärtigen, wird uns gleich klar, dass dieses Verhalten ein No-Go ist.
    Warum dann nur nehmen wir dieses Verhalten so bereitwillig und oft hin?
    Denn das, was die “kostenlosen” Anbieter der verschiedenen Free-Mail-Varianten machen, ist schlicht und ergreifend genau das:
    Datenhandel.
    Sie verkaufen unsere Daten.
    Lassen wir die Empörung beiseite; schließlich leben wir alle in einer marktwirtschaftlich gesteuerten Gesellschaft.
    Die Free-Mail Anbieter müssen schliesslich von irgendetwas leben.
    Luft, Liebe und Ideale sind echt klasse, aber das wird nun aktuell noch nicht als gängige Währung beim Kauf von Speicher, Rechenleistung und Arbeitskraft akzeptiert.
    Auch im Internet herrschen die marktwirtschaftlichen Gesetze.
    “Nicht einmal der Tod ist umsonst. Der kostet das Leben.”
    Wenn wir jetzt allerdings einen Anbieter auswählen, der seine Dienstleistung ganz klar monetär beziffert, dann wissen wir, dass sich dieser seine Dienstleistung nicht durch den Verkauf unserer Daten finanziert. Wir können davon ausgehen, dass uns der Verkauf unserer Daten durch einen Datenhändler deutlich mehr kostet, als den geringen Betrag, den wir für einen kommerziellen Mail-Provider bezahlen.
  3. Die Zahlung ist anonym möglich.
    Das dritte wichtige Argument für einen empfehlenswerten Datendienstleister für unsere elektronische Kommunikation hängt mit dem praktischen Schutz unserer Privatsphäre zusammen.
    Die Zahlung der gebuchten Dienstleistung sollte anonym möglich sein.
    Damit ist auch gleich die Grundlage dafür geschaffen, dass das gesamte E-Mail Konto anonym betrieben werden kann.
    Ein Anbieter hat mittlerweile auch etliche Möglichkeiten, eine Zahlung sicher anzunehmen, die nicht zurückverfolgt werden kann.
    Entweder bezahlen wir bar – das bieten die meisten dieser empfehlenswerten Dienstleister an.
    Oder wir überweisen den Betrag – in anonymisierter Form.
    Wenn wir davor zurückschrecken, Bargeld zu verschicken, dann bieten einige Anbieter mittlerweile auch die Bezahlung per Bitcoin an – und helfen damit obendrein noch dabei, den Ruf der Kryptowährung als seriöses Zahlungsmittel zu stärken.
    Behalten wir an dieser Stelle bitte die Nerven, bevor jetzt entrüstete Leser zetern, ich würde hier dem Terrorismus Vorschub leisten, weil ich anonyme Bezahlverfahren propagiere:
    Die meisten Einkäufe im “echten Leben” werden auch heute noch mit Bargeld beglichen.
    Sind wir dann jetzt alle Terroristen, wenn wir auf dem Wochenmarkt oder im Tante-Emma-Laden bar bezahlen?
    Ich lass das mal so stehen.

Weitere Themen, die zusätzlich als positive Punkte für die Auswahl des passenden Providers herangezogen werden können, sind die Folgenden:

  • Nachhaltigkeit:
    Der Dienstanbieter betreibt seine Server und die Heizung für seine fleißigen Mitarbeiter mit Strom aus regenerativen Stromquellen.
  • Geheimnisvoll:
    Es wird ein durchgängiges Verschlüsselungskonzept angeboten.
    Zum einen natürlich die obligatorische Ende-zu-Ende Verschlüsselung und obendrein noch ein Konzept, um das gesamte Nutzerkonto (inklusive aller darin befindlichen Daten) zu verschlüsseln.
  • Digital-schwäbisch:
    Es wird weitestgehend auf die Sammlung von Daten durch den Anbieter verzichtet.
    Es herrscht Datensparsamkeit. Also das klare Gegenteil dessen, was die Free-Mail Anbieter wie Gmail und Konsorten betreiben.

Konkret jetzt – Empfehlung

Dann lehne ich mich jetzt mal ein bissel aus dem Fenster, lege meine Hände für den einen oder anderen Anbieter ins Feuer und empfehle konkret zwei Anbieter:

  • //Posteo.
    //Posteo.
    Nutze ich selbst.
    Hat alles, was ich im Zusammenhang mit einen guten Provider im letzten Abschnitt als lobenswert aufgezählt habe.
    Die Buchung dieses Dienstes kostet den üppigen Betrag von 1 € pro Monat.
    Auch die weiteren Punkte wie Nachhaltigkeit, ein umfangreiches Verschlüsselungskonzept und die hohe Datensparsamkeit wird von //Posteo. umgesetzt.
    Als weiteres Goodie bietet Posteo auch eine Zwei-Faktor-Authentifizierung für die Anmeldung am Postfach an, was die Sicherheit nochmals erhöht.
    Wer Wert auf Zertifikate legt, liegt bei Posteo ebenfalls richtig:
    Posteo hat als erster Anbieter die Zertifizierung “Sicherer E-Mail-Transport” des BSI erhalten.
  • mailbox.org
    mailbox.org
    Habe ich mir auch persönlich angeschaut.
    Ich würde jetzt sagen: mailbox.org ist das gleiche wie Posteo in orange.
    Nein, wirklich.
    //Posteo. und mailbox.org nehmen sich an allen wichtigen Punkten, die ich erwähnt habe, nichts – auch im Preis sind beide identisch.
    mailbox.org bietet darüber hinaus noch die Möglichkeit, Büroanwendungen online durchzuführen.

Beide E-Mail-Provider wurden von der Stiftung Warentest in der Ausgabe 10/2016 als einzige Anbieter mit der Note “sehr gut” ausgezeichnet (wie übrigens im Jahr zuvor auch schon).
Daher empfehle ich, die Entscheidung zwischen diesen Dienstleistern dem persönlichen Wohlgefallen, sei es die Farbe (grün oder orange), der Vorliebe der Top-Level-Domain (.de oder .org) oder einem Münzwurf (Kopf oder Zahl) zu überlassen – eine Fehlentscheidung zwischen diesen Anbietern kann nicht vorkommen.

Was können wir noch tun?

Nun, mit der Wahl eines ehrlichen Anbieters hat das Vertrauensverhältnis zur digitalen Post doch schon ein stabiles Fundament erhalten.
Wenn wir uns nun darauf aufbauend an meine bisherigen Empfehlungen zum Thema E-Mail halten, als da wären:

  • Verschlüsselung unserer Kommunikation mittels OpenPGP
  • Klar strukturierte und saubere E-Mails mit ordentlichem Betreff, freundlicher Anrede, einem klaren Thema und einer höflichen Abschlussformel

dann kann eigentlich nix mehr schief gehen.
Wenn wir noch eine Schippe drauflegen wollen, können wir beginnen, E-Mails von Überwachungsmonstern wie Google zu boykottieren.
Denn Google liest nicht nur die Mails von Inhabern eines Gmail-Kontos – nein, sie lesen natürlich auch die Antworten von E-Mail-Schreibern, die gar kein Gmail-Konto haben.
Damit verstoßen sie einfach eklatant gegen unser Recht auf Unverletztlichkeit unserer Brief- und Fernmeldekommunikation.
Wir sollten uns nochmals klar vor Augen führen:
Jeder Provider, der in den USA beheimatet ist, unterliegt dem PATRIOT Act und muss von daher den amerikanischen Behörden Zugriff auf alle Daten gewähren.
Und wenn die Politik an dieser Stelle Google und anderen amerikanischen Anbietern (und Behörden) dafür nicht die rote Karte zeigt, dann sollten wir das in unsere eigenen Hände nehmen.

TL;DR

  • Gute Gründe für Bezahldienste: Wem schenke ich meine Gunst?
  • Zwei Dienste für ein Halleluja: Konkret jetzt – Empfehlung
  • Ist das alles?: Was können wir noch tun?

So, jetzt aber – auf zu posteo.de oder mailbox.org und ein neues E-Mail-Postfach angelegt!

Was wir bei E-Mails beachten sollten

Gutes, sicheres und rundherum taugliches e-mailen hängt sehr stark vom Inhalt und Aufbau einer E-Mail, die wir schreiben, ab.
Da ich hier den Einsatz von E-Mail als vorbildliches digitales Kommunikationsmittel fördern will, thematisiere ich auch dies.
Wir sind in unserer zunehmend informationsüberfluteten Zeit an so vielen Stellen von inhaltsleerer Kommunikation umspült (und damit meine ich nicht die abgrundtiefe philosophische Betrachtung über Sinn und Zweck von flächendeckender Videoüberwachung im ÖPNV als Maßnahme gegen weitere Ransomware nach dem dritten Club Mate), dass einige grundlegende Gedanken zu unserer E-Mail-Kommunikation helfen, uns vor dem Untergang in dieser Datenflut zu bewahren.

Eine E-Mail ist doch irgendwie ein Brief

Und ein Brief hat eine gewisse Form.
Eine Anrede stimmt den Empfänger bereits auf das kommende ein.
Wir brechen ja auch nicht wie ein Erdrutsch gleich mit den heikelsten Themen im persönlichen Gespräch über unsere Gesprächspartner herein.
Hier beginnen wir ja unsere Verbal-Lawine auch zumindest mit einem:
“Hallo Fremder, setz dich stabil hin, ich muss dich grad mal verbal mit den neuesten Dramen/Verschwörungstheorien/Wochenenderlebnissen überrollen.”
Wir haben Zeit, etwas zu schreiben; da wird uns diese Zeile mehr nicht um unsere Mittagspause bringen.
Wenn ich gerade bei der guten Form bin:
Ein Brief (oder eine Postkarte, Telegramm, Telefonat) endet mit einer zumindest höflichen, bestenfalls freundlichen Abschlussformel.
Wir stehen nicht einfach mitten im “direkten” Gespräch auf und machen uns Sang- und Klanglos aus dem Staub.
Warum sollte dies bei einer E-Mail anders sein?
Eine Mail ohne Schlussformel wirkt im günstigsten Fall wie ein plötzlicher Anfall von Unlust, meistens jedoch bleibt bei mir das schale Gefühl von generellem Desinteresse an diesem elektronischen Gedankenaustausch.
An dieser Stelle ist es sogar noch einfacher dem entgegenzuwirken als bei der Anrede:

  • Wir können eine automatische Signatur verwenden!

Einmal eingerichtet – immer ein freundlicher Abschluss des elektronisch versendeten Gedankenguts.
Vielleicht sollten wir uns an dieser Stelle auf eine neutral-freundliche Formulierung festlegen, denn ich kann mir gut vorstellen, dass die nächste Mail an unser Finanzamt mit der Schlussformel:
“Tausend heiße Küsse, dein Spatzerl”
eine gänzliche andere Prüfung unserer Steuerunterlagen zur Folge hat …

Ein Betreff sagt etwas aus

Re:Re:Aw:Re:Aw:Aw:Aw:Re:Re:Re:Mein Termin
Leider geht es in dieser Mail mit seiner aussagekräftigen Betreffzeile die an die Warteschlange des neuesten Rollercoasters im Europapark gemahnt (ab diesem Re: nur noch 23 weitere Re: bis zum Ende der Betreffschlange) schon lange nicht mehr um einen Termin.
Aber beginnen wir am Anfang – oder hier eher am Ende.
Ein Betreff wie “Mein Termin” ist vom Inhalt her kein Betreff (sondern allenfalls fantasielos).
Der Betreff einer E-Mail sollte den Inhalt dieser Nachricht in einer kurzen Zeile zusammenfassen.
Es ist ein Zeichen von Respekt und Höflichkeit dem Addressaten gegenüber, wenn wir schon im Betreff signalisieren, worum es in dieser Nachricht überhaupt geht.
Aufgrund der hohen Geschwindigkeit – und dem Irrglauben, dass E-Mail nichts kostet (Doch, es kostet. Jede Mail kostet Rechenzeit, Speicherplatz, Strom, Zeit und Nerven.) hat die Menge an übertragener Information gegenüber dem Snail-Mail-basierten Nachrichtenaustausch wahnsinnig stark zugenommen.
Da ist es doch nur fair, wenn wir unseren Kommunikationspartnern ein wenig entgegenkommen. Und eine faire Chance geben, schon am Betreff zu erkennen, worum es geht (anstatt in jeder Mail den sinntragenden Inhalt tief unter einem Berg von Zeichen (mit dem Informationsgehalt eines digitalen Weißbrotes) zu verstecken).
Ich will nun zum Antwort-Schluckauf zurückkommen, den ich am Anfang des Abschnittes angeführt habe.
Es ist einfach unleserlich, immer weitere, sich ständig wiederholende Präfixe an eine laufende E-Mail-Konversation zu hängen (Ja, ich weiß, wir hängen die nicht manuell dran – aber sind wir denn solche Sklaven unserer Software, dass wir an sinnvollen Stellen nich manuell eingreifen können?).
Unsere E-Mail-Programme ordnen zusammengehörige E-Mails sehr geschickt als solche an, dazu benötigen diese die wurmfortsatzartigen Präfixe nicht.
Für eine bessere Les- und Verfolgbarkeit von E-Mails hilft deutlich mehr, wenn wir den Betreff sinnvoll anpassen.
Ich verdeutliche dies mit einem Beispiel:

  1. Betreff: Unser Termin am 24.05.2017
  2. Betreff: Re: Unser Termin am 24.05.2017 – Neuer Terminvorschlag: 25.05.2017
  3. Betreff: Aw: Neuer Terminvorschlag: 25.05.2017 – akzeptiert

Mit diesen einfachen Mitteln ersparen wir uns die Notwendigkeit, die Spaltenbreite unserer E-Mail-Clients bis ins Unendliche zu strapazieren – und erreichen überdies noch, dass wir uns der zunehmenden digital verordneten Lethargie im Bereich E-Mail-Kommunikation entziehen.

Eine Mail – ein Thema

Ebenfalls der zunehmenden Flut an Informationen geschuldet ist die Tatsache, dass zwei Drittel der Informationen einer E-Mail schlicht den virtuellen Bach runter gehen.
Wenn also mehr als ein Thema in einer E-Mail thematisiert wird, können wir davon ausgehen, dass die Themen zwei bis 85ff vollkommen für die Katz formuliert sind.
Darum meine Empfehlung:

  • Nur ein Thema pro Mail behandeln.

Das macht die Kommunikation auch viel handlicher.
In wenigen Fällen ist eine E-Mail-Kommunikation mit einem Nachrichten-Ping-Pong abgewickelt.
Eher ist es Ping-Pong-Ping-Ping-Pong-Pong-Zwäng-Dong-Pong-Ping.
Und da wird es dann mit mehr als einem Thema fies – da wird es ganz schnell unübersichtlich (wir stellen uns das jetzt mal so vor wie vulkanisches Schach):
Ping-Pong-Ping1-Pong1-Pong2-Ping1a-Ding-Dong-Ding1-Pong1-Pong2-Pong3-Ping1b-Ping-Zwong-warumistjetztnochHerrMeiermitaufdemVerteiler
…und wie gesagt, das ganze stellen wir uns nun in drei Dimensionen mit einer unendlichen Anzahl an möglichen Mitspielern vor…
Machen wir das ganze Spiel mit nur einem Thema, sieht das alles viel entspannter aus:
Ping-Pong-Ping-Pong-Pong

Der Schlüssel auf der Fußmatte

oder: Schicke niemals Zugangsdaten in einer Mail gemeinsam mit dem Passwort.
Es ist schon schrecklich genug, ein Passwort in einer unverschlüsselten Mail zu verschicken (Zur Erinnerung: E-Mail ist per se unverschlüsselt!).
Aber noch schrecklicher wird es, wenn alle Zugangsdaten zu einem Dienst gemeinsam mit dem zugehörigen Passwort in einer E-Mail verschickt werden.
Das ist so, als würde ich meinen Wohnungsschlüssel nicht nur auf die Fußmatte vor meiner Wohnung legen, sondern auch gleich noch ein Schild daneben hängen:
“Bin nicht da, Schlüssel liegt auf der Fußmatte, bedien dich!”
und das auch noch in alle verfügbaren lokalen Tageszeitungen auf dem Titelblatt annoncieren.
Das gleiche gilt (sogar auf einer höheren Ebene von “nicht-nachgedacht”) für den Anwendungsfall eines verschlüsselten Dokuments, welches in derselben Mail mit dem Entschlüsselungspasswort verschickt wird.
Das ist so blöd, da fehlt mir glatt das Real-World Beispiel.
Kommt aber wirklich vor.
Nun ja, Albert Einstein hat es sehr treffend formuliert (wenn er es denn war):
“Zwei Dinge sind unendlich: das Universum und die menschliche Dummheit. Aber beim Universum bin ich mir nicht ganz sicher.”

TL;DR

  • Hello, Hello! Eine E-Mail ist doch irgendwie ein Brief
  • Wähle weise: Ein Betreff sagt etwas aus
  • Ein Mann, ein Wort: Eine Mail – ein Thema
  • Sicherheit ist nicht nur Krypto: Der Schlüssel auf der Fußmatte

Zum Abschluss heute ein Handlungsaufruf:
Gehet hin und folgt meinen Hinweisen zum schönen mailen.
Ist gut fürs Karma.
Oder zumindest für leserliche Mails.

Warum wir verschlüsseln sollten

E-Mail Verschlüsselung – ein Thema mit sieben Siegeln (für die meisten) und mit zwei Schlüsseln (für alle).
Mir geht es jetzt nicht darum, zu erklären, wie E-Mail Verschlüsselung technisch funktioniert, sondern warum wir alle, die E-Mail nutzen, dies einsetzen sollten.

Warum wir verschlüsseln sollten

Um es ganz kurz auf den Punkt zu bringen:
Es ist unser Recht. Und es nicht nur irgendein abgeleitetes Recht.
Nein, es ist ein Grundrecht.
In Artikel 10 des Grundgesetzes heißt es:
“Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.”
Das klingt für mich doch nach einer ganz klaren Handlungsanweisung in Richtung Verschlüsselung.
Was aber noch viel wesentlicher und grundlegender für mich ist, ist die schlichte Tatsache, dass es verdammt nochmal einfach einen dritten einen Scheiß angeht, was ich jemandem in einer E-Mail mitteile!
Ich lebe immer noch in dem Glauben, dass wir in einer Gesellschaft leben, in der keinerlei Massenüberwachung notwendig ist, um unsere Sicherheit zu gewährleisten.
Ich bin auch nicht bereit, meine Grundrechte, meine Freiheit und meine Privatsphäre für “The Greater Good” aufzugeben.
Denn wenn wir das tun, dann gibt es auch kein “Greater Good”, für das es sich lohnt zu kämpfen.
Dann nämlich leben wir in einer Diktatur.
Verschlüsselung ist der notwendige technische Aufwand, den wir betreiben müssen, um das Grundrecht einer unverletzten elektronischen Kommunikation via E-Mail durchzusetzen.
Leider bietet E-Mail per se diese Möglichkeit nicht an, so dass wir an dieser Stelle initial einmalig tätig werden müssen – aber dieser geringe Aufwand lohnt sich.
Es geht schließlich um unsere Freiheit und unsere Privatsphäre.
Das sind doch Werte, für die es lohnt, etwas Aufwand zu betreiben.

Ein Missverhältnis, das mich erschreckt

Jüngst ist mir eine Statistik (gut, ich habe diese nicht selbst gefälscht, daher betrachte ich sie mit mehr Skepsis als wenn ich es getan hätte) zum Thema E-Mail Verschlüsselung zu Augen gekommen.
Danach halten 75% der Befragten E-Mail Verschlüsselung für wichtig, aber lediglich 16% verschlüsseln tatsächlich.
Gut, dieses Missverhältnis kann ich mir noch gut mit dem Widerspruch zwischen Wunsch und Wirklichkeit erklären.
Aber bei den Begründugen, warum nicht verschlüsselt wird, rollen sich mir die Zehennägel auf.
18,8% gaben Sicherheitsbedenken als Grund an, ihre E-Mails nicht zu verschlüsseln.

Ende-zu-Ende-Verschlüsselung kaum verbreitet
Nutzung von Ende-zu-Ende-Verschlüsselung

Sicherheitsbedenken?
Was bitte soll denn unsicherer bei elektronischer Kommunikation sein, als nicht zu verschlüsseln?
Es lesen doch sowieso schon alle Dienste unsere unverschlüsselten Mails, wenn diese an den Zapfstellen vorbeikommen.
Die liegen im Klartext vor!
Das macht mich wirklich fassungslos.
Die weiteren Gründe (Zu aufwändig: 37,6% und Fehlende Kenntnis: 36,6%) kann ich gut nachvollziehen – aber selbst dabei fehlt mir letztendlich das Verständnis.
Wir sind alle bereit, für unsere Mobilität einen Führerschein zu machen.
Das kostet Zeit und das kostet Geld.
Und das betrifft nur unsere Mobilität.
Aber für etwas, das unsere Freiheit und unsere Privatsphäre betrifft, sind wir offenbar weder bereit, Zeit noch Geld zu investieren.
Das schockiert mich wirklich.

Es ist nicht so schwierig wie ihr glaubt

E-Mail Verschlüsselung ist Computer Science, nicht Rocket Science.
Und selbst von der Computer Science müsst ihr nicht alles verstehen – und euch schon gar nicht alles selbst beibringen.
Auch an dieser Stelle passt das Beispiel vom Führerschein wie Nut und Feder.
Wir sind bereit Zeit, Geld und Nerven (unsere und die aller anderen Verkehrsteilnehmer und Familienmitglieder) in unsere Führerscheine zu investieren.
Ja, es geht dabei um Menschenleben und da sollte man schon Ahnung davon haben, wie so eine 1,5 Tonnen schwere und mit ordentlicher Beschleunigung gesegnete Maschine funktioniert.
Aber – und hier wiederhole ich mich nur zu gern – bei unserer Kommunikation via E-Mail geht es um unsere Privatsphäre!
Und die Privatsphäre unserer Freunde, Familie, Kinder und Enkel.
Ist uns deren Schutz nicht zumindest Zeit, vielleicht auch Geld (und auch ganz bestimmt Nerven) wert ?
Wir müssen ja nicht sofort zum Krypto-Guru werden.
Eine sichere E-Mail Kommunikation kann stufenweise aufgebaut werden.
Niemand muss ab sofort nur noch mit dem Aluhut rumlaufen (das kann optional später stattfinden).

Wie fange ich an? E-Mail Verschlüsselung in drei schwierigen Schritten

In meiner candorschen Art der klaren Worte sage ich rund heraus:
Ja, die initiale Einrichtung von E-Mail Verschlüsselung ist schwierig.
Das ist Gehen und Laufen ebenfalls, aber auch das haben wir irgendwie gemeistert.
Schritt 1: Wir brauchen GPG.
GPG ist quasi der Standard für die Verschlüsselung von E-Mails – und das empfehle ich.
GPG – der GNU Privacy Guard – ist eine Implementierung von OpenPGP, dem offenen kryptographischen Standard für verschlüsselte Kommunikation.
GPG gibt es für alle (gängigen) Betriebssysteme:

  • Bei vielen Linux-Distributionen ist gpg bereits Bestandteil des Betriebssystems und muss daher noch nicht einmal händisch nachinstalliert werden.
  • für macOS bietet GPGTools die notwendigen Werkzeuge zum Verschlüsseln der elektronischen Kommunikation an.
  • unter Windows stellt Gpg4win den benötigten Funktionsumfang bereit.

Schritt 2: Wir erstellen uns ein Schlüsselpaar.
Wieso gleich ein Paar Schlüssel?
Reicht nicht erstmal einer?
Nein, reicht nicht.
Damit wir einfach, unaufwändig und sicher verschlüsselt kommunizieren können, brauchen wir zwei Schlüssel.
Klingt erst mal aufwändig, isses aber gar nicht.
Wozu brauchen wir jetzt aber zwei Schlüssel?
Wir brauchen einen privaten Schlüssel, mit dem wir unsere Nachrichten signieren können und mit dem wir Nachrichten, die verschlüsselt an uns geschickt wurden, entschlüsseln können.
Daneben brauchen wir einen öffentlichen Schlüssel.
Mit diesem können unsere Kommunikationspartner Nachrichten für uns verschlüsseln.
Überdies können sie damit überprüfen, ob eine Nachricht, die wir geschrieben haben, auch tatsächlich von uns kommt.
Die Mathematik hinter diesem Public-Key-Verfahren stellt sicher, dass dieses Schlüsselpaar – privater und öffentlicher Schlüssel – ausschließlich wechselseitig funktioniert.
Eine Nachricht, die mit dem privaten Schlüssel verschlüsselt wurde – wir sprechen hierbei vom signieren einer Nachricht – kann nur mit dem passenden öffentlichen Schlüssel entschlüsselt – in unserem Sprachgebrauch: verifiziert – werden.
Und eine Nachricht, die mit dem öffentlichen Schlüssel verschlüsselt wurde, kann einzig mit dem zugehörigen privaten Schlüssel entschlüsselt werden.
Ein weiterer Vorteil dieses Public-Key-Verfahrens besteht in dem einfachen und sicheren Schlüsselaustausch.
Denn dieser Moment stellt natürlich ein hohes Risiko bei verschlüsselter Kommunikation dar.
Würden wir mit nur einem Schlüssel arbeiten, könnte jeder, der diesen einen Schlüssel hat, alle unsere Nachrichten lesen. Blöd.
Im Public-Key-Verfahren mit dem Schlüsselpaar aus privatem und öffentlichem Schlüssel ist dieses Risiko nicht vorhanden.
Hier stellen wir unseren öffentlichen Schlüssel sogar für jeden leicht auffindbar auf Schlüsselservern zur Verfügung.
Denn mit unserem öffentlichen Schlüssel kann uns eben jeder eine verschlüsselte Nachricht schicken, oder prüfen, ob eine Nachricht wirklich von uns stammt.
Nur unseren privaten Schlüssel – den dürfen wir niemals aus unseren Händen geben.
Ansonsten isses ganz blöd. Aber sowas von.
Schritt 3: Wir müssen unsere E-Mail-Kontakte aufschlauen.
Ja, jetzt geht die Arbeit erst richtig los.
Und dabei kann euch leider keiner wirklich helfen.
Außer vielleicht, euch zu versichern, dass Verschlüsseln gut fürs Karma ist, die Laune nachhaltig hebt und alternativ auch den Klimawandel ausbremst.
Nee, wirklich, die ganze Public-Key-Verschlüsselungssache funktioniert eben nur, wenn beide Kommunikations-Partner mitmachen.
Is’ ja auch klar, der Schreiber kann nur mit dem öffentlichen Schlüssel des Empfängers verschlüsseln.
Und schon sind zwei Verschlüsselungswillige an der Sache beteiligt.
Also, nehmt euch ein Herz, ein bissel Zeit und gute Argumente

  • “Verschlüsselung ist ein Grundrecht.”,
  • “Krypto is sexy.”,
  • “Privatsphäre ist ein Grundstein der Demokratie.”…

und macht euch und eure Kontakte zu Krypto-Kriegern!

TL;DR

  • Warum wir verschlüsseln sollten: Grund und Recht für Krypto
  • Ein Missverständnis, das mich erschreckt: Verschlüsselung ist unsicher – gehts noch?
  • Es ist nicht so schwierig wie ihr glaubt: Wir haben schon ganz anderes gelernt
  • Wie fange ich an: Der kryptographische Dreisprung

Und jetzt?
Anfangen. Hinfallen. Aufstehen, Aluhut richten und weitermachen.
E-Mail-Verschlüsselung ist keine One-Stop-Sache.
Das ist Zen.
Tägliche Praxis mit Höhen und Tiefen.
Aber es lohnt sich. Sowas von.

Warum ist E-Mail gefaehrdet?

E-Mail ist in meiner Wahrnehmung immer noch die verbreiteste und ausgereifteste Form elektronischer Kommunikation.
Aus diesem Grund beschäftige ich mich in den folgenden Artikeln mit einigen Fragen rund um die elektronische Postkarte.
Dazu schaue ich mir erst einmal an, warum ich die E-Mail für eine gefährdete Art halte – wird ihr ein ähnliches Schicksal wie der Brieftaube und dem getanzten Telegram im Gorillakostüm beschieden sein?
Daran anschließend führe ich aus, warum wir unsere E-Mail-Kommunikation tunlichst verschlüsseln sollten (oder nageln Sie Ihre intimsten Gedanken luthergleich an die nächste verfügbare Kirchenpforte?).
Dieser Brandrede für eine Stärkung unserer Privatsphäre durch Verschlüsselung lasse ich einen Richtlinien-Katalog für schönes, wahres und gutes mailen folgen.
Beschließen werde ich die Reihe mit Empfehlungen zu E-Mail-Providern oder sonstigen Möglichkeiten für sicheres mailen.
Genug der Vorrede, jetzt Butter bei die Fische und los mit der ganzen E-Mailerei.

E-Mail, eine aussterbende Art zu kommunizieren?

Handelt es sich bei E-Mail wirklich um eine aussterbende oder zumindest vom Aussterben bedrohte Art der digitalen Kommunikation?
Wird es E-Mails möglicherweise so ergehen wie seinerzeit dem gesungenen und getanzten Telegramm im Gorillakostüm?
Werden in Zukunft nur noch einige wenige Liebhaber des geschriebenen digitalen Wortes schön gestaltete E-Mails aufsetzen und diese auf Kongressen miteinander tauschen?
Nein, ich denke nicht, dass es in absehbarer Zeit dazu kommen wird.
Zum einen wird die E-Mail, wenn sie durch eine andere Form des digitalen Austausches abgelöst wird, einfach verschwinden.
Es wird keine Subkultur von E-Mail-Sammlern geben, wie bei Briefmarken oder gebrauchten Kochlöffeln von Fernsehköchen.
Wird E-Mail durch immer mehr neue, spezifische und in sich geschlossene Chatsysteme abgelöst werden?
Jedes dieser immer schneller auftauchenden Systeme bietet noch mehr Funktionalität, noch mehr bunt, noch mehr klickbar.
Und jedes System will noch mehr Daten von uns absaugen.
Nein, ich glaube nicht, dass E-Mail ausstirbt.
Die Post gibt es schließlich immer noch.
Trotz Telefon.
Trotz E-Mail.
Trotz Der-nächste-heiße-Scheiß-im-digitalen-Kommunikationshimmel-den-man-unbedingt-haben-muss.
Der massive Vorteil von E-Mail gegenüber all den neuen, hippen, bunten und klickbaren ist, dass es auf einem allgemeinen, offenen und stabilem Protokoll basiert.
Nun gut, das ist auch eine der Schwachstellen und auch dafür gibt es eine Lösung (ja, ich höre aus den hinteren Reihen die Rufe nach XMPP), aber jetzt bin ich dabei, eine Lanze für die E-Mail zu brechen.
E-Mail setzt auf offenen, etablierten und weit verbreiteten Protokollen auf.
Dadurch ist eine hohe Akzeptanz und Verfügbarkeit auf allen möglichen (und einigen unmöglichen) Systemen gegeben.
Wir brauchen für die Teilnahme an der Kommunikation mit E-Mail lediglich eine E-Mail-Adresse.
Die Funktionalitäten der unterschiedlichen Anbieter sind im Grunde genommen austauschbar und unterscheiden sich lediglich in Teilaspekten hinsichtlich der Sicherheit.
Gerade aus diesem Grund können wir uns auf diese Sicherheitsunterschiede konzentrieren und einen Anbieter auswählen, welcher hier die höchsten Standards erfüllt – dazu komme ich letzten Teil meiner Reihe über E-Mail.
Wir können uns darauf verlassen, dass wir alle Teilnehmer elektronischer Kommunikation auf Basis von E-Mail erreichen können, solange wir eine E-Mail-Adresse haben.
Wenn jemand gegen den festgelegten Standard in der E-Mail-Kommunkation verstößt, dann müssen (oder können!) wir diesen Teilnehmer (z.B. Gmail) explizit sperren – auch dieses Möglichkeit bietet E-Mail.
Beim nächsten (oder übernächsten) heißen Scheiß im digitalen Kommunikationskarussel müssen wir zuerst prüfen, ob unser gewünschter Kommunikationspartner auch in diesem geschlossenen System vorhanden ist – vollkommen unhandlich und untauglich als grundlegende Kommunikationsplattform.

Eher gefährlich als gefährdet?

Betrachten wir die Frage, ob E-Mail gefährdet ist aus einer anderen Perspektive.
Vielleicht ist E-Mail eher gefährlich als gefährdet, schließlich ist es ein offenes weitverbreitetes System.
Aus einer gewissen, offenheitsscheuen Argumentation wird alles, was offen ist, auch als potenziell gefährlich angesehen, weil es keine Möglichkeiten zum Verstecken von unerwünschten Bestandteilen bietet.
Aber das Gegenteil ist der Fall:
Alles was geschlossen ist, ist potenziell gefährlich, da es sich der Überprüfbarkeit auf eben diese unerwünschten Bestandteile entzieht.
Da es nichts vollkommen Sicheres gibt, bieten natürlich auch Protokolle wie die, auf denen E-Mail aufbaut, Unsicherheiten.
E-Mail wurde nicht im Hinblick auf sichere Kommunkation entwickelt. Aus diesem Grund fehlt bei den Standards die “security-by-design“, welche eine stabile Grundlage für durchgängig sichere elektronische Kommunkation bietet.
E-Mail ist eine elektronische Postkarte und verfügt daher nicht per se über die Möglichkeit der sicheren Kommunikation, die wir von einem elektronischen Brief erwarten.
Diese digitale Abbildung eines Briefumschlages muss zunächst zusätzlich eingerichtet werden – aber die Möglichkeit dieser Erweiterung ist in den E-Mail-Standards bereits vorgehsehen.
Was bleibt, ist das Risiko der Metadaten, die bei Nutzung von E-Mail entstehen.
Aber die entstehen auch bei den neuen, mit security-by-design-gesegneten Chatsystemen.
Und da E-Mail ein föderiertes System ist, laufen die anfallenden Metadaten nicht in einem zentralen Server zusammen, was uns E-Mail-Nutzern einen besseren Schutz unserer Daten bietet, als dies bei bunt-und-klickbaren-hipster-Chatsystemen, die über einen zentralen Server abgewickelt werden, möglich ist (ja, ich höre euch in den hinteren Reihen: XMPP kann das – aber XMPP ist heute nicht mein Thema 🙂 ).
Nun und schließlich ist E-Mail ja eine der großen Trägersysteme für Viren, Trojaner und Schadsoftware aller Art.
Aber ist das tatsächlich ein Problem der Plattform – oder liegt es nicht viel eher am zu neugierigen und zu ungeschulten Anwender?
Ich glaube daran, dass man den Boten nicht wegen der Botschaft erschießen sollte – und bin daher fest davon überzeugt, dass dies ein Problem auf Anwenderseite ist (das es zu lösen gilt).
Wir machen ja auch die Post nicht für Briefbomben verantwortlich.
Ich halte es an dieser Stelle wirklich für sehr wichtig, dass wir den Anwender weg vom schnellen (aber falschen!) Power-User zu einem kritischen Anwender schulen.

Was sind die Vorteile von E-Mail?

Warum aber sollten wir uns mit einem System “belasten”, welches doch genauso problembelastet ist wie der nächste noch-viel-bunter-und-viel-klickbarer (und-mit-Features-überfrachteten) proprietären Messenger?
Eben darum: E-Mail ist nicht proprietär.
Wir können uns den Client unserer Wahl aussuchen und sind nicht auf Gedeih und Verderb der Anwendung ausgeliefert, welche sich der Anbieter des hippen Messengers sich ausdenkt.
Inklusive aller Features, die er uns Anwendern aufzwingt – oder auch wieder ganz nach seinem Gusto entfernt.
Wir sind bei der Nutzung von E-Mail viel flexibler was die Auswahl von Clients hinsichtlich Funktionalität und Bedienkonzept angeht.
Auch die Verbreitung von E-Mail spricht meiner Ansicht nach für die Nutzung von E-Mail als Kommunikationsplattform.
Ja, ja, da hör ich wieder die WhatsApp-Jünger singen…
Ja, ihr seid 1 + x Milliarden.
Aber ich will meine Daten nicht einem datenkrakenden Datenhändler in den Rachen werfen!
E-Mail gehört niemandem.
Die proprietären Hipster-Chatsysteme gehören einem Unternehmen.
E-Mail basiert auf einem offenen Protokoll, da hängt man nicht an der digitalen Gunst eines Datenoligarchen, der möglicherweise doch irgendwann entscheidet, dass es ganz cool wäre, sich seine Dienstleistung jetzt auch mit Geld bezahlen zu lassen.
Und was dann, WhatsApp-Jünger?
Ihr wollt ja eure 483 WhatsApp-Kontakte nicht verlieren?
Aber Provider-Wechsel ist halt nicht vorgesehen.
Bei E-Mail kann ich das tun.
E-Mail-Provider helfen mir sogar dabei, wenn ich von E-Mail-Provider A zu X wechseln will.
Ok, ok, meine neue E-Mail-Adresse muss ich unter meinen Kontakten verteilen, aber ich kann meine Kontakte weiter behalten!

TL;DR

  • Kommunikation auf der roten Liste: E-Mail, eine austerbende Art zu kommunizieren?
  • E-Mail – Die elektronische Gefahr?: Eher gefährlich als gefährdet?
  • Was gut ist kann noch verbessert werden: Was sind die Vorteile von E-Mail?

Und jetzt?
Ein Aufruf: Lieber Leser, ermächtigt euch selbst zu versierten E-Mailern – oder fragt jemanden, der euch dabei hilft.