Ratgeber

Ende-zu-Ende-Verschlüsselung einfach erklärt

Ein Artikel von , veröffentlicht am 17.08.2020, bearbeitet am03.03.2022
Das asymmetrische Verschlüsselungsverfahren. Grafik: Beate Autering für mobilsicher

Sie gilt als die Königsdisziplin der sicheren Kommunikation im Netz. Doch wie funktioniert Ende-zu-Ende-Verschlüsselung eigentlich? Und warum ist sie bei vielen Messengern längst Standard – bei E-Mails aber nicht? Ein Überblick.

Unsere Briefe aus Papier sind auf dem Postweg durch einen Umschlag, vielleicht sogar durch ein Siegel geschützt. Die Kommunikation im Internet begann ohne einen solchen Schutz. E-Mails und Webseiten-Inhalte wurden im Klartext versendet. Wer die Daten abfing, konnte einfach mitlesen.

Heute sind Daten, die übers Internet verschickt werden, in der Regel verschlüsselt. Bei der so genannten Transportverschlüsselung kommt die Technik TLS (Transport Layer Security) zum Einsatz. Wer eine so verschlüsselte Nachricht unterwegs abfängt, bekommt nur unleserlichen Zeichensalat zu sehen. Auf den Servern, die den Inhalt senden und empfangen, ist die Nachricht allerdings lesbar. Dienstanbieter*innen können sie einsehen und Inhalte unter Umständen auch an Behörden weitergeben.

Sind Inhalte dagegen Ende-zu-Ende-verschlüsselt, sind sie nur auf den Endgeräten lesbar, die miteinander kommunizieren. Auch Dienstanbieter*innen oder Hacker*innen, die Daten vom Server stehlen, können sie nicht entziffern. Sie sind somit abhörsicher.

Genauer erklären wir Transportverschlüsselung hier: Verschlüsselung mit TLS/SSL: Fragen und Antworten.

Wie funktioniert Ende-zu-Ende-Verschlüsselung?

Ende-zu-Ende-Verschlüsselung heißt auf Englisch „end-to-end encryption“ und wird auch im Deutschen häufig mit „E2EE“ abgekürzt. Viele E2E-Verschlüsselungstechniken, wie die häufig verwendeten Techniken PGP, S/MIME oder das Protokoll des Messengers Signal, das inzwischen von WhatsApp, Facebook und Skype übernommen wurde, nutzen ein asymmetrisches Verschlüsselungsverfahren.

Dabei kommt ein Schlüsselpaar zum Einsatz, das aus einem öffentlichen und einem privaten Schlüssel besteht.

Das Verfahren ist in der obigen Grafik dargestellt.

Es funktioniert so: Anna schickt Bob eine Nachricht, zum Beispiel mit Hilfe einer Messenger-App, die Nachrichten Ende-zu-Ende-verschlüsselt. Annas App verschlüsselt die Nachricht, die sie Bob schickt, mit seinem öffentlichen Schlüssel. Diesen Schlüssel hat Bobs App erzeugt. Anna lädt ihn vor dem Absenden von einem öffentlich erreichbaren Schlüsselserver herunter (alternativ: Bobs App schickt zuerst eine unverschlüsselte Nachricht, die seinen öffentlichen Schlüssel enthält).

Den öffentlichen Schlüssel kann man sich vorstellen wie ein offenes Vorhängeschloss. Dieses Schloss kann Bob jeder Person geben, da es nur zum Verschlüsseln von Nachrichten an ihn taugt. Einzig und allein Bob kann das Schloss wieder öffnen – mit seinem privaten Schlüssel (manchmal ist es auch ein Schlüsselbund). Die entschlüsselte Nachricht liegt immer nur ihm vor.

Dieses sogenannte Public-Key-Verfahren hat den Vorteil, dass die privaten (geheimen) Schlüssel lokal auf dem jeweiligen Gerät gespeichert sind und nicht verschickt werden. So können sie auch nicht beim Transport abgefangen werden.

Verschlüsselte Dienste im Alltag – unsere Tipps

E2EE bei E-Mails

Standardmäßig werden E-Mails bisher nur transportverschlüsselt versendet. Es gibt aber Mail-Clients, die eine E2E-Verschlüsselung für E-Mails recht einfach machen.

Auch auf dem Smartphone gibt es spezielle Mail-Apps, die die Möglichkeit zur E2E-Verschlüsselung mitbringen. Alternativ kann man eine Verschlüsselungs-App herunterladen und sie an die bisher genutzte Mail-App "andocken" (siehe "Tipp" unten).

Meist nutzen diese Programme eines der beiden gebräuchlichsten E2E-Verschlüsselungsverfahren: PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions). Leider sind diese aber noch nicht miteinander kompatibel, was eine standardmäßige E2EE erschwert. Anders als die Nachrichten bei Messengern laufen E-Mails über die Server unterschiedlicher Anbieter, sodass E2EE nicht einfach zentral für alle eingerichtet werden kann.

Tipp: Einfache E2E-Verschlüsselung auf dem Handy ermöglicht die App pEp („pretty easy privacy“). Sie ist ein vollwertiger Mail-Client für Android und iPhones, das E-Mails mit OpenPGP automatisch verschlüsselt. Die Entwickler*innen arbeiten an einer Kompatibilität mit S/MIME. Mit der App OpenKeyChain kann man E-Mails auf Androids in anderen Mail-Clients wie K-9 Mail verschlüsseln. Einfache E-Mail-Verschlüsselung auf dem Computer bietet der Thunderbird-Client, früher mit dem Add-On Enigmail, inzwischen mit integrierter Funktion.

E2EE bei Messengern

Bei Messengern ist E2EE sehr viel einfacher zu entwickeln, da es hier einen zentralen Dienstanbieter gibt, über den die Kommunikation läuft. Standardmäßig E2E-verschlüsselt sind zum Beispiel Signal, Threema, WhatsApp und Apples iMessage. Telegram ist standardmäßig nicht E2E-verschlüsselt.

Das Signal-Protokoll gilt als Goldstandard in der Kryptoszene. Es hat zwei Besonderheiten: Erstens ermöglicht es E2E-verschlüsselte Kommunikation auch, wenn nicht alle beteiligten Personen online sind. Zweitens generiert das Programm ständig neue Schlüssel. Selbst wenn es Angreifer*innen gelingt, einen Schlüssel zu erbeuten, können sie damit nur aktuelle Nachrichten entschlüsseln. Ältere Nachrichten bleiben verschlüsselt.

Tipp: Wir empfehlen Signal und Threema. Zur Übersicht verschlüsselter Messenger geht es hier.

E2EE bei Video-Chats

Ende-zu-Ende-Verschlüsselung bei Video-Chats ist besonders schwierig, da sehr große Datenmengen störungsfrei versendet werden müssen. Apple-Nutzer*innen untereinander können mit FaceTime abhörsicher kommunizieren, Konferenzen bis zu 32 Personen bietet Google Duo – allerdings muss man dazu sein Adressbuch freigeben.

Tipp: Die Videotelefonie-Funktion des voll Ende-zu-Ende-verschlüsselten Messengers Signal unterstützt inzwischen Konferenzen mit bis zu 40 Personen, allerdings laufen Konferenzen nach Erfahrungen der mobilsicher-Redaktion bisher nur in kleinen Gruppen und auf dem Smartphone störungsfrei.

E2EE bei Cloud-Speichern

Populäre Dienste wie Dropbox, Google Drive oder OneDrive sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Auch die iCloud ist nur teilweise Ende-zu-Ende-verschlüsselt.

Tipp: Wir empfehlen die sicheren Cloud-Speicher Tresorit und luckycloud. Mit der App Cryptomator können Sie Inhalte in anderen Clouds selbst E2E-verschlüsseln.

Wie sicher ist Ende-zu-Ende-Verschlüsselung?

Die Ende-zu-Ende-Verschlüsselung schützt den Inhalt Ihrer Nachrichten, Metadaten können jedoch trotzdem gesammelt werden. WhatsApp und der Facebook-Messenger beispielsweise erheben viele Informationen rund um Ihre Kommunikation, etwa wann Sie von wo aus mit wem kommunizieren und wie oft. Schon diese Daten allein können sehr aussagekräftig sein.

Auch besteht die Gefahr, dass sich Lauscher*innen als Nachrichtenempfänger*innen ausgeben. Über Sicherheitslücken können Programme ausgetrickst werden, auch Ihr Smartphone kann theoretisch gehackt und Ihr privater Schlüssel gestohlen werden. Deshalb sollten Sie Ihr Betriebssystem und alle installierten Apps stets auf dem neuesten Stand halten und Updates immer gleich installieren.

Besonders vertrauenswürdig sind Open-Source-Apps wie der Signal-Messenger, an dem eine große Privatsphäre-Community mitarbeitet. Das große öffentliche Interesse sowie die Überprüfbarkeit des Codes verringern die Gefahr von Sicherheitslücken in beträchtlichem Maß.

Wichtig: Die beste Verschlüsselung nützt nichts, wenn das Gerät, das die Nachrichten sendet und empfängt, selbst nicht geschützt ist. Nur mit einer starken Bildschirmsperre sind Inhalte auf dem Smartphone wirklich diebstahlsicher. Ansonsten kann jede*r sie lesen und weiterschicken, der Ihr Gerät in die Hand bekommt.

Weitere Artikel

Ratgeber 

AppChecker: Warum wir Daten lieben – und Verbraucherschutz notwendig ist

Seit mehr als fünf Jahren informiert mobilsicher.de über Privatsphäre, Datenschutz und Sicherheit in der Smartphone-Welt. Was haben wir erreicht? Wie geht es weiter? Und brauchen wir eine Verbraucherplattform für sichere Handynutzung überhaupt noch? Ein Update zum Weltverbrauchertag 2021.

Mehr
Ratgeber 

Tracking in Apps: Das können Sie tun (Android)

Viele Apps enthalten Software-Bausteine von Drittanbietern, zum Beispiel von Tracking- oder Werbefirmen. Von außen sieht man das allerdings nicht. Wir geben Tipps, wie Sie Apps mit unliebsamen Modulen vermeiden können.

Mehr
Ratgeber 

Schadprogramme: Infektionen vorbeugen

Schadprogramme für Smartphones oder Tablets können richtig Ärger machen. Im schlimmsten Fall lässt sich das Gerät nicht mehr nutzen. Mit einigen einfachen Verhaltensregeln und Sicherheitseinstellungen kann man den meisten Infektionen aber aus dem Weg gehen.

Mehr
Ratgeber 

Verstörend: Doctolib-App teilte sensible Informationen mit Facebook und Outbrain

Haben Sie in letzter Zeit bei „Doctolib“ einen Arzttermin gesucht? Dann ist es gut möglich, dass die Firmen Facebook und Outbrain schon davon wissen. Und zwar selbst bei sensiblen Themen wie einer Inkontinenzberatung beim Urologen oder der Mädchensprechstunde beim Frauenarzt.

Mehr