Apps kurz vorgestellt: E-Mails verschlüsseln mit pEp

pep-app Mail verschlüsseln Android
Bild: Pixabay/haalkab, Lizenz: CC0

Wer sensible Informationen per Mail verschickt, sollte diese verschlüsseln. Auf Mobilgeräten war das bisher umständlich. Die p≡p-App vereinfacht das Ganze nun stark. Die Anwendung basiert auf der datenschutzfreundlichen Mail-App K-9 und verschlüsselt E-Mails weitgehend automatisch.

Veröffentlicht am
Autor
Schlagworte
E-Mail · Ende-zu-Ende-Verschlüsselung
Drucken

Das ist pEp

Die Abkürzung pEp bzw. die Eigenschreibweise p≡p (ausgesprochen „PEP“) steht für „Pretty Easy Privacy“ (deutsch etwa „ziemlich einfache Privatsphäre“). Das soll den Anspruch signalisieren, Verschlüsselungstechnologie besonders leicht handhabbar und massentauglich zu machen.

Die Android-App ist einerseits eine vollwertige E-Mail-App. Gleichzeitig sorgt sie mehr oder weniger von selbst dafür, dass versendete E-Mails verschlüsselt werden. Dabei ist eine Ende-zu-Ende-Verschlüsselung gemeint. Das heißt, dass die Mail auf Ihrem Gerät verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt wird.

E-Mails werden standardmäßig auch jetzt schon verschlüsselt – allerdings nur für den Transport, also auf den Wegen zwischen den E-Mail-Providern. Bei den E-Mail-Providern liegen die Mails hingegen entschlüsselt vor. Damit kann jeder die Mails lesen, der sich dort Zugriff verschaffen kann.

Mit einer Ende-zu-Ende-Verschlüsselung, wie sie pEp vornimmt, können Mail-Anbieter, beispielsweise t-online, web.de oder Gmail, die Inhalte nicht mehr lesen.

Verschlüsselung leicht gemacht

Wer bisher E-Mail-Verschlüsselung auf dem Smartphone nutzen wollte, brauchte dafür stets zwei Anwendungen: Eine E-Mail-App und eine Verschlüsselungs-App. pEp vereint beides in einer Anwendung. Die pEp-App gibt es für das mobile Betriebssystem Android, eine iOS-App soll im Sommer 2018 folgen.

Zudem ist die Handhabe so weit wie möglich vereinfacht. So sendet die App automatisch Ihren öffentlichen Schlüssel im Anhang mit, wenn Sie eine Mail an einen neuen Empfänger schicken.

Sobald die App den öffentlichen Schlüssel des Gegenübers kennt, verschlüsselt sie ausgehende E-Mails automatisch. Verschlüsselte E-Mails macht sie von selbst lesbar. Beides geht auch dann, wenn das Gegenüber nicht pEp nutzt, sondern eine andere Verschlüsselungs-Software, wie etwa PGP (pretty good privacy).

Hat die App für einen Kommunikationspartner keinen öffentlichen Schlüssel, verschickt sie ganz „normal“ unverschlüsselte E-Mails.

Kombination aus pEp und K-9

Die Android-App basiert auf einem schon bestehenden Programm, der Mail-App K-9. Sie ist quelloffen (in der Fachsprache heißt das „Open Source“). Das bedeutet: der Programmcode der App ist öffentlich einsehbar, so dass Dritte ihn überprüfen können.

Zudem dürfen andere den Programmcode für eigene Zwecke nutzen und verändern. Die pEp-Macher haben von dieser Möglichkeit Gebrauch gemacht und die Verschlüsselungstechnologie pEp in K-9 integriert. Das Ergebnis stellen sie als eigene App zur Verfügung, ebenfalls unter einer Open-Source-Lizenz.

Kostenpflichtig im Play-Store, kostenlos in F-Droid

Die pEp-App gibt es für 0,59 Euro (Stand Juni 2018) im Play-Store von Google und kostenlos im alternativen App-Store F-Droid, der nur quelloffene Anwendungen anbietet. „So können sich Nutzer entscheiden, ob sie für die App etwas bezahlen möchten oder nicht“, erklärt Volker Birk, einer der Gründer von pEp.

Allerdings war die App im F-Droid-Store während unserer Recherche nicht auf dem neuesten Stand und verfügte nicht über alle Funktionen der Play-Store-Version. Laut Birk liegt das daran, dass Softwareaktualisierungen bei F-Droid manchmal später ankommen, weil die internen Prüfprozesse des ehrenamtlichen Anbieterteams länger dauern als beim Google Play-Store. Wir empfehlen, dass Sie vor dem Herunterladen auf beiden App-Stores die jeweilige Versionsnummer der pEp-App vergleichen und so die Aktualität prüfen.

Wer steht hinter der pEp-App?

Entwicklerin der pEp-Verschlüsselungstechnologie ist eine Schweizer Stiftung, die „pEp Foundation“. Konkrete Anwendungsprogramme wie die Android-App dagegen entwickelt ein kommerzielles Unternehmen in Luxemburg, die pep security SA. Die Aktiengesellschaft verdient Geld, indem sie Unternehmen beim Einbau der pEp-Verschlüsselung in firmeninterne Kommunikationssysteme unterstützt. Drittens gibt es noch die pEp-Kooperative mit Sitz in Berlin. Diese sieht sich als Menschenrechtsorganisation und wirbt für pEp-Anwendungen als Werkzeug für mehr Datenschutz und Privatsphäre.

Zu den Gründungsmitgliedern der Kooperative gehören verschiedene Persönlichkeiten des öffentlichen Lebens, unter anderem die Schriftstellerinnen Juli Zeh und Sibylle Berg sowie der Soziologieprofessor Wilhelm Heitmeyer.

Die Idee zu pEp stammt von dem Schweizer Informatiker Volker Birk, der pEp als Werkzeug zur digitalen Selbstverteidigung sieht. Es soll der Totalüberwachung von digitaler Kommunikation entgegenwirken. Mitgründer ist der Luxemburger Leon Schumacher, der zuvor in leitender Position unter anderem für die IT des Stahlkonzerns ArcelorMittal und des Pharmakonzerns Novartis zuständig war.

Große Pläne

Neben der Android-App gibt es bereits eine pEp-Anwendung für Outlook auf dem PC und für das quelloffene Pendant Thunderbird. Eine iOS-App befindet sich in einem Teststadium, sie soll im Juli 2018 fertig sein. Weiterhin arbeitet das Projekt an einer pEp-Integration für die Gmail-App. Mittelfristig soll pEp auch die Kommunikation jenseits von Maildiensten verschlüsseln. Konkret geplant ist eine Anwendung für die Chat-Technologie Jabber.

Zudem planen die Entwickler von pEp, das Kompatibilitätsproblem in der E-Mail-Verschlüsselung zu lösen. Es gilt als wichtiger Grund dafür, dass E-Mail-Verschlüsselung sich bislang kaum durchgesetzt hat.

Momentan gibt es zwei verbreitete Verschlüsselungsstandards: PGP und S/MIME. Beide sind miteinander nicht kompatibel. Das heißt: Wird eine E-Mail mit PGP verschlüsselt, kann sie ein Empfänger, der S/MIME nutzt, nicht entschlüsseln und umgekehrt. Momentan ist die pEp-App nur kompatibel mit PGP und openPGP. Das soll sich ab Version 1.1 ändern.

Dann soll es möglich sein, mit der pEp-App verschlüsselte Mails auszutauschen, sowohl mit Nutzern von PGP als auch mit Nutzern von S/MIME. Die Version ist laut Volker Birk für Oktober 2017 geplant.

Manko: kein Passwortschutz

In einem Punkt fällt die pEp-App leider hinter Sicherheitsstandards zurück. Der private Schlüssel zur Entschlüsselung von E-Mails liegt stets in einer Datei auf dem verwendeten Gerät. Sicherer wäre es, nach dem Start des E-Mail-Programms ein Passwort einzugeben, das diese Datei schützt. Das Programm könnte dann nicht einfach so auf den privaten Schüssel zugreifen. So ist es in vergleichbaren Programmen üblich.

Bei der pEp-App müssen Sie bisher allerdings kein Passwort für den privaten Schlüssel eingeben. Das birgt Gefahren. Angenommen, eine unbefugte Person erlangt Zugriff auf Ihr ungesperrtes Smartphone: Dann kann diese Person durch Öffnen der App Ihre verschlüsselten E-Mails lesen.

Das pEp-Team hat sich bewusst gegen den Passwortschutz entschieden. Sie befürchten, dass Nutzer, wenn Sie jedes Mal ein Passwort eingeben müssen, ganz die Lust auf Verschlüsselung verlieren. Diese Abwägung ist nachvollziehbar. Allerdings wäre es gut, wenn Nutzer einen Passwortschutz manuell in der App einstellen könnten. Das ist momentan nicht möglich.

Für die Sicherheit Ihrer Mailkommunikation ist deswegen das allgemeine Sicherheitsniveau Ihres Geräts entscheidend.

Noch nicht möglich: Import und Export von Schlüsseln

Eine wichtige Funktion steht zur Zeit leider noch aus: das bequeme Importieren und Exportieren von Schlüsselpaaren. Das ist zum Beispiel nötig, wenn Sie auf Ihrem Laptop oder auf einem anderen Smartphone bereits Schlüssel besitzen und diese auch in der pEp-App verwenden wollen.

Die Funktion war nicht von Anfang an in der pEp-App enthalten. Seit Anfang September und der App-Version 1.0.209 ist ein Importieren bestehender Schlüssel in die pEp-App möglich – zumindest theoretisch laut dieser Anleitung.

In verschiedenen Mobilsicher-Tests ist das Importieren eines Schlüssels in die App jedoch gescheitert, und auch im Play-Store von Google gibt es Beschwerden, dass die Funktion nicht läuft. Sobald eine Lösung für das Problem gefunden ist, vermerken wir das an dieser Stelle.

Mehr zum Thema bei mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!