Ratgeber

Ende-zu-Ende-Verschlüsselung einfach erklärt

Ein Artikel von , veröffentlicht am 17.08.2020, bearbeitet am08.10.2021
Das asymmetrische Verschlüsselungsverfahren. Grafik: Beate Autering für mobilsicher

Sie gilt als die Königsdisziplin der sicheren Kommunikation im Netz. Doch wie funktioniert Ende-zu-Ende-Verschlüsselung eigentlich? Und warum ist sie bei vielen Messengern längst Standard – bei E-Mails aber nicht? Ein Überblick.

Unsere Briefe aus Papier sind auf dem Postweg durch einen Umschlag, vielleicht sogar durch ein Siegel geschützt. Die Kommunikation im Internet begann ohne einen solchen Schutz. E-Mails und Webseiten-Inhalte wurden im Klartext versendet. Wer die Daten abfing, konnte einfach mitlesen.

Heute sind Daten, die übers Internet verschickt werden, in der Regel verschlüsselt. Bei der so genannten Transportverschlüsselung kommt die Technik TLS (Transport Layer Security) zum Einsatz. Wer eine so verschlüsselte Nachricht unterwegs abfängt, bekommt nur unleserlichen Zeichensalat zu sehen. Auf den Servern, die den Inhalt senden und empfangen, ist die Nachricht allerdings lesbar. Dienstanbieter*innen können sie einsehen und Inhalte unter Umständen auch an Behörden weitergeben.

Sind Inhalte dagegen Ende-zu-Ende-verschlüsselt, sind sie nur auf den Endgeräten lesbar, die miteinander kommunizieren. Auch Dienstanbieter*innen oder Hacker*innen, die Daten vom Server stehlen, können sie nicht entziffern. Sie sind somit abhörsicher.

Genauer erklären wir Transportverschlüsselung hier: Verschlüsselung mit TLS/SSL: Fragen und Antworten.

Wie funktioniert Ende-zu-Ende-Verschlüsselung?

Ende-zu-Ende-Verschlüsselung heißt auf Englisch „end-to-end encryption“ und wird auch im Deutschen häufig mit „E2EE“ abgekürzt. Viele E2E-Verschlüsselungstechniken, wie die häufig verwendeten Techniken PGP, S/MIME oder das Protokoll des Messengers Signal, das inzwischen von WhatsApp, Facebook und Skype übernommen wurde, nutzen ein asymmetrisches Verschlüsselungsverfahren.

Dabei kommt ein Schlüsselpaar zum Einsatz, das aus einem öffentlichen und einem privaten Schlüssel besteht.

Das Verfahren ist in der obigen Grafik dargestellt.

Es funktioniert so: Anna schickt Bob eine Nachricht, zum Beispiel mit Hilfe einer Messenger-App, die Nachrichten Ende-zu-Ende-verschlüsselt. Annas App verschlüsselt die Nachricht, die sie Bob schickt, mit seinem öffentlichen Schlüssel. Diesen Schlüssel hat Bobs App erzeugt. Anna lädt ihn vor dem Absenden von einem öffentlich erreichbaren Schlüsselserver herunter (alternativ: Bobs App schickt zuerst eine unverschlüsselte Nachricht, die seinen öffentlichen Schlüssel enthält).

Den öffentlichen Schlüssel kann man sich vorstellen wie ein offenes Vorhängeschloss. Dieses Schloss kann Bob jeder Person geben, da es nur zum Verschlüsseln von Nachrichten an ihn taugt. Einzig und allein Bob kann das Schloss wieder öffnen – mit seinem privaten Schlüssel (manchmal ist es auch ein Schlüsselbund). Die entschlüsselte Nachricht liegt immer nur ihm vor.

Dieses sogenannte Public-Key-Verfahren hat den Vorteil, dass die privaten (geheimen) Schlüssel lokal auf dem jeweiligen Gerät gespeichert sind und nicht verschickt werden. So können sie auch nicht beim Transport abgefangen werden.

Verschlüsselte Dienste im Alltag – unsere Tipps

E2EE bei E-Mails

Standardmäßig werden E-Mails bisher nur transportverschlüsselt versendet. Es gibt aber Mail-Clients, die eine E2E-Verschlüsselung für E-Mails recht einfach machen.

Auch auf dem Smartphone gibt es spezielle Mail-Apps, die die Möglichkeit zur E2E-Verschlüsselung mitbringen. Alternativ kann man eine Verschlüsselungs-App herunterladen und sie an die bisher genutzte Mail-App "andocken" (siehe "Tipp" unten).

Meist nutzen diese Programme eines der beiden gebräuchlichsten E2E-Verschlüsselungsverfahren: PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions). Leider sind diese aber noch nicht miteinander kompatibel, was eine standardmäßige E2EE erschwert. Anders als die Nachrichten bei Messengern laufen E-Mails über die Server unterschiedlicher Anbieter, sodass E2EE nicht einfach zentral für alle eingerichtet werden kann.

Tipp: Einfache E2E-Verschlüsselung auf dem Handy ermöglicht die App pEp („pretty easy privacy“). Sie ist ein vollwertiger Mail-Client für Android und iPhones, das E-Mails mit OpenPGP automatisch verschlüsselt. Die Entwickler*innen arbeiten an einer Kompatibilität mit S/MIME. Mit der App OpenKeyChain kann man E-Mails auf Androids in anderen Mail-Clients wie K-9 Mail verschlüsseln. Einfache E-Mail-Verschlüsselung auf dem Computer bietet der Thunderbird-Client, früher mit dem Add-On Enigmail, inzwischen mit integrierter Funktion.

E2EE bei Messengern

Bei Messengern ist E2EE sehr viel einfacher zu entwickeln, da es hier einen zentralen Dienstanbieter gibt, über den die Kommunikation läuft. Standardmäßig E2E-verschlüsselt sind zum Beispiel Signal, Threema, WhatsApp und Apples iMessage. Telegram ist standardmäßig nicht E2E-verschlüsselt.

Das Signal-Protokoll gilt als Goldstandard in der Kryptoszene. Es hat zwei Besonderheiten: Erstens ermöglicht es E2E-verschlüsselte Kommunikation auch, wenn nicht alle beteiligten Personen online sind. Zweitens generiert das Programm ständig neue Schlüssel. Selbst wenn es Angreifer*innen gelingt, einen Schlüssel zu erbeuten, können sie damit nur aktuelle Nachrichten entschlüsseln. Ältere Nachrichten bleiben verschlüsselt.

Tipp: Wir empfehlen Signal und Threema. Zur Übersicht verschlüsselter Messenger geht es hier.

E2EE bei Video-Chats

Ende-zu-Ende-Verschlüsselung bei Video-Chats ist besonders schwierig, da sehr große Datenmengen störungsfrei versendet werden müssen. Apple-Nutzer*innen untereinander können mit FaceTime abhörsicher kommunizieren, Konferenzen bis zu zwölf Personen bietet Google Duo – allerdings muss man dazu sein Adressbuch freigeben.

Tipp: Die Videotelefonie-Funktion des voll Ende-zu-Ende-verschlüsselten Messengers Signal unterstützt Konferenzen mit bis zu acht Personen, allerdings bisher nur auf dem Smartphone und nicht am Desktop.

E2EE bei Cloud-Speichern

Populäre Dienste wie Dropbox, Google Drive oder OneDrive sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Auch die iCloud ist nur teilweise Ende-zu-Ende-verschlüsselt.

Tipp: Wir empfehlen die sicheren Cloud-Speicher Tresorit und luckycloud. Mit der App Cryptomator können Sie Inhalte in anderen Clouds selbst E2E-verschlüsseln.

Wie sicher ist Ende-zu-Ende-Verschlüsselung?

Die Ende-zu-Ende-Verschlüsselung schützt den Inhalt Ihrer Nachrichten, Metadaten können jedoch trotzdem gesammelt werden. WhatsApp und der Facebook-Messenger beispielsweise erheben viele Informationen rund um Ihre Kommunikation, etwa wann Sie von wo aus mit wem kommunizieren und wie oft. Allein diese Daten können sehr aussagekräftig sein.

Auch besteht die Gefahr, dass sich Lauscher*innen als Nachrichtenempfänger*innen ausgeben. Über Sicherheitslücken können Programme ausgetrickst werden, auch Ihr Smartphone kann theoretisch gehackt und Ihr privater Schlüssel gestohlen werden. Deshalb sollten Sie Ihr Betriebssystem und alle installierten Apps stets auf dem neuesten Stand halten und Updates immer gleich installieren.

Besonders vertrauenswürdig sind Open-Source-Apps wie der Signal-Messenger, an dem eine große Privatsphäre-Community mitarbeitet. Das große öffentliche Interesse sowie die Überprüfbarkeit des Codes verringern die Gefahr von Sicherheitslücken enorm.

Aber: Die beste Verschlüsselung nützt nichts, wenn das Gerät, das die Nachrichten sendet und empfängt, selbst nicht geschützt ist. Nur mit einer starken Bildschirmsperre sind Inhalte auf dem Smartphone wirklich diebstahlsicher. Ansonsten kann jede*r sie lesen und weiterschicken, der Ihr Gerät in die Hand bekommt.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

YouTube-Video 

E-Mails auf dem Handy: E-Mail-Dienste

Wer beim Thema E-Mails wirklich auf Datenschutz setzen möchte, braucht nicht nur einen sicheren E-Mail-Client. Genauso wichtig ist der E-Mail-Dienst, von dem Sie Ihre E-Mail-Adresse bekommen. Welche Dienste wir empfehlen und was diese außer Datenschutz noch so können, erfahren Sie im Video.

Ansehen
YouTube-Video 

WayGuard: Diese Heimweg-App empfehlen wir (Android & iOS)

Heimweg-Apps können Sie begleiten, wenn Sie abends in der Dunkelheit unterwegs sind und sich nicht wohl dabei fühlen. Wann eine solche App wirklich sinnvoll ist und warum wir Ihnen die App WayGuard empfehlen, erfahren Sie im Video.

Ansehen
YouTube-Video 

Einzelne App freigeben – so geht’s (Android)

Ein Android-Handy lässt sich leicht auf nur eine App beschränken. Dann können Sie fremde Personen sorglos telefonieren lassen - oder den Kindern ein Handyspiel freischalten. Im Video zeigen wir, wie es geht.

Ansehen
Browser und Suchmaschinen 

Startpage: Suchmaschine mit starkem Tracking-Schutz

Die niederländische Suchmaschine StartPage nutzt die Trefferliste der Google-Suche und hält ihre Suchenden anonym. Finanziert wird das Angebot durch nicht personalisierte Werbung. Seit 2019 gehört Startpage mehrheitlich der US-amerikanischen Privacy One Group.

Mehr