Verschlüsselung in Mail und Chat: Der Kampf ist verloren (oder auch nicht?)

Der Kampf um Verschlüsselung ist verloren. Der Grund: Es ist den meisten einfach egal.

Es ist ihnen egal, trotz solcher Meldungen wie die Durchsuchung von 37,3 Millionen E-Mails durch Deutsche Geheimdienste (siehe z.B. Golem.de). Das Finanzamt greift wohl auch öfter mal im Rahmen der Steuerfahndung auf E-Mail-Konto zu schreibt das Handelsblatt.

Also sollte man sich vielleicht doch mal wieder Verschlüsselung für Mail und Chat ansehen. Selbst wenn geschätzte 99% meiner Mails keine sensitiven Daten enthalten, will ich nicht unbedingt, dass sie großflächig durchsucht werden. Also GPGTools runtergeladen, installiert, Keys erstellt und Mails signiert. Leider ging das nicht so einfach, irgendwie hat das Mail-Plug-In divers rumgezickt. In Postbox habe ich dann Enigmail installiert, wollte auch erst einmal nicht. Am Ende habe ich etwa eine Stunde gebraucht, bis ich die erste verschlüsselte Mail verschickt hatte und Mail.app zeigt mir immer noch Fehler bei jeder Mail mit Signatur. Ehrlich gesagt seh ich auch durch die Signatur/Hol-dir-den-Publickey-Geschichte immer noch nicht ganz durch. Meinem Vater und dem berühmten Durchschnitts-User bekomme ich das Ganze glaube ich nicht erklärt.

In Mail-Clients ist es zumindest unter OS X nicht weitflächig genug eingebaut. Mail.app hat ein Plugin und Thunderbird bzw. Postbox können Enigmail benutzen. Kein Support z.B. in Sparrow oder Mailmate. Warum auch über Plugins in Thunderbird und Postbox? Warum nicht sofort?

Und dann schau ich auf mobile Mailclients und ich kann mich nicht erinnern Support für GPG bei Blackberry gesehen zu haben, bei iOS auch nicht, ich vermute mal, dass es das nicht in Windows Phone gibt. Aber vielleicht gibt es ja einen Client unter Android, der etwas entsprechendes anbietet.

Mal abgesehen davon, dass Freemailer in ihrem Web-Interface wohl nie GPG unterschieben werden. Wo will man auch den Private-Key hinterlegen? Und wie scannt man verschlüsselte E-Mails um Werbung zu generieren? Selbst bei Zimbra ist es wohl seit Ewigkeiten ganz oben auf der Liste der gewünschten Features und immer noch nicht umgesetzt.

Irgendwann habe ich auch mal S/Mime benutzt. Das war weitflächiger vertreten, aber lief auch nicht rund.

Und der nächste Blick geht dann auf die Anzahl der Leute von denen ich signierte Mails empfange. Selbst im meinem recht nerdy Umfeld kann ich die an einer Hand abzählen. Von den Nicht-Nerds habe ich (wie erwartet) noch nie eine signierte Mail bekommen.

Ich hatte ja erwartet, dass die üblichen Vertreter der „Verschlüsselt alles“-Fraktion jetzt ihren Werbefeldzug starten. Aber es ist nichts passiert.

Komm ich jetzt noch zu OTR. OTR ist Verschlüsselung für Chats. Supereinfach und funktioniert. Ich glaube zwar nicht, dass irgendwer jemals die Schlüssel mit seinem Gegenüber überprüft hat, aber zumindest ist es verschlüsselt. Allerdings hat auch OTR meiner Meinung nach das Verbreitungsproblem. Die einzigen Clients in die ich es bis jetzt eingebaut gesehen habe, sind Clients, die auf der libpurple aufbauen. Früher haben aber fast alle meiner Erfahrung nach den Client ihres Anbieters (AIM, ICQ, MSN etc) benutzt, heute benutzen die meisten einfach den eingebauten Chat bei Facebook. Und ich habe auch noch keinen einzigen mobilen Client gesehen der OTR unterstützt.

Aber gerade bei Facebook sieht man auch den meiner Meinung nach, dass der Kampf vermutlich verloren ist für Mail- und Chat-Verschlüsselung.

Warum? Ganz einfach: Sehr sehr viele Leute verschicken heutzutage ihre Nachrichten über Facebook und chatten auch darüber. Unverschlüsselt und mitgeloggt. Komplett. Ohne Ausnahme. Und keiner macht sich einen Kopf. Keiner. Die benutzen nicht Pidgin oder Adium und richten sich ihren Facebook-Account ein und klicken auf OTR, die benutzen die Webseite.

Und da kommen wir auch wieder zur E-Mail. Ich bekomm die Leute sogar nur in seltenen Fällen dazu auf eine E-Mail zu reagieren. Wenn es nicht über Facebook läuft, wird es gar nicht wahrgenommen. Und diesen Leuten dann noch zu erklären, dass Verschlüsselung eine ganz gute Sache wäre, sie aber dann wieder auf diese andere Technologie setzen müssten. No way.

Wieder einmal sind es nur die Nerds, die verschlüsseln und auch da nicht viele. Meiner Meinung nach sind es wohl eher die Aluhutträger die verschlüsseln. Und wenn ich höre, dass jemand all seine Mails signiert. Juhuu, die Nicht-Nerds ignorieren meiner Erfahrung nach alles was sie nicht sofort verstehen. Klar pauschalisiere ich hier, ich kann auch nur aus eigener Erfahrung sprechen. Schreibt mir ne Mail oder meldet euch auf Twitter bei mir, falls sich mal ein Nicht-Nerd aufgrund eurer signierten Mail bei euch gemeldet hat, was der Zeichenmüll unter eurer Mail soll.

Ich sehe nicht, dass das noch was wird mit der Verschlüsselung. Leider.

Aber ich setze sie auch nur ungern ein. In dem Moment, in dem ich anfange zu verschlüsseln kann ich die Mails nicht mehr auf meinem iPhone lesen und der Großteil der Rezeptions und Interaktion des Netzes läuft inzwischen über mein iPhone. Und da will ich nicht die ganzen Mails ignorieren mit Datenmüll, die ich erst lesen kann, wenn ich Abends an meinem Rechner sitze.

Was kann aber nun getan werden, dass hier nur von verlorenen Schlachten und nicht dem Krieg geschrieben wird?

Tja, das wird an sich schon seit Jahren erzählt: Verschlüsselung muss einfach werden. Man muss nicht erst verstehen müssen, was öffentlicher und geheimer Schlüssel sind, bevor man es einsetzen kann. Das muss eine Dreischrittinstallation werden.

  • Schritt 1: Ja, ich will installieren
  • Schritt 2: Ja, hier ist mein Passwort, lass mich in Ruhe
  • Schritt 3: Fertig

Besser noch: Es wird direkt in die Clients eingebunden. Auch muss es mobile Clients geben auf denen ich ver- und entschlüsseln kann. Nicht nur Mails, auch OTR. Ohne die, wird es immer weiter bergab gehen. Wo ist das MobileMail-Overlay in das ich einfach meine Keys importieren kann? Oder gar die MobileMail-Alternative die es direkt eingebaut hat? Wo ist der mobile IM-Client, der OTR kann? Wo? Die müssen her und zwar schnell. Und dann muss es noch Propaganda geben. So schöne Infographiken und Youtube-Videos, welche die Probleme klären und erklären wie es geht. Die eintrichtern, dass man Verschlüsselung will. Übrigens ich will auch gerne überzeugt werden, warum ich Verschlüsselung will und warum ich mir den aktuellen Schmerz antun sollte. Gerne per Mail (siehe Impressum) oder Twitter. Bitte den Elevator-Pitch. Sprich: Ihr habt eine kurze Aufzugfahrt Zeit, um mich zu überzeugen und nicht ganze Bildschirmseiten. Wenn ihr den Durschnittsuser überzeugen wollt, habt ihr auch nicht mehr Zeit.

Die Beantwortung des Feedbacks und Informationen zu Verschlüsselung von Mail und Chat auf Smartphones findet ihr hier.

2 Gedanken zu „Verschlüsselung in Mail und Chat: Der Kampf ist verloren (oder auch nicht?)

  1. Adium für Mac verschlüsselt meinen Facebook Chat. Und Skype. Dieser OTR Key scheint nur 40bit zu haben, daber immerhin reicht das ja schon mal, um zum Beispiel die personalisierte Werbung kaputt zu machen. Allerdings habe ich auch so gut wie keinen Erfolg damit, selbst Nerds davon zu überzeugen, daß Verschlüsselung Sinn hat.

Kommentar verfassen