Google führt client-seitige Verschlüsselung für Gmail ein - aber nicht für dich.

Das Ende-zu-Ende-Verschlüsselungsprojekt von Gmail schien 2017 tot zu sein. Jetzt ist es wieder da, aber nur für Großkunden.

Wie verschlüsselt man E-Mail in Gmail? Man nimmt stattdessen am besten einen automatisch verschlüsselten Service!

Gmail hat einmal versprochen, dass es standardmäßig Ende-zu-Ende-verschlüsselt sein wird. Jetzt hat Google angekündigt, dass es sein Versprechen einhält - allerdings nur für Workspace-Kunden. Für private Gmail-Nutzer ist die Ende-zu-Ende-Verschlüsselung noch immer unerreichbar. Wird die erhöhte Sicherheit in Gmail zukünftig allen Nutzern zur Verfügung stehen oder nur einigen "Auserwählten"?


TL;DR: Google sagt, dass die Ende-zu-Ende-Verschlüsselung für die Sicherheit wichtig ist. Aber normale Nutzer werden eine solche Funktion in ihrem Gmail-Konto nicht sehen. Um Ihre E-Mails jetzt zu schützen, registrieren Sie sich lieber ein vollständig verschlüsseltes Tutanota-Postfach. Tutanota ist eine Gmail-Alternative aus Deutschland, die Ihr gesamtes Postfach und Ihre Kontakte automatisch verschlüsselt - und Ihre Privatsphäre respektiert.

Verschlüsselung in Gmail

Im Jahr 2014 sah es so aus, als wollte Gmail allen Nutzern eine Ende-zu-Ende-Verschlüsselung bieten, doch das Unternehmen hat dieses Versprechen, das kurz nach den Snowden-Enthüllungen über die NSA-Überwachung der eigenen Bevölkerung gemacht wurde, nie eingelöst.

Das damalige Ende-zu-Ende-Verschlüsselungsprojekt von Gmail schien 2017 tot zu sein. Jetzt ist es wieder da, aber dieses Mal nur für Großkunden.

Google hat angekündigt, die client-seitige Verschlüsselung für seinen E-Mail-Dienst Gmail als Beta-Test anzubieten. Allerdings nur für Key-Account-Kunden nach einem Antrag und vorerst nur als Beta-Version.

”Mit Google Workspace Client-side encryption (CSE) wird die Verschlüsselung der Inhalte im Browser des Kunden durchgeführt, bevor Daten übertragen oder im Cloud-basierten Speicher von Drive gespeichert werden."

"Auf diese Weise können die Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und Ihre Daten entschlüsseln. Nachdem Sie CSE eingerichtet haben, können Sie festlegen, welche Nutzer client-seitig verschlüsselte Inhalte erstellen und intern oder extern teilen können”, sagt Google in einer Mitteilung.

Hier erklärt Google, wie Sie die Aktivierung der Verschlüsselung für Ihr Konto beantragen können, wenn Sie Kunde von Google Workspace Enterprise Plus, Education Plus und Education Standard sind.

Die Funktion gibt es derzeit nur im Browser, eine App-Unterstützung ist jedoch geplant, so das Unternehmen.

Bemerkenswert ist, dass Google die Funktion nicht als “Ende-zu-Ende-Verschlüsselung”, sondern als “Client-seitige Verschlüsselung” bezeichnet. Die E-Mails werden nicht in einem Zero-Knowledge-Format verschlüsselt, aber Unternehmen können über ihr System gesendete E-Mails wiederherstellen, selbst wenn sie verschlüsselt waren.

Verschlüsselung wird wichtiger

Dieser neue Schritt von Google folgt dem Trend, dass Verschlüsselung und Privatsphäre imemr wichtiger werden - ein Trend, der ursprünglich durch vollständig verschlüsselte Dienste wie Signal und Tutanota vor mehr als einem Jahrzehnt ausgelöst wurde.

Kürzlich hat auch Apple angekündigt, dass es eine Ende-zu-Ende-Verschlüsselung für iCloud-Backups anbieten wird.

Nach zehn Jahren erfolgreichen Nutzerwachstums von Apps wie Tutanota, Signal und anderen spürt Big Tech nun den Druck. Die Nutzer wollen ihre Daten nicht mehr als Gegenleistung für “kostenlose” Dienste hergeben.

Stattdessen verstehen sie, dass ihre Daten das neue Gold sind und dass sie wie jedes andere wertvolle Gut geschützt werden müssen: mit einer angemessenen Ende-zu-Ende-Verschlüsselung.

Wir von Tutanota begrüßen den Schritt von Google und Apple, da er das Internet, wie wir es kennen, sicherer machen wird. Wichtige Funktionen wie die Verschlüsselung dürfen jedoch nicht auf einige wenige Auserwählte beschränkt bleiben!

Im Gegenteil: Jeder verdient Verschlüsselung!

Unabhängig von der Entscheidung dieser Unternehmen freuen wir uns, dass immer mehr Menschen die Notwendigkeit und Bedeutung der Privatsphäre verstehen. Wir haben bereits 2017 gesagt, dass das Zeitalter der Privatsphäre begonnen hat, und wir haben seitdem Recht behalten.

Die Menschen auf der ganzen Welt sind nicht länger damit einverstanden, den Überwachungskapitalismus von Big Tech zu fördern.

Wird Big Tech jeden schützen?

Die Frage, die sich nach Googles jüngstem Schritt, Geschäftskunden eine angemessene Verschlüsselung anzubieten, stellt, ist:

Wird Google eine Ende-zu-Ende-Verschlüsselung für alle anbieten?

Angesichts des Geschäftsmodells von Google, persönliche Daten zu sammeln und gezielte Werbung an Unternehmen zu verkaufen, ist es höchst unwahrscheinlich, dass sie das tun werden.

Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich.

Auch auf Reddit ist man sich sicher, dass Google keine echte Verschlüsselung für alle anbieten wird.

Aber zum Glück sind die Menschen klug genug, Alternativen zu wählen.

Neue Tools haben den Schutz der privaten Daten sehr einfach gemacht. E-Mail-Dienste wie Tutanota und Chat-Apps wie Signal sind nur einige wenige, die Verschlüsselung nahtlos in ihre Dienste integrieren, so dass die Nutzer nicht darüber nachdenken müssen, wie die Verschlüsselung funktioniert.

Und das Beste daran ist: Mit diesen Apps ist die Verschlüsselung für alle verfügbar, nicht nur für einige wenige Auserwählte.


Geschichte des Ende-zu-Ende-Verschlüsselungsprojekts von Gmail

2017 hat Google das Projekt E2EMail, das gestartet wurde, um eine einfache Ende-zu-Ende-Verschlüsselung in Gmail über eine Browsererweiterung zu ermöglichen, stillschweigend an “die Open-Source-Community” übergeben. Seitdem ist das GitHub-Projekt buchstäblich tot.

Drei Jahre zuvor hatte Google angekündigt, dass es ein Ende-zu-Ende-verschlüsseltes Chrome-Plugin entwickelt, um E-Mails zwischen Gmail-Nutzern automatisch zu verschlüsseln.

Das Versprechen, ein E-Mail-Verschlüsselungstool zu Gmail hinzuzufügen, war ein Marketing-Schachzug

Im Jahr 2017 wurde klar, dass das Versprechen, Millionen von Nutzern eine einfache E-Mail-Verschlüsselung in Gmail zu bieten, nach den Snowden-Enthüllungen im Jahr 2013 nur ein Marketing-Schachzug war. Während das E2EMail-Projekt ein großartiges Werkzeug für Millionen von Menschen gewesen wäre, um die Ende-zu-Ende-Verschlüsselung automatisch anzupassen, wurde es von Google begraben, als sie den Marketingnutzen nicht mehr sahen.

”Die eigentliche Nachricht ist, dass sie dies nicht mehr aktiv als Google-Projekt entwickeln”, sagte der Kryptographie-Experte Matthew Green zu Wired. Es ist definitiv eine kleine Enttäuschung, wenn man bedenkt, wie viel Hype Google um dieses Projekt einst erzeugt hat, zu sehen, dass sie dies nicht als Kernfunktion von Gmail verfolgen”, so Green.

E-Mail-Verschlüsselung einfach zu machen ist schwer

Google hat offiziell erklärt, dass das Unternehmen seine Bemühungen um Verschlüsselung nicht aufgegeben hat. Sie erklärten jedoch, dass die Entwicklung einer einfachen E-Mail-Verschlüsselung viel schwieriger ist, als man zunächst dachte.

Es ist schwierig, verschlüsselte E-Mails mit verschiedenen Clients interoperabel zu machen und den Schlüsselaustausch benutzerfreundlich zu gestalten. Probleme, die jedem PGP-Benutzer bereits bekannt sind und die auch nicht verschwanden, als Google ein PGP-basiertes Plugin zu Chrome hinzufügen wollte.

Dennoch zeigt die Beendigung eines Projekts, das Gmail-Nutzern auf der ganzen Welt Ende-zu-Ende-verschlüsselte E-Mails gebracht hätte, wo Googles wahre Interessen liegen: Es geht nicht darum, die privaten Daten seiner Nutzer zu schützen, sondern sie zum eigenen Vorteil zu nutzen.

Keine automatische E-Mail-Verschlüsselung in Gmail

Google überlässt die Frage, wie eine E-Mail verschlüsselt werden soll, den Nutzern. Das Hinzufügen einer Option zur E-Mail-Verschlüsselung zu Gmail ist jedoch genauso kompliziert wie bei jedem anderen E-Mail-Dienst: Die Nutzer müssen die PGP-Unterstützung in ihren E-Mail-Clients aktivieren, ihre eigenen Schlüssel generieren und verwalten und dafür sorgen, dass diese Schlüssel auf ihren Geräten sicher aufbewahrt werden. Selbst dann ist eine mobile E-Mail-Verschlüsselung im Grunde unmöglich.

Google will die endgültige Entscheidung über den Einsatz von Verschlüsselung dem Nutzer überlassen, doch der Kryptographie-Experte Matthew Green kritisiert dies via Twitter scharf und nennt es eine “eigennützige Entscheidung”:

Google im Jahr 2007: HTTPS? Das sollte die Entscheidung des Nutzers sein.

Google im Jahr 2017: Ende-zu-Ende-Verschlüsselung? Das sollte wirklich die Entscheidung des Nutzers sein.

Je mehr Menschen E-Mail-Verschlüsselung nutzen, desto besser

Wir von Tutanota glauben an unser Recht auf Privatsphäre und kämpfen selbst mit automatischer E-Mail-Verschlüsselung für dieses Recht. Wenn Gmail eine automatische Ende-zu-Ende-Verschlüsselung für alle eingeführt hätte, hätte dies einen großen Unterschied zum heutigen Sicherheitsniveau im Internet gemacht. Eine solche Funktion hätte das Internet für Millionen von Nutzern so viel sicherer gemacht und die illegale Massenüberwachung im Internet unmöglich gemacht.

Leider hat Googles Entscheidung, E2EMail im Jahr 2017 aufzugeben, gezeigt, dass wir großen Unternehmen unsere privaten Daten nicht anvertrauen sollten.

Da Google sein Versprechen gegenüber den Nutzern schon einmal gebrochen hat, ist die Wahrscheinlichkeit, dass der neue Schritt, Ende-zu-Ende-Verschlüsselung in Gmail einzuführen, auf zahlende Geschäftskunden beschränkt bleibt, ziemlich hoch.

Vielleicht war es von Anfang an illusorisch zu glauben, dass ein Unternehmen, das sich so sehr auf das Analysieren von Nutzerdaten und das Scahlten gezielter Werbung konzentriert, plötzlich damit beginnen würde, das Recht seiner Nutzer auf Datenschutz durch eine integrierte Ende-zu-Ende-Verschlüsselung in Gmail zu schützen.

Wenn wir unsere Privatsphäre wirklich schützen wollen, müssen wir die Dinge selbst in die Hand nehmen. Und das ist genau das, was wir bei Tutanota in den letzten Jahren getan haben: Wir haben eine einfach zu bedienende, verschlüsselte Ende-zu-Ende-E-Mail entwickelt, die für jeden kostenlos ist. In Tutanota ist dein gesamtes Postfach verschlüsselt, so dass niemand - nicht einmal unsere Entwickler - deine privaten E-Mails lesen kann.


Wenn du deine Privatsphäre vollständig zurückgewinnen möchtest, empfehlen wir den Beitrag: Wie du Google verlassen kannst. Außerdem zeigen wir auf, was Tutanota zu einer echten Gmail-Alternative macht.