Kurz nach den ersten Enthüllungen rund um die Massenüberwachung im Netz, startete das Fraunhofer-Institut für Sichere Informationstechnologie SIT im August 2013 das Projekt „Volksverschlüsslung“. Und spätestens seit die Zeitung mit den großen Buchstaben angefangen hatte für „Volksirgendwas“ zu werben, ist klar, was damit gemeint ist: eMail-Verschlüsslung für jeden. Wobei es im Fall von Verschlüsslung nicht um die Kosten geht, sondern darum, dass bisherige Lösungen viel zu kompliziert für „Otto Normalnutzer“ seien. Zumindest denken das bislang die meisten „Ottos“. Dabei gibt es mit S/MIME und OpenPGP schon zwei erprobte und zuverlässige Lösungen.
Und hier soll nun die Lösung des Fraunhofer Institut SIT ansetzen: Einfach die Software laden, ausführen und alles wird passend konfiguriert, die Identität des Nutzers geprüft und das notwendige Zertifikat erstellt. Alles ganz einfach. Die Lösung? Wird verschlüsselte Mail endlich zum Standard?
Tatsächlich kann man durchaus skeptisch sein. Zwar sollen die Sourcen der Software offen gelegt werden, sie basiert auf dem Standard S/MIME und zumindest für Privatpersonen wird die Lösung dauerhaft kostenlos sein, aber das erste Problem ist schon mal die Einschränkung bei der Frage „Wer ist das Volk?“. Zum Volk im Sinne der Volksverschlüsslung gehören Menschen mit einem deutschen Personalausweis, im Idealfall in Form des ePerso oder einem Kundenaccount bei der Deutschen Telekom, dem technischen Dienstleister für die Infrastruktur.
Alternativ kann man sich auch bei Messen und Veranstaltungen registrieren, bei denen das Fraunhofer Institut SIT vor Ort ist und diese Registrierung anbietet. Dazu kommt, dass die Software erstmal nur für Windows und dort nur für die Mail-Clients Outlook und Thunderbirds zur Verfügung steht.
Für Mac OS X, Linux, iOS und Android sind schon Versionen der Software geplant und auch weitere Verfahren zur Authentifizierung der Nutzer mit „international einsetzbaren Payment-basierten Verfahren sowie Postident oder vergleichbaren Mechanismen“ stehen auf der Liste der geplanten Features. Und auch OpenPGP soll in Zukunft unterstützt werden. Die aktuellen Begrenzungen bei der Zielgruppe sollen also nicht von Dauer sein. Was die Volksverschlüsslung aber nicht sein und werden soll: Eine Konkurrenz zu DE-Mail. Wer also rechtssichere Mails verschicken will, der muss weiterhin auf diese Lösung zurückgreifen.
Und wie immer bei Verschlüsselungssoftware: Wird die Volksverschlüsslung Open Source? Jein. Die Sourcen sollen offen gelegt werden, jedoch nicht unter einer Lizenz, die der Definition von Open Source entspricht. Damit soll es möglich sein, die Software zu prüfen, aber was die Lizenz darüber hinaus erlauben oder verbieten wird ist noch offen:
Wir sind dabei die Lizenz zu definieren. Das ist ein schwieriges Unterfangen, wir bitten daher noch um etwas Geduld. Die Lizenz wird auch festlegen, ob und wie andere sich beteiligen können und wie wir mit Hinweisen auf Sicherheitslücken umgehen, sollten solche gemeldet werden. FAQ Volksverschlüsselung
Wenn der ganze Prozess der Erstellung einer Identität, der Zertifikate und die Konfiguration der Software wirklich so simpel wird, wie es die Macher versprechen, dann wäre es natürlich durchaus ein Fortschritt. Andererseits frage ich persönlich mich, warum hier unbedingt eine eigene Lösung her musste und man bei der Client-Software nicht auf bestehenden Open Source Lösungen aufgebaut hat.
Schließlich gibt es hier für alle Systeme Versuche, die Verschlüsselung für jeden Anwender ohne große Vorkenntnisse nutzbar zu machen. Schließlich ist die „Volksverschlüsslung“ keine neue Verschlüsselungssoftware im eigentlichen Sinn, sondern eine Kombination aus Zertifizierungsstelle, Nutzerverzeichnis und passender Client-Software zur Erstellung und zum Umgang mit den Zertifikaten und Schlüsseln, sowie der Konfiguration des Clients:
Die Volksverschlüsslung stellt X.509-Zertifikate aus und unterstützt damit alle S/MIME-fähigen E-Mail-Clients. FAQ Volksverschlüsslung
Grundsätzlich kein Hexenwerk und wer sich mit dem Thema Verschlüsslung schon ein wenig beschäftigt hat, der wird sich womöglich fragen, wozu man diese Software überhaupt braucht – diese Menschen gehören aber ganz offensichtlich nicht zur Zielgruppe der Volksverschlüsslung. Aber bei allen anderen Nutzer wird diese Software hoffentlich zu einer weiteren Verbreitung von Mail-Verschlüsslung führen. Auch wenn nur die Inhalte verschlüsselt werden und bekanntermaßen gerade für staatliche Schnüffler die Metadaten unserer Kommunikation – wer kommuniziert wann mit wem – in sehr vielen Fällen vollkommen für ihre Zwecke ausreicht.
Artikelbild von priyanshu28 via pixabay, Lizenz: CC0 Public Domain
