Ratgeber

Apps kurz vorgestellt: E-Mails verschlüsseln mit pEp

Ein Artikel von , veröffentlicht am 06.06.2018
Bild: Pixabay/haalkab, Lizenz: CC0

Wer sensible Informationen per Mail verschickt, sollte diese verschlüsseln. Auf Mobilgeräten war das bisher umständlich. Die p≡p-App vereinfacht das Ganze nun stark. Die Anwendung basiert auf der datenschutzfreundlichen Mail-App K-9 und verschlüsselt E-Mails weitgehend automatisch.

Das ist pEp

Die Abkürzung pEp bzw. die Eigenschreibweise p≡p (ausgesprochen „PEP“) steht für „Pretty Easy Privacy“ (deutsch etwa "ziemlich einfache Privatsphäre"). Das soll den Anspruch signalisieren, Verschlüsselungstechnologie besonders leicht handhabbar und massentauglich zu machen.

Die Android-App ist einerseits eine vollwertige E-Mail-App. Gleichzeitig sorgt sie mehr oder weniger von selbst dafür, dass versendete E-Mails verschlüsselt werden. Dabei ist eine Ende-zu-Ende-Verschlüsselung gemeint. Das heißt, dass die Mail auf Ihrem Gerät verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt wird.

E-Mails werden standardmäßig auch jetzt schon verschlüsselt - allerdings nur für den Transport, also auf den Wegen zwischen den E-Mail-Providern. Bei den E-Mail-Providern liegen die Mails hingegen entschlüsselt vor. Damit kann jeder die Mails lesen, der sich dort Zugriff verschaffen kann.

Mit einer Ende-zu-Ende-Verschlüsselung, wie sie pEp vornimmt, können Mail-Anbieter, beispielsweise t-online, web.de oder Gmail, die Inhalte nicht mehr lesen.

Mehr Hintergründe zu E-Mail-Verschlüsselung erfahren Sie in unserem Hintergrundtext E-Mails auf dem Mobilgerät verschlüsseln.

Verschlüsselung leicht gemacht

Wer bisher E-Mail-Verschlüsselung auf dem Smartphone nutzen wollte, brauchte dafür stets zwei Anwendungen: Eine E-Mail-App und eine Verschlüsselungs-App. pEp vereint beides in einer Anwendung. Die pEp-App gibt es für das mobile Betriebssystem Android, eine iOS-App soll im Sommer 2018 folgen.

Zudem ist die Handhabe so weit wie möglich vereinfacht. So sendet die App automatisch Ihren öffentlichen Schlüssel im Anhang mit, wenn Sie eine Mail an einen neuen Empfänger schicken.

Sobald die App den öffentlichen Schlüssel des Gegenübers kennt, verschlüsselt sie ausgehende E-Mails automatisch. Verschlüsselte E-Mails macht sie von selbst lesbar. Beides geht auch dann, wenn das Gegenüber nicht pEp nutzt, sondern eine andere Verschlüsselungs-Software, wie etwa PGP (pretty good privacy).

Hat die App für einen Kommunikationspartner keinen öffentlichen Schlüssel, verschickt sie ganz „normal“ unverschlüsselte E-Mails.

Kombination aus pEp und K-9

Die Android-App basiert auf einem schon bestehenden Programm, der Mail-App K-9. Sie ist quelloffen (in der Fachsprache heißt das „Open Source“). Das bedeutet: der Programmcode der App ist öffentlich einsehbar, so dass Dritte ihn überprüfen können.

Zudem dürfen andere den Programmcode für eigene Zwecke nutzen und verändern. Die pEp-Macher haben von dieser Möglichkeit Gebrauch gemacht und die Verschlüsselungstechnologie pEp in K-9 integriert. Das Ergebnis stellen sie als eigene App zur Verfügung, ebenfalls unter einer Open-Source-Lizenz.

Kostenpflichtig im Play-Store, kostenlos in F-Droid

Die pEp-App gibt es für 0,59 Euro (Stand Juni 2018) im Play-Store von Google und kostenlos im alternativen App-Store F-Droid, der nur quelloffene Anwendungen anbietet. „So können sich Nutzer entscheiden, ob sie für die App etwas bezahlen möchten oder nicht“, erklärt Volker Birk, einer der Gründer von pEp.

Allerdings war die App im F-Droid-Store während unserer Recherche nicht auf dem neuesten Stand und verfügte nicht über alle Funktionen der Play-Store-Version. Laut Birk liegt das daran, dass Softwareaktualisierungen bei F-Droid manchmal später ankommen, weil die internen Prüfprozesse des ehrenamtlichen Anbieterteams länger dauern als beim Google Play-Store. Wir empfehlen, dass Sie vor dem Herunterladen auf beiden App-Stores die jeweilige Versionsnummer der pEp-App vergleichen und so die Aktualität prüfen.

Was F-Droid genau ist und welche Ideen dahinter stecken, erfahren Sie im Hintergrundtext „F-Droid: Verbraucherfreundlicher App-Store für Android“.

Wer steht hinter der pEp-App?

Entwicklerin der pEp-Verschlüsselungstechnologie ist eine Schweizer Stiftung, die "pEp Foundation". Konkrete Anwendungsprogramme wie die Android-App dagegen entwickelt ein kommerzielles Unternehmen in Luxemburg, die pep security SA. Die Aktiengesellschaft verdient Geld, indem sie Unternehmen beim Einbau der pEp-Verschlüsselung in firmeninterne Kommunikationssysteme unterstützt. Drittens gibt es noch die pEp-Kooperative mit Sitz in Berlin. Diese sieht sich als Menschenrechtsorganisation und wirbt für pEp-Anwendungen als Werkzeug für mehr Datenschutz und Privatsphäre.

Zu den Gründungsmitgliedern der Kooperative gehören verschiedene Persönlichkeiten des öffentlichen Lebens, unter anderem die Schriftstellerinnen Juli Zeh und Sibylle Berg sowie der Soziologieprofessor Wilhelm Heitmeyer.

Die Idee zu pEp stammt von dem Schweizer Informatiker Volker Birk, der pEp als Werkzeug zur digitalen Selbstverteidigung sieht. Es soll der Totalüberwachung von digitaler Kommunikation entgegenwirken. Mitgründer ist der Luxemburger Leon Schumacher, der zuvor in leitender Position unter anderem für die IT des Stahlkonzerns ArcelorMittal und des Pharmakonzerns Novartis zuständig war.

Große Pläne

Neben der Android-App gibt es bereits eine pEp-Anwendung für Outlook auf dem PC und für das quelloffene Pendant Thunderbird. Eine iOS-App befindet sich in einem Teststadium, sie soll im Juli 2018 fertig sein. Weiterhin arbeitet das Projekt an einer pEp-Integration für die Gmail-App. Mittelfristig soll pEp auch die Kommunikation jenseits von Maildiensten verschlüsseln. Konkret geplant ist eine Anwendung für die Chat-Technologie Jabber.

Zudem planen die Entwickler von pEp, das Kompatibilitätsproblem in der E-Mail-Verschlüsselung zu lösen. Es gilt als wichtiger Grund dafür, dass E-Mail-Verschlüsselung sich bislang kaum durchgesetzt hat.

Momentan gibt es zwei verbreitete Verschlüsselungsstandards: PGP und S/MIME. Beide sind miteinander nicht kompatibel. Das heißt: Wird eine E-Mail mit PGP verschlüsselt, kann sie ein Empfänger, der S/MIME nutzt, nicht entschlüsseln und umgekehrt. Momentan ist die pEp-App nur kompatibel mit PGP und openPGP. Das soll sich ab Version 1.1 ändern.

Dann soll es möglich sein, mit der pEp-App verschlüsselte Mails auszutauschen, sowohl mit Nutzern von PGP als auch mit Nutzern von S/MIME. Die Version ist laut Volker Birk für Oktober 2017 geplant.

Manko: kein Passwortschutz

In einem Punkt fällt die pEp-App leider hinter Sicherheitsstandards zurück. Der private Schlüssel zur Entschlüsselung von E-Mails liegt stets in einer Datei auf dem verwendeten Gerät. Sicherer wäre es, nach dem Start des E-Mail-Programms ein Passwort einzugeben, das diese Datei schützt. Das Programm könnte dann nicht einfach so auf den privaten Schüssel zugreifen. So ist es in vergleichbaren Programmen üblich.

Bei der pEp-App müssen Sie bisher allerdings kein Passwort für den privaten Schlüssel eingeben. Das birgt Gefahren. Angenommen, eine unbefugte Person erlangt Zugriff auf Ihr ungesperrtes Smartphone: Dann kann diese Person durch Öffnen der App Ihre verschlüsselten E-Mails lesen.

Das pEp-Team hat sich bewusst gegen den Passwortschutz entschieden. Sie befürchten, dass Nutzer, wenn Sie jedes Mal ein Passwort eingeben müssen, ganz die Lust auf Verschlüsselung verlieren. Diese Abwägung ist nachvollziehbar. Allerdings wäre es gut, wenn Nutzer einen Passwortschutz manuell in der App einstellen könnten. Das ist momentan nicht möglich.

Für die Sicherheit Ihrer Mailkommunikation ist deswegen das allgemeine Sicherheitsniveau Ihres Geräts entscheidend.

Die wichtigsten Punkte haben wir in der Checkliste "Basissicherung Android" für Sie zusammen getragen.

Noch nicht möglich: Import und Export von Schlüsseln

Eine wichtige Funktion steht zur Zeit leider noch aus: das bequeme Importieren und Exportieren von Schlüsselpaaren. Das ist zum Beispiel nötig, wenn Sie auf Ihrem Laptop oder auf einem anderen Smartphone bereits Schlüssel besitzen und diese auch in der pEp-App verwenden wollen.

Die Funktion war nicht von Anfang an in der pEp-App enthalten. Seit Anfang September und der App-Version 1.0.209 ist ein Importieren bestehender Schlüssel in die pEp-App möglich - zumindest theoretisch laut dieser Anleitung.

In verschiedenen Mobilsicher-Tests ist das Importieren eines Schlüssels in die App jedoch gescheitert, und auch im Play-Store von Google gibt es Beschwerden, dass die Funktion nicht läuft. Sobald eine Lösung für das Problem gefunden ist, vermerken wir das an dieser Stelle.

Mehr zum Thema im Internet

  • Informationen über die verschiedenen p≡p-Anwendungen erhalten Sie auf der Webseite pep.security.
  • Eine detaillierte, englischsprachige Anleitung zur Einrichtung der Android-App finden Sie im Webseiten-Bereich „pEp for Android“.
  • Auf pep.coop erfahren Sie Näheres über die in Berlin ansässige p≡p-Kooperative.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Video: iPhone zurücksetzen trotz Sperr-Code

Warum sind iPhones eigentlich für Diebe so wertvoll? Ganz einfach: Auch mit PIN-Code gesperrte Handys können über die äußeren Tasten gelöscht und neu in Betrieb genommen werden. Wie das geht und wie Sie es verhindern können, erfahren Sie im Video.

Ansehen
Ratgeber 

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Mehr
Start mit Android 

So stellen Sie die Standort-Funktionen auf Android richtig ein

Neben GPS können Mobilgeräte ihre Position auch über WLAN, Bluetooth und Mobilfunk bestimmen. Bei Android lässt sich einstellen, welche Methode genutzt wird. Das kann Datenspuren reduzieren – aber auch die Nutzerfreundlichkeit einschränken.

Mehr
App-Test 

App-Test: Clash of Clans (Android)

„Clash of Clans“ ist eine kostenlose App für Strategie-Fans. In einer Fantasy-Welt muss der Spieler seine Basis kontinuierlich ausbauen und vor Angriffen schützen. Mögliche Spielspaß-Bremsen: Die Übermittlung sensibler Informationen und teure In-App-Käufe.

Mehr