Manfred Kloiber: Konkurrierende Krypto-Standards erschweren die Verschlüsselung von E-Mails, darüber hat Achim Killer berichtet. Herr Killer, die De-Mail haben Sie erwähnt. Deren Anbieter haben diese Woche angekündigt, dass sich diese Mails künftig bequem Ende-zu-Ende verschlüsseln lassen. Bringt das die sichere E-Mail-Übertragung hierzulande nicht voran?

Achim Killer: Nee. Das ist, was man in der IT gerne als yet another bezeichnet, yet another PGP-Client, noch ein PGP-Client. Bei der De-Mail wird sehr oft verschlüsselt, entschlüsselt und signiert, je nachdem um was für eine Mail es sich handelt, ob sie etwa so eine Art Einschreiben sein soll oder nicht. Und da wird jetzt zusätzlich die Möglichkeit geboten, ein bisschen einfacher Ende-zu-Ende zu verschlüsseln. Es ging ja bisher schon. Aber es war halt recht kompliziert. Jetzt wird's einfacher. Das ist alles. An ein System, bei dem man bisher fast schon peinlich darauf bedacht war, dass nicht durchgängig verschlüsselt wird, da klatscht man jetzt nachträglich ein Browser-Plug-in ran. Jetzt, wo das System fast schon gescheitert ist, weil's kaum angenommen wird. Da hätte es nun wahrlich bessere Gelegenheiten gegeben, um eine sichere Mail-Kommunikation zu etablieren.

Kloiber: Woran denken Sie da?

Killer: An den neuen elektronischen Personalausweis. Das Ding ist eine High-Tech-Krypto-Maschine. Das hat beispielsweise ein Sicherheits-Modul, in dem der geheime Schlüssel verwahrt wird. Der verschlüsselt in dem Modul. Der kommt da gar nicht raus. Und wenn jemand versucht, ihn auszulesen, dann geht der Ausweis kaputt. Der hätte die Basis für eine sichere IT-Infrastruktur bilden können.

Kloiber: Und warum ist das nicht geschehen. Was vermuten Sie?

Killer: Na ja. Verschlüsselung erschwert das Abhören. Und es sind staatliche Stellen, die abhören – aus guten und aus weniger guten Gründen. Und diese Stellen, Polizei und Geheimdienste, politisch gesehen das Innenministerium, die haben natürlich kein Interesse daran, dass durchgängig verschlüsselt wird. Thomas de Maizière ist ja ein erklärter Gegner.

Kloiber: Was ja auch verständlich ist. Es gibt schließlich, wie Sie selbst sagen, legale und legitime Gründe, die Kommunikation beispielsweise von Leuten zu überwachen, die verdächtigt werden, eine schwere Straftat begangen zu haben.

Killer: Ja, sowas ist ein schwerer, aber nichts desto weniger legitimer Eingriff in die Grundrechte der Betroffenen. Aber es gibt die Quellen-TKÜ, die Quellen-Telekommunikationsüberwachung, wobei sich Bayern mit dem Staatstrojaner so blamiert hat. Da wird vor dem Verschlüsseln aufgezeichnet. Das ist schwierig, so etwas technisch und rechtlich sauber hinzubekommen, schwieriger jedenfalls, als zum Provider zu gehen und zu sagen: Gib mir doch mal die Mails eines deiner Kunden. Aber es gibt halt auch kein Gesetz, in dem steht, dass sich in Grundrechte möglichst bequem eingreifen lassen muss.

Kloiber: Wenn jetzt die De-Mail-Provider PGP-Verschlüsselung ermöglichen, könnte das diesem Standard nicht zum Durchbruch verhelfen?

Killer: Nee, PGP wird bereits von Privatanwendern sehr stark genutzt. Organisationen aber bevorzugen S/Mime. Das hat ein herkömmliches hierarchisches Zertifizierungssystem. PGP hingegen basiert auf einem sogenannten Web of Trust. Damit können Unternehmen nur schwer umgehen. Da wird sich wohl nichts ändern. Die beiden Standards dürften auf absehbare Zeit nebeneinander bestehen.

Kloiber: Der Mail-Provider 1&1 hat angekündigt, noch in diesem Jahr durchgängig zu verschlüsseln. Welche Bedeutung messen Sie solchen Initiativen bei?

Killer: Keine. 1&1 ist in erster Linie ein Marketing-Unternehmen. So etwas Ähnliches wie Google, nur eben viel kleiner. Und es gibt zwei Institutionen, die die Privatsphäre im Internet bedrohen. Das eine sind staatliche Stellen, die überwachen. Und das andere sind Firmen, die Daten fürs Marketing sammeln. Und da sollte man nicht ausgerechnet auf diese Einrichtungen hoffen, wenn es um den Schutz der Privatsphäre geht. Nein, dafür muss man schon selber sorgen. Und das geht. Trotz der konkurrierenden Standards. GnuPG beherrscht beide. Das kann man installieren. Pflegen muss das Programm natürlich auch jemand. Das hat bislang Werner Koch weitgehend alleine gemacht. Aber am Dienstag hat er in seinem Blogg geschrieben, dass er wegen der Brisanz des Themas so viele Spenden von Nutzern bekommen hat, dass er einen Programmierer für das Projekt einstellen kann. Dann sind es zwei, die sich darum kümmern. Eben, weil die Nutzer sich selbst um ihre Privatsphäre kümmern.