Regify kommentiert Vorstoß der Arbeitsgemeinschaft DE-Mail

Luxemburg/Hüfingen, 10. März 2015 – Die Ankündigung der Arbeitsgemeinschaft De-Mail, das System künftig mit einem PGP-Plugin für Ende-zu-Ende-Verschlüsselung auszustatten, zeigt, dass die De-Mail von Anfang an an den Bedürfnissen des Marktes bzw. der Nutzer vorbei konzipiert wurde. Anstatt direkt bei der Einführung des Systems eine Ende-zu-Ende-Verschlüsselung zu integrieren, wird nun nachgebessert – zum Nachteil möglicher De-Mail-Nutzer (es gibt kaum welche). Dazu sagt Chaos Computer Club (CCC)-Sprecher Linus Neumann gegenüber heise online: „Diese Chance wurde damals nicht ergriffen, und so muss man heute auf eine ‚von hinten durch die Brust ins Auge‘-Lösung aus dem E-Mail-Bereich zurückgreifen, die wieder eine zusätzliche Einrichtung erfordert, die wieder viele Nutzer nicht durchführen werden.“

De-Mail-Nutzer bekommt „Ende-zu-Ende-Rucksack“
Bei dem angekündigten PGP-Plugin für die De-Mail wird dem Nutzer ein „Ende-zu-Ende-Rucksack auf den Rücken geschnallt“. Dazu sagt regify-Geschäftsführer Kurt Kammerer: „De-Mail-Nutzer müssen so nicht nur die schwer nutzbare De-Mail, sondern zusätzlich auch noch die draufgesattelte Ende-zu-Ende-Verschlüsselung beherrschen. Ganz nach dem Sprichwort ‚Two turkeys don’t make an eagle‘ oder zu Deutsch ‚Aus zwei Blinden wird kein Sehender‘ wird sich die Akzeptanz des Systems damit in keinem Fall steigern. Die De-Mail ist heute da angekommen, wo regify mit regimail vor fünf Jahren gestartet ist.“

Regify: Automatisierte Verschlüsselung wichtig
Regify bietet seit 2010 über eine Vielzahl von Anbietern einen Service für die vertrauliche E-Mail (regimail). Bei regimail ist die Ende-zu-Ende-Verschlüsselung direkt integriert. Die Textnachricht sowie etwaige Anhänge werden automatisch verschlüsselt und der E-Mail als Anhang beigefügt. Die Verschlüsselung erfolgt ohne Administrationsaufwand beim Sender; der Empfänger öffnet die regify-Nachricht mit Doppelklick. Bei regimail müssen weder Sender noch Empfänger Schlüssel selbst verwalten, aber dennoch haben nur sie Zugang zum Inhalt einer jeweiligen Nachricht. Aus Gründen der Nutzbarkeit funktioniert der regimail-Dienst mit jeder bestehenden E-Mail-Adresse.

PGP-Verschlüsselung zu aufwändig
Wer sich jetzt wie üblich bei De-Mail anmeldet, wird ab April auf die PGP-Verschlüsselung hingewiesen. Wenn sie aktiviert werden soll, muss sich der De-Mail-Nutzer auf das Sicherheitsniveau „hoch“ begeben, also zusätzlich eine mTAN oder die eID des neuen Personalausweises einsetzen. Erst danach wird das PGP-Plugin installiert, ein zusätzliches Passwort vergeben und der geheime wie der öffentliche Schlüssel auf dem Rechner des Nutzers kreiert. Die PGP-Technik erfordert ein kompliziertes Handling von Schlüsseln für die Nutzer, denn die Technik basiert auf einer sogenannten asymmetrischen Verschlüsselung mit öffentlichen und privaten Schlüsseln. Mit dem öffentlichen Key des jeweiligen Empfängers verschlüsselt der Absender eine Nachricht, die nur der Empfänger selbst mit seinem geheimen privaten Key öffnen kann.

Das Problem bei der De-Mail zudem: Das nutzerfeindliche Konzept der separaten E-Mail-Adresse bleibt. Interessenten können ihre bestehenden Adressen für die De-Mail nicht nutzen. Das ist wenig praktikabel in heutigen Zeiten und an den Bedürfnissen des Marktes vorbei gedacht.