Apps kurz vorgestellt: E-Mails verschlüsseln mit pEp

pep-app Mail verschlüsseln Android
Bild: Pixabay/haalkab, Lizenz: CC0

Wer sensible Informationen per Mail verschickt, sollte diese verschlüsseln. Auf Mobilgeräten war das bisher umständlich. Die p≡p-App vereinfacht das Ganze nun stark. Die Anwendung basiert auf der datenschutzfreundlichen Mail-App K-9 und verschlüsselt E-Mails weitgehend automatisch.

Veröffentlicht am
Autor
Schlagworte
E-Mail · Ende-zu-Ende-Verschlüsselung
Drucken

Das ist pEp

Die Abkürzung pEp bzw. die Eigenschreibweise p≡p (ausgesprochen „PEP“) steht für „Pretty Easy Privacy“ (deutsch etwa „ziemlich einfache Privatsphäre“). Das soll den Anspruch signalisieren, Verschlüsselungstechnologie besonders leicht handhabbar und massentauglich zu machen.

Die Android-App ist einerseits eine vollwertige E-Mail-App. Gleichzeitig sorgt sie mehr oder weniger von selbst dafür, dass versendete E-Mails verschlüsselt werden. Dabei ist eine Ende-zu-Ende-Verschlüsselung gemeint. Das heißt, dass die Mail auf Ihrem Gerät verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt wird.

E-Mails werden standardmäßig auch jetzt schon verschlüsselt – allerdings nur für den Transport, also auf den Wegen zwischen den E-Mail-Providern. Bei den E-Mail-Providern liegen die Mails hingegen entschlüsselt vor. Damit kann jeder die Mails lesen, der sich dort Zugriff verschaffen kann.

Mit einer Ende-zu-Ende-Verschlüsselung, wie sie pEp vornimmt, können Mail-Anbieter, beispielsweise t-online, web.de oder Gmail, die Inhalte nicht mehr lesen.

Verschlüsselung leicht gemacht

Wer bisher E-Mail-Verschlüsselung auf dem Smartphone nutzen wollte, brauchte dafür stets zwei Anwendungen: Eine E-Mail-App und eine Verschlüsselungs-App. pEp vereint beides in einer Anwendung. Die pEp-App gibt es für das mobile Betriebssystem Android, eine iOS-App soll im Sommer 2018 folgen.

Zudem ist die Handhabe so weit wie möglich vereinfacht. So sendet die App automatisch Ihren öffentlichen Schlüssel im Anhang mit, wenn Sie eine Mail an einen neuen Empfänger schicken.

Sobald die App den öffentlichen Schlüssel des Gegenübers kennt, verschlüsselt sie ausgehende E-Mails automatisch. Verschlüsselte E-Mails macht sie von selbst lesbar. Beides geht auch dann, wenn das Gegenüber nicht pEp nutzt, sondern eine andere Verschlüsselungs-Software, wie etwa PGP (pretty good privacy).

Hat die App für einen Kommunikationspartner keinen öffentlichen Schlüssel, verschickt sie ganz „normal“ unverschlüsselte E-Mails.

Kombination aus pEp und K-9

Die Android-App basiert auf einem schon bestehenden Programm, der Mail-App K-9. Sie ist quelloffen (in der Fachsprache heißt das „Open Source“). Das bedeutet: der Programmcode der App ist öffentlich einsehbar, so dass Dritte ihn überprüfen können.

Zudem dürfen andere den Programmcode für eigene Zwecke nutzen und verändern. Die pEp-Macher haben von dieser Möglichkeit Gebrauch gemacht und die Verschlüsselungstechnologie pEp in K-9 integriert. Das Ergebnis stellen sie als eigene App zur Verfügung, ebenfalls unter einer Open-Source-Lizenz.

Kostenpflichtig im Play-Store, kostenlos in F-Droid

Die pEp-App gibt es für 0,59 Euro (Stand Juni 2018) im Play-Store von Google und kostenlos im alternativen App-Store F-Droid, der nur quelloffene Anwendungen anbietet. „So können sich Nutzer entscheiden, ob sie für die App etwas bezahlen möchten oder nicht“, erklärt Volker Birk, einer der Gründer von pEp.

Allerdings war die App im F-Droid-Store während unserer Recherche nicht auf dem neuesten Stand und verfügte nicht über alle Funktionen der Play-Store-Version. Laut Birk liegt das daran, dass Softwareaktualisierungen bei F-Droid manchmal später ankommen, weil die internen Prüfprozesse des ehrenamtlichen Anbieterteams länger dauern als beim Google Play-Store. Wir empfehlen, dass Sie vor dem Herunterladen auf beiden App-Stores die jeweilige Versionsnummer der pEp-App vergleichen und so die Aktualität prüfen.

Wer steht hinter der pEp-App?

Entwicklerin der pEp-Verschlüsselungstechnologie ist eine Schweizer Stiftung, die „pEp Foundation“. Konkrete Anwendungsprogramme wie die Android-App dagegen entwickelt ein kommerzielles Unternehmen in Luxemburg, die pep security SA. Die Aktiengesellschaft verdient Geld, indem sie Unternehmen beim Einbau der pEp-Verschlüsselung in firmeninterne Kommunikationssysteme unterstützt. Drittens gibt es noch die pEp-Kooperative mit Sitz in Berlin. Diese sieht sich als Menschenrechtsorganisation und wirbt für pEp-Anwendungen als Werkzeug für mehr Datenschutz und Privatsphäre.

Zu den Gründungsmitgliedern der Kooperative gehören verschiedene Persönlichkeiten des öffentlichen Lebens, unter anderem die Schriftstellerinnen Juli Zeh und Sibylle Berg sowie der Soziologieprofessor Wilhelm Heitmeyer.

Die Idee zu pEp stammt von dem Schweizer Informatiker Volker Birk, der pEp als Werkzeug zur digitalen Selbstverteidigung sieht. Es soll der Totalüberwachung von digitaler Kommunikation entgegenwirken. Mitgründer ist der Luxemburger Leon Schumacher, der zuvor in leitender Position unter anderem für die IT des Stahlkonzerns ArcelorMittal und des Pharmakonzerns Novartis zuständig war.

Große Pläne

Neben der Android-App gibt es bereits eine pEp-Anwendung für Outlook auf dem PC und für das quelloffene Pendant Thunderbird. Eine iOS-App befindet sich in einem Teststadium, sie soll im Juli 2018 fertig sein. Weiterhin arbeitet das Projekt an einer pEp-Integration für die Gmail-App. Mittelfristig soll pEp auch die Kommunikation jenseits von Maildiensten verschlüsseln. Konkret geplant ist eine Anwendung für die Chat-Technologie Jabber.

Zudem planen die Entwickler von pEp, das Kompatibilitätsproblem in der E-Mail-Verschlüsselung zu lösen. Es gilt als wichtiger Grund dafür, dass E-Mail-Verschlüsselung sich bislang kaum durchgesetzt hat.

Momentan gibt es zwei verbreitete Verschlüsselungsstandards: PGP und S/MIME. Beide sind miteinander nicht kompatibel. Das heißt: Wird eine E-Mail mit PGP verschlüsselt, kann sie ein Empfänger, der S/MIME nutzt, nicht entschlüsseln und umgekehrt. Momentan ist die pEp-App nur kompatibel mit PGP und openPGP. Das soll sich ab Version 1.1 ändern.

Dann soll es möglich sein, mit der pEp-App verschlüsselte Mails auszutauschen, sowohl mit Nutzern von PGP als auch mit Nutzern von S/MIME. Die Version ist laut Volker Birk für Oktober 2017 geplant.

Manko: kein Passwortschutz

In einem Punkt fällt die pEp-App leider hinter Sicherheitsstandards zurück. Der private Schlüssel zur Entschlüsselung von E-Mails liegt stets in einer Datei auf dem verwendeten Gerät. Sicherer wäre es, nach dem Start des E-Mail-Programms ein Passwort einzugeben, das diese Datei schützt. Das Programm könnte dann nicht einfach so auf den privaten Schüssel zugreifen. So ist es in vergleichbaren Programmen üblich.

Bei der pEp-App müssen Sie bisher allerdings kein Passwort für den privaten Schlüssel eingeben. Das birgt Gefahren. Angenommen, eine unbefugte Person erlangt Zugriff auf Ihr ungesperrtes Smartphone: Dann kann diese Person durch Öffnen der App Ihre verschlüsselten E-Mails lesen.

Das pEp-Team hat sich bewusst gegen den Passwortschutz entschieden. Sie befürchten, dass Nutzer, wenn Sie jedes Mal ein Passwort eingeben müssen, ganz die Lust auf Verschlüsselung verlieren. Diese Abwägung ist nachvollziehbar. Allerdings wäre es gut, wenn Nutzer einen Passwortschutz manuell in der App einstellen könnten. Das ist momentan nicht möglich.

Für die Sicherheit Ihrer Mailkommunikation ist deswegen das allgemeine Sicherheitsniveau Ihres Geräts entscheidend.

Fehlt noch: Import und Export von Schlüsseln

Eine wichtige Funktion steht zur Zeit leider noch aus: das bequeme Importieren und Exportieren von Schlüsselpaaren. Das ist zum Beispiel nötig, wenn Sie auf Ihrem Laptop oder auf einem anderen Smartphone bereits Schlüssel besitzen und diese auch in der pEp-App verwenden wollen.

Laut Volker Birk ist diese Funktion in der nächsten Version der App enthalten, die die Nummer 1.0.200 tragen wird. Diese Version sei bereits fertig entwickelt, zur Zeit prüfe sie noch die Qualitätssicherungsabteilung von pEp. Dann werde sie im Google Play-Store und in F-Droid eingereicht und nach deren Prüfprozessen veröffentlicht.

Wir empfehlen, dass Sie bis zur Version 1.0.200 warten und pEp erst dann auf Ihrem Gerät installieren. Die Versionsnummer finden Sie unter „Aktuelle Version“, wenn Sie im Play-Store-Eintrag oder im F-Droid-Eintrag der App nach unten scrollen.

Mehr zum Thema bei mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!