Verschlüsselte E-Mail - Kein Anschluss bei der Bundesregierung

Auf den NSA-Spionageskandal kann man ja durchaus unterschiedlich reagieren. Man könnte einfach mit den Schultern zucken wie die gefühlte Mehrheit der Deutschen. Oder in Aktionismus verfallen, Placebo-Vorschläge bringen à la Trittin und Göring-Eckardt, die das Grundrecht des Postgeheimnis auf E-Mail und SMS ausweiten wollen (auch wenn das Grundgesetz da schon längst weiter ist als die Grünen, wie die taz spitz bemerkte). Man könnte auch die nachvollziehbarste aller Lösungen wählen und seine Wut wie Sascha Lobo in die Welt hinausschreien.

Das Dumme nur: keines dieser Rezepte hilft. Mit Prism und Tempora hat das Netz seine Jungfräulichkeit verloren; dem Staat ist nicht zu vertrauen, amerikanischen Privatfirmen erst recht nicht. Google is very, very evil – genau wie Facebook, Microsoft und all die anderen. Man kann Hans-Peter Friedrich, unserem Innenminister, diesem von-Sinnen-Minister, ja vieles vorwerfen. Zum Beispiel viele böse F-Wörter, wie Lobo. Nur eines nicht: Friedrichs weiser Ratschlag, doch einfach die Mails zu verschlüsseln, hat Hand und Fuß.

Und da fängt plötzlich das schlechte Gewissen an. Seit reichlich einem Jahr habe ich ein Verschlüsselungsprogramm für meine Privat-E-Mails. Aber im Dienstlichen?

Nix. Nada. Niente. Und auf Ostdeutsch: Nüscht.

Als Journalistin gehöre ich einer Berufsgruppe an, die mit sensiblen Informationen umgeht. Genauso wie Mediziner, Psychologen, Anwälte oder Pfarrer. Der Journalist Burkhard Schröder hat zurecht moniert, dass gerade die Medienmacher, die bei der Kommunikation eigentlich Vorreiter sein sollten,  informationstechnisch noch hinterm Mond leben. Ob bei Sueddeutsche.de, beim Tagesspiegel, dem ZDF-Magazin Frontal 21 oder der Pariser Zentrale von Reporter ohne Grenzen: vielerorts wird Mail-Verschlüsselung noch gar nicht angeboten. Auch nicht bei den Publikationen Welt Online oder Computerbild des Axel-Springer-Verlags, der sich mit der heutigen Ankündigung, seine Regionalzeitungssparte sowie Programm- und Frauenzeitschriften für 920 Millionen an die Funke-Gruppe zu verkaufen, auf dem „Weg zum führenden digitalen Medienunternehmen“ sieht.

Und – Sie erraten es – beim Cicero auch nicht. Aus der internen IT-Abteilung heißt es, dass man dafür den Server umbauen müsse. Das wäre ein unverhältnismäßiger Arbeits- und Kostenaufwand. Den scheuen größere Organisationen übrigens fast durchgängig.

Statt der Server-basierten Kommunikation bleibt mir also nur die individuelle, die sogenannte „Client“-Lösung. Hervorragend hat das bei meiner Privat-Mail mit dem Programm Thunderbird, dem GNU Privacy Guard und dem Add-On Enigmail geklappt (ein praktisches Erklärvideo gibt es hier).

Auf diese Art probiere ich es bei jenen Organisationen, die einen Schutzauftrag haben: Behörden und Ministerien. Bieten sie Public Keys (öffentliche Schlüssel) an? Die Open-Source-Lösung PGP (Pretty Good Privacy – übersetzt etwa „ziemlich gute Privatsphäre“) ist das gängigste Format bei den Verschlüsselungstechnologien. Die finde ich etwa bei den Datenschutzzentren. Sowohl beim Landesdatenschutzbeauftragten Schleswig-Holstein als auch beim Bundesbeauftragten Peter Schaar antwortet man mir auf meine verschlüsselte Mailanfrage.

Ich erfahre außerdem, dass das Bundesinnenministerium, dem der Bundesdatenschutzbeauftragte beigeordnet ist, keinen Public Key bereitstellt. Moment mal. Hans-Peter Friedrich will, dass wir verschlüsseln, bietet diese Technologie aber selbst nicht an? Ein Sprecher lässt ausrichten, dass Anfragen über die Kontaktformulare auf der Webseite des Ministeriums verschlüsselt würden. Ein Kontaktformular! Der Minister will also, dass ich meine sensible Mail an eine anonyme „Internetredaktion“ oder den „Bürgerservice“ schicke, auf dessen Account sicherlich zahlreiche BMI-Mitarbeiter zugreifen können? Genauso gut könnte ich meinen geheimen Brief in einem Klarsichtumschlag verschicken.

Eine ähnliche Auskunft gibt es vom Bundeskanzleramt und dem Bundespresseamt. Ein Sprecher ergänzt, dass die Bundesbehörden mit dem zertifizierten Dienst „E-Mail-Sicherheit“ immerhin untereinander verschlüsselt kommunizieren können, sofern die Mitarbeiter vorher ihre Schlüssel ausgetauscht haben. Nach außen – mit Bürgern oder Journalisten – geht das nicht. Die „virtuelle Poststelle“, die das Bundesamt für Sicherheit in der Informationstechnik längst entwickelt hat, sei nie eingerichtet worden. Denn bislang habe es „von außen keinerlei Nachfrage nach dieser Kommunikationsform gegeben“. Heißt: Es hat auch nie ein Journalist das gefordert oder angeprangert.

Erst ab Mitte 2014 soll die sichere, virtuelle Poststelle in den Bundesbehörden eingerichtet werden. Das sieht das e-Government-Gesetz vor. Der Bundesdatenschützer Peter Schaar sieht in der Vorschrift aber „erhebliche Defizite“. Denn Bundesbehörden werden darin nicht einmal verpflichtet, ihnen übersandte verschlüsselte Dokumente auch entgegenzunehmen.

Putzig die Entschuldigungen, die ich im Kreis von Journalistenkollegen für das Desinteresse an Mailverschlüsselung höre: Wenn ein Lauschangriff von NSA oder BND bekannt werde, sei das doch ein super PR-Coup. Aber es geht ja auch um den Schutz der Mails von Lesern oder Informanten.

Einer verweist darauf, dass man keine Sicherungssysteme anbiete, weil die Geheimdienste ohnehin verschlüsselte E-Mails knacken könnten. Im Koran findet sich dazu das Gleichnis eines Gefolgsmannes Mohammeds. Der fragte den Propheten: „Herr, soll ich mein Kamel anbinden oder auf Gott vertrauen?“ Mohammed antwortete: „Binde dein Kamel an und vertraue auf Gott!“

[gallery:20 Gründe, warum Politiker nicht twittern sollten]

Auch, wenn ich kaum Kommunikationspartner habe, die mit mir verschlüsseln: Irgendwann bin ich es doch satt, immer nur Privat-Mails zu versenden. Ich muss mir eine Lösung für Microsoft Outlook – unsere Firmen-Mail-Software – basteln. Irgendwelche kompatiblen Client-basierten PGP-Verbindungen in der Art von Thunderbird/Enigmail. Laut dem Bundessicherheitsamt gibt es aber nur Plugins für Microsoft Outlook 2003/2007. Uralt, wie Forennutzer schreiben, und unpraktisch. Ich probiere verschiedene freie Softwareversionen, die alle nicht richtig funktionieren. Herrjeh, ich bin doch kein IT-Crack! Offenbar stemmt sich Microsoft mit Vehemenz dagegen, die eigene Software kompatibel für kostenfreie, aber für die individuelle Verschlüsselung zwingend notwendige Open-Source-Ergänzungen zu öffnen.

Bis mich Investigativ-Profi Albrecht Ude, der für Medienhäuser anonyme Postkasten einrichtet, auf eine Meldung beim IT-Portal Heise Online von Sonntag aufmerksam macht: Eine neue Beta-Version von GPG4Win 2.2.0  sei nun auch für Outlook 2010 erhältlich. Ich surfe, klicke, installiere. Wieder nichts.

Der gute Mensch vom Erklärvideo empfiehlt auch, sich eine alternative Mail-Adresse zuzulegen.

In dem IT-Portal findet sich ein Eintrag eines frustrierten Leidensgenossen: „GPG und Outlook? träumt weiter!“ und: „wer sich mit diesem Scheiss-schmarren schon auseinandergesetzt hat, weiss um die ultraschrottige Umsetzung“. Äh. Ja.

Der Berliner Ex-Chef der Piraten Hartmut Semken, selbst Softwareingenieur, ist einmal durch einen medial-digitalen Shitstorm gegangen. Er hätte also allen Grund, es den Journalisten jetzt wegen ihrer Verschlüsselungs-Faulheit zurückzuzahlen. Stattdessen nimmt er sie in Schutz: Ein Grund für die mangelnde Verbreitung von Verschlüsselungstechnologie sei auch, dass sie technisch einfach nicht verfügbar sei, schreibt er in einem Kommentar unter Schröders Medienschelte. Die „eMail-Misere“ setze sich ausgerechnet bei neueren Geräten fort.

Ein Softwareexperte, der sich gerade im arabischen Raum aufhält, schildert Ähnliches: Er suchte einen E-Mail-Anbieter, mit dem man von unterwegs seine Mails verschlüsseln kann, per Webmail, von einem anderen Rechner aus. Er fand nur einen US-Anbieter. „Da kann man es aber auch gleich wieder sein lassen.“

Nach einigem Herumprobieren habe ich übrigens doch etwas für meine Dienst-Mail bei Microsoft Outlook gefunden: eine umständliche Bezahllösung, die ich noch 44 Tage lang kostenfrei testen kann...

@petrasorge folgen