Heutzutage gehört E-Mail zum Alltag vieler Menschen: Wir verhandeln Vertragsentwürfe, bestätigen Bestellungen und tauschen Informationen aus. Wir tun dies mit einem Medium, das den Sicherheitsgrad einer Postkarte besitzt, mit dem Unterschied, dass diese Postkarte von jedem „Briefträger“ in der Transportkette unbemerkt gelesen und verändert werden kann.

Geheime Codes und Chiffren
Mit diesem Problem sahen sich Geheimnisträger schon vor langer Zeit konfrontiert. Vom Feldherren Cäsar ist überliefert, dass er zur militärischen Kommunikation eine Verschlüsselung benutzte, die heute unter dem Namen „Cäsar-Verschiebung“ bekannt ist. Dabei wird jeder Buchstabe des Alphabets um eine vereinbarte Anzahl von Stellen nach rechts verschoben. Aus A wird etwa C, aus B wird D und aus C wird E. „Ly rmjj“, werden Sie rufen, „Na toll‘, das ist ja keine besonders schwer zu erratende Verschlüsselung.“ Ist es auch nicht, aber sie demonstriert neben Geschichtsinteresse vor allem die Hauptschwäche aller Verschlüsselungen, die auf Codebüchern oder allgemein auf „reversiblen Algorithmen“ beruhen: Wer im Besitz des Schlüssels ist, weil er ihn erlauscht oder gestohlen hat, kann alle damit erzeugten Nachrichten lesen. Gleichzeitig steigt die Wahrscheinlichkeit eines Schlüsselverlusts mit der Anzahl der Nutzer, die ihn kennen.

Zwei verschiedene Schlüssel für ein Schloss
Erst in den 70er-Jahren des letzten Jahrhunderts waren Mathematiker in der Lage, eine Alternative zu formulieren, die diese Schwäche nicht mehr aufwies: Eine „asymmetrische Verschlüsselung“ ähnelt einem magischen Schloss, zu dem zwei Schlüssel gehören. Das Besondere daran ist: Wenn man das Schloss mit dem einen Schlüssel verschließt, kann es nur mit dem zweiten geöffnet werden.
Einen der beiden Schlüssel bezeichnet man als „öffentlich“, den anderen als „privat“. Während der private Schlüssel stets beim Besitzer bleibt, darf der öffentliche Schlüssel von jedem frei genutzt werden.
Damit ergeben sich wichtige Anwendungsmöglichkeiten: Stellen wir uns einen Brief kasten vor, der mit einem solchen asymme trischen Schloss versehen ist. Der „öffentliche Schlüssel“ hängt an einer Kette am Kasten, jeder kann ihn benutzen. Wer dem Besitzer des Kastens eine private Nachricht zukommen lassen möchte, legt diese in den Briefkasten und verschließt ihn wieder mit dem öffentlichen Schlüssel. Da dieser anschließend auch nicht mehr zum Aufsperren des Kastens verwendet werden kann, ist sichergestellt, dass nur der Besitzer des privaten Schlüssels die Nachricht entnehmen kann.
Übertragen auf die Kommunikation per EMail bedeutet dies, dass eine Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlossen werden muss, damit nur dieser Empfänger in der Lage ist, sie mit seinem privaten Schlüssel wieder zu öffnen.
Aber auch andersherum funktioniert das Prinzip: Ein Fingerabdruck der Nachricht, der mit dem privaten Schlüssel des Absenders geschützt ist, lässt sich nur mit dem dazugehörenden öffentlichen Schlüssel überprüfen. So wird bestätigt, dass die Nachricht unverändert ist und auch wirklich vom Absender stammt, ähnlich einem Siegel, das man anhand seiner Form als echt erkennt.
Vertrauen ist wichtig
Um per E-Mail vertraulich zu kommunizieren, werden ein privater und ein öffentlicher Schlüssel benötigt, die man zusammen als „Zertifikat“ bezeichnet. Damit der Empfänger einer Nachricht beurteilen kann, ob deren Siegel vertrauenswürdig ist, muss es z. B. von einer Zertifizierungsstelle bestätigt sein, die der Empfänger akzeptiert. Diese bestätigt als vertrauenswürdiger Dritter, dass die angegebenen Daten wie Name oder E-Mail-Adresse oder beides korrekt sind und der Wahrheit entsprechen, im Fall der Namensüberprüfung erfolgt dies persönlich durch Vorlage amtlicher Ausweisdokumente. Das grenzt den Kreis der Anbieter ein: Zwar kann man als Empfänger jedes erhaltene Zertifikat manuell als „vertrauenswürdig“ kennzeichnen, vielen Anwendern fehlt dazu jedoch die Fachkenntnis. Somit gelten in der Praxis nur Zertifikate jener Anbieter als vertrauenswürdig, die auf dem Computer bereits hinterlegt sind, deren Siegel also von Microsoft, Apple & Co. als vertrauenswürdig eingestuft und vorinstalliert wurden. Ohne diese Einstufung zeigt der Computer drakonisch anmutende Warnmeldungen an, die unerfahrene Nutzer abschrecken.

Geschäftsmodell „Vertrauen“
Die Autorität von Zertifikaten und damit auch deren Akzeptanz hängt also davon ab, auf möglichst vielen Computern vorhanden zu sein. Unternehmen, deren Zertifikate eine hohe Akzeptanz aufweisen, lassen sich diese Eigenschaft bezahlen. Das vom Opensource- Sponsor Mark Shuttleworth 1995 gegründete Sicherheitsunternehmen thawte Inc. gehört zu den bekannten Anbietern, seine Zertifikate werden von fast allen Computern akzeptiert. Dennoch bot die Firma jahrelang kostenlose E-Mail-Zertifikate an, bei denen der Name des Inhabers über ein sog. „web of trust“ bestätigt wurde: Dabei beglaubigten Zertifikatsbesitzer, die selbst einen hohen Grad an Glaubwürdigkeit als sog. Notare besaßen, diejenigen, die ein namensgebundenes Zertifikat erhalten möchten.
Seit etwa neun Jahren gehört thawte zur US-Firma VeriSign, deren E-Mail-Zertifikate kostenpflichtig sind. Vor diesem Hintergrund überrascht es nicht, dass das Angebot „web of trust“ von thawte seit Novem - ber 2009 durch das VeriSign-Angebot ersetzt wurde; sicherheitsbewusste E-Mail-Nutzer müssen sich nach einem neuen Anbieter umschauen, da die Zertifikate ihre Gültigkeit verlieren.

Neben VeriSign gibt es noch eine Reihe weiterer Zertifikatsanbieter, die teilweise auch kostenlose Angebote zur Verfügung stellen. Die nachfolgende Tabelle enthält eine Auswahl, die Produkte enthält, die lediglich die E-Mail-Adresse des Nutzers bestätigen oder zusätzlich einen Identitätsnachweis des Nutzers einschließen.

Es zeigt sich, dass geschützte Kommunikation ihren Preis hat, wenn man als Nutzer die eigene Identität bestätigen lassen möchte. Da die Prüfung amtlicher Dokumente einen persönlichen Kontakt voraussetzt, sind diese Anbieter vorwiegend im Inland zu finden. Wem die Überprüfung der E-Mail-Adresse reicht, der kann auch auf kostenlose Anbieter zurückgreifen, die überwiegend im Ausland angesiedelt sind.