In die Mail-Postfächer von Facebooknutzern flattert häufig elektronische Post von dem Netzwerk. Damit diese E-Mails möglichst nicht von Dritten mitgelesen werden, kann Facebook diese E-Mails neuerdings auch über die Software Open-PGP verschlüsseln. Dieses Programm wird weltweit sehr häufig verwendet, um E-Mails zu verschlüsseln. Auch Edward Snowden gehört zu den Nutzern. Die Software ist eine Open-Source-Weiterentwicklung des über 20 Jahre alten Programms PGP („Pretty Good Privacy“), das immer noch als sehr schwer zu knacken gilt.
PGP: Asymmetrische Verschlüsselung
Open-PGP ist eine sogenannte Ende-zu-Ende Verschlüsselung und basiert auf asymmetrischer Verschlüsselung. Um das Prinzip der Software zu erklären, nehmen wir die Person Bob. Bob hat zwei verschiedene „Schlüssel“ für seine E-Mail-Kommunikation. Einer davon wird öffentlich gemacht, jeder kann ihn verwenden. Der andere Schlüssel bleibt privat, Bob muss ihn auf jeden Fall geheim halten.
Will nun jemand Bob eine geheime Nachricht schreiben, verschlüsselt die Person die Nachricht mit dem öffentlichen Schlüssel. Bei Bob kommt die Nachricht verschlüsselt an, sie ist für niemand sonst leserbar. Bob muss zuerst seinen privaten Schlüssel anwenden, um die Nachricht wieder zu entschlüsseln.
Andersrum kann Bob auch eine Nachricht mit seinem privaten Schlüssel verschlüsseln. Da Bob den öffentlichen Schlüssel seines Gegenübers finden kann, kann der dann diese Nachricht wieder entschlüsseln.
Keine Angriffsfläche für Dritte
Auf Facebook können Nutzer nun ihren öffentlichen Open-PGP-Schlüssel hinterlegen. Das Netzwerk sendet dann Benachrichtigungen oder neue Passwörter verschlüsselt an die E-Mail-Adresse der Nutzer. Facebook hat seinen öffentlichen Schlüssel auch publik gemacht, so können Nutzer sicher sein, dass eine E-Mail wirklich von Facebook gesendet wurde. Bisher waren die E-Mails lediglich mit dem Verschlüsselungsstandard TLS gesichert, bei welchem die E-Mails beim Provider wieder entschlüsselt werden und dort für Dritte lesbar sind.
Verschlüsselung bedeutet kaum mehr Datenschutz
Die Neuerung ist für Datenschutzfreunde kein Grund zu ungetrübten Freudensprünge: An den Rechten, die Facebook über die Daten seiner Nutzer hat, ändert Open-PGP nichts. Das Unternehmen kann weiterhin Nutzerdaten für Werbezwecken sammeln und verkaufen. Für den Durchschnittsnutzer ist es meistens viel zu aufwendig, jede Mail kompliziert mit PGP zu entschlüsseln. Der private Schlüssel muss bei dem Programm immer vorhanden sein. Verliert ein Nutzer seinen Schlüssel, gelangt er kaum noch an die verschlüsselten Mitteilungen.
Dennoch kann der Schritt von Facebook als Vorbild dienen, beispielsweise für die Kommunikation in Unternehmen. Auch Google und Yahoo wollen die Verschlüsselungssoftware demnächst für ihre E-Mail-Provider einführen.
Was das Ganze also bringt und wie der Schritt von facebook zu bewerten ist, besprechen wir mit Ronald Eikenberg, der für das Fachmagazin c’t über Sicherheitsthemen schreibt.
Redaktion: Mona Ruzicka