Volksverschlüsselung wird eingestellt
von caschy | 31 Kommentare
Das Fraunhofer Institut hat bekannt gegeben, dass der Volksverschlüsselungsdienst zum 31. Januar 2026 eingestellt wird. Die Plattform, die sich der sicheren E-Mail-Verschlüsselung verschrieben, hatte kam in den letzten Jahren wohl weniger gut an als von vielen gedacht. Nach jahrelangem Betrieb zieht man nun also den Schlussstrich. Offiziell wurde die Entscheidung getroffen, um Ressourcen für neue Sicherheitslösungen freizumachen.
Für aktuelle Nutzer der Volksverschlüsselung ändert sich zunächst wenig. Bestehende Installationen und Zertifikate bleiben weiterhin nutzbar. Allerdings werden ab Ende Januar 2026 keine neuen Nutzer mehr aufgenommen. Auch Updates und Support-Leistungen werden dann eingestellt. Dies betrifft ebenfalls den Verzeichnis- und Sperrdienst der Plattform.
Die Idee war eigentlich nett: Jedermann sollte die Möglichkeit haben, E-Mail-Verschlüsselung easy zu nutzen. Wer noch einmal in der Zeit reisen möchte, findet die Erklärung zum Start des Ganzen auch bei uns im Blog – ich hatte damals schon Bedenken, hätte aber nicht gedacht, dass es 10 Jahre hält…
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Verschlüsselt wird bis heute nicht ausreichend verbreitet, weil die Supernerds stets das Wort ergreifen und ganz oder gar nicht sagen, dann also gar nicht.
99% der Nutzer brauchen eine zu 99% sichere Lösung, auch weil sie sich nicht vor der NSA fürchten, sondern vor banaleren Problemen wie Scam oder simplen Leaks ihrer Daten.
Ich benötige keine Verschlüsselung, weil ich ohnehin keine wesentlichen Daten per Mail verschicke. Jeder weiß, daß Mails genauso sicher oder unsicher sind wie ein Brief oder eine Postkarte. Kreditkartendaten oder Ähnliches werden daher von mir nicht per Mail verschickt.
Doch, du benötigst eine Verschlüsselung und ich bin mir ziemlich sicher, dass die meistend einer E-Mails über verschlüsselte Kanäle laufen: es gibt nämlich einen Unterschied zwischen der Verschlüsselung …
– der E-Mails in deinem Postfach,
– der E-Mail an sich und
– des Transportwegs.
Die Supernerds haben die Power, Entwicklung aufzuhalten? Kommt das aus ein Marvel Comics?
Dachte das kommt davon das „Leute“ mit Veränderungen nicht richtig klar kommen und das sich ja garnichts verändern darf, da sie erst vor 40 Jahren gelernt hatten wie man eine Email verschickt.
Auch mein Eindruck ist, dass beim Verschlüsselungs-Thema gern mal Linux-Nerds hochpoppen und das ganze in ihre sudo-Welt ziehen. Da hat man dann als Otto Normal schon keinen Bock mehr. So werden gerade die abgeschreckt, die das am Nötigsten hätten.
Das ist stumpfe Klischeedenke an der Realität vorbei. Das Problem ist, dass es schlicht keine öffentliche Förderung dafür gibt eine für DAUs einfach zu verwendende Verschlüsselung zu entwickeln, die auch noch Anbieterunabhängig funktioniert. Das ist nämlich ein massiver Aufwand, den man nicht mal eben so im Hobby umsetzt, da es eben auch dann noch propagiert, in alle möglichen Programme implementiert und breit getestet werden muss usw.. Google und Microsoft sehen auch keine Notwendigkeit darin zu investieren, weil die DAUs das Problem nicht wahrnehmen und die Business-Welt schon ihre Lösungen haben. Und so wird es halt nicht entwickelt. Das ausgerechnet den Nerds vorzuwerfen, die jetzt schon massig OpenSource für Lau oder sehr schmale Fördergehälter entwickeln ist einfach nur ein Hohn!
Ich meine doch das ausprobiert zu haben. Aber es ist daran gescheiter das ich die RootCA nicht überall importieren konnte.
Wenn es schon einfach sein soll dann muss es auch wie bei Let’s Encrypt funktionieren.
Wem soll man das noch erklären. He du musst dann auch die RootCA importieren……
Irgendwie typisch für Deutsche Projekte. Alles immer unnötig kompliziert machen.
Bin gespannt wo die EU das mit Wero hinbekommt oder es wieder verkackt.
Wie es einfach funktioniert hat Paypal vorgemacht.
Was hat jetzt die EU mit Wero zu tun?
Die Software gibt es anscheinend nur für Windows. Daher sicherlich nicht offen zur Kommunikation mit allen Systemen.
Das Zertifikat kannst du überall benutzen, wo halt S/MIME funktioniert.
Die Software für die Beantragung hat mit der Nutzung nichts zu tun. Warum es die nur für Windows gab, habe ich nie verstanden. Eigentlich hätte es sogar überhaupt keine spezielle Software gebraucht. Den Beantragungsprozess hätte man auch alleinig im Browser plus AusweisApp ausführen können.
Ich persönlich bevorzuge ja PGP gegenüber S/MIME, dennoch fand ich die Idee damals gut, so etwas anzubieten. Quasi Lets-Encrypt für S/MIME. Wenn ich sowas aber schon „volksverschlüsselung“ nenne und damit offensichtlich auch weniger IT-affine Personen als Zielgruppe definiere, sollte ich solche Hürden wie das importieren einer zusätzlichen Root-CA tunlichst vermeiden, weil das garantiert einige von der Nutzung abhält. Sieht man ja schon daran, wie viele selbst hier in den Kommentaren alles was nicht mundgerecht und wohl temperiert serviert wird, als Zumutung empfinden. Find es jedenfalls auch bemerkenswert, wie lang der Dienst durchgehalten hat.
Im Bekanntenkreis bekommt man das Root CA noch irgendwie ausgerollt. Aber schicke mal eine Bewerbung oder eine EMail an den Energieversorger. Dann poppt dort ein Hinweis wie „ungültigses Zertifikat, unsichere Email“ auf. Wenn die Mail dann überhaupt durch deren Filter geht. Dazu wirkt der Name „Volksverschlüsselung“ noch alles andere als Seriös. Eher wie eine weitere fragwürdige Aktion dieser komischen Zeitung mit 4 Buchstaben.
Volksverschlüsselungsdienst? Nie gehört.
Eine kleine Korrektur, so als quasi betroffener 😉 Es gibt nicht „das“ Fraunhofer Institut, sondern über 70, die in der Fraunhofer Gesellschaft zusammengeschlossen sind. In diesem Fall scheint es sich im das Fraunhofer SIT, das Fraunhofer-Institut für Sichere Informationstechnologie aus Darmstadt.
Oha! Das wusste ich bisher gar nicht. Ich dachte bisher „okay das ist halt Abteilung XYZ von DEM Frauenhofer Institut“. Danke für die Info!
Das man Emails in der breiten Masse verschlüsseln wird, halte ich bis zum heutigen Tag noch für eine Wunschvorstellung. Individuelle Emails (z.b. Rechtsanwalt) können und werden bereits heute verschlüsselt angeboten. Wenn Oma Erna aber Onkel Rudolf eine Email schreibt… in 100 Jahren nicht.
Das erste Problem des Schlüsselpaar. Wie wird es angelegt? Wie für 15, 20, 30 Jahre gespeichert? Wir reden hier von 0815 Usern, nicht von Tech-Nick der in seiner Freizeit Programmierer ist.
Das zweite Problem ist der Schlüsselaustausch. Der muss für eben diesen 0815 User möglich sein. Soll dieser 99% sicher sein, dann kann 0815 das nicht. Kann das auch das einfache Volk, dann ist es fast genauso unsicher wie unverschlüsselt.
Das dritte Problem ist die Akzeptanz. Warum sollte sich der einfache Bürger dieses ganze gezerre antun? Es gibt ja keinen echten Mehrwert. Als wir von SMS (unverschlüsselt) zu WhatsApp (später verschlüsselt) gewechselt haben, war WhatsApp der Mehrwert, nicht die Verschlüsselung.
TLDR: Verschlüsselung wär nice, ist aber unrealistisch in der Masse.
Die Frage ist, für welche Zielgruppe sollte das sein?
Der normale Bürger schreibt seit Jahren eher per Messenger und benutzt Mail für Bestellbestätigungen und im geschäftlichen Umfeld.
Ich kenne auch keinen der sich einen Kopf über Verschlüsselung macht.
Für sowas ist eben der Messenger da und der macht es im Hintergrund.
Mail ist sowas wie der Postkasten vor der Haustür.
Da erscheint das notwendige, aber am besten bleibt er leer. 😉
Da ist was dran. Ich hatte auch 2016 schon keine Verwendung dafür, weil ich quasi nie private E-Mails verschicke. E-Mail als privates Kommunikationsmittel hatte sich nie wirklich etabliert. Damals waren es SMS, dann ICQ, dann WhatsApp, Signal oder was auch immer.
Beruflich nutzen wir tatsächlich S/MIME und ich arbeite mit den unterschiedlichsten Kunden zusammen. Da kommt’s meistens nicht ein mal im Jahr vor, dass man Mal vom Kunden eine signierte und/oder verschlüsselte Mail erhält.
Volksverschlüsselung war eigentlich von Anfang an zum Tode verdammt. Selbst, wenn es einem nur darum ging, die Mails per Zertifikat zu signieren (statt zu verschlüsseln), war das Problem, dass die Certificate Authority den gängigen Betriebssystemen/Mail-Providern nicht bekannt ist, und das daher mit nem Ausrufezeichen/als unseriös gekennzeichnet wurde. Und zu sagen „Hey, meine Mail ist signiert, aber du musst erst mal das Zertifikat des Zertifikatsausstellers installieren“ ist nicht, wie Dinge, wo Otto-Normaluser dran beteiligt ist, funktionieren.
Solange jeder Hansel 500.000 Mails verschicken kann, die angeblich von einer Bank kommen, und die nur der Profi „enttarnen“ kann, brauchen wir über den INHALT von Mails nicht mehr reden. Email ist tot, und tote Emails braucht man auch nicht mehr verschlüsseln.
Man hat es versäumt, generell sichere Kanäle zu schaffen, inklusive der Metadaten.
Das geht allein zahlenmäßig weder Absender-, noch vor allem Empfänger-seitig so einfach. Wenn dein EM-Provider alles in Massen annimmt > Schrott.
Dazu gibt es Sicherheitsmerkmale bei E-Mails wie DKIM u. v. a.
Wenn dein EM-Provider das nicht verarbeitet > Schrott.
Microsoft-Mails landen oft im MS-Outlook.com-Konto im Spam > Schrott.
Google zeigt irgendwelche eingegangen Mails ohne Absender oder gebounced > Schrott.
Man sucht sich einen ordentlichen, in der Regel nicht kostenlosen, E-Mail-Anbieter und hat keine Probleme.
Es wurde wieder viel Geld und Zeit in den Sand gesetzt. Wie so oft, wollen die Deutschen, oder einige, das Rad zum zweiten mal erfinden
Ich wusste gar nicht, dass die Fraunhofer-Gesellschaft, also ein Verein, stellvertretend für „die Deutschen“ steht?
Welches Rad wurde neu erfunden? Fraunhofer SIT hat ein kostenfreies Angebot auf bestehendem, etablierten Standard bereit gestellt, den sich andere gut bezahlen lassen.
Nur mal so am Rande: Heute sollten alle Mailserver Mails TLS-verschlüsselt versenden. Eine zusätzliche Verschlüsselung bringt, zumindest auf dem Transportweg, wenig. Hier ist eher relevant, ob die Mail beim Empfänger nur vom adressierten Empfänger geöffnet werden kann. Dem steht die Anforderung vieler Unternehmen entgegen, Mails auf Malware und ausführbaren Code zu prüfen. Daher werden hier oft Ent- und Verschlüsselungs-Gateways eingesetzt, was dann aber auch die Ende-zu-Ende-Verschlüsselung verhindert.
Also viel zu kompliziert implementiert schätze ich mal.
Joa wie leider alles was E-Mail encryption betrifft.
Dass es auch benutzerfreundlich geht mamilcih ohne dass der was tun muss sieht man an allen heutigen Messengern. Auch wenns erstmal Signal gebraucht hat im WhatsApp dazu zubringen die Verschlüsselung auch einzubauen
Deutschland will im Grunde keine Verschlüsselung (mehr).
Warum ich das sage? Kurze Geschichte: ein Freund war in den 2000ern mal CTO bei einem dt. Unternehmen welches eine komfortable S/MIME-Lösung entwickelte. Schon kurz nach Gründung standen „interessante“ Menschen vor der Tür, mit speziellen Dienstausweisen. Die fanden das alles nicht so toll…
Ende der Geschichte: das Unternehmen gibt es nicht mehr aber die letzte Adresse gibt Aufschluss über die Dienstausweise. Einfach mal nach Ciphire Labs suchen… PDFs zum Vortrag auf dem CCC gibt’s bestimmt auch noch im Web…
Viele haben es schon angemerkt, die Root CA war natürlich nirgendwo getrustet. Das schlimmste ist aber dass der Dienst in Zusammenarbeit mit der Telekom lief die eine eigene trusted Root CA hat. Man hätte wunderbar valide Zertifikate anbieten können, am besten quasi kostenlos mit API für Geschäftskunden und das Ding hätte sich rasant verbreitet. Aber nö, lieber eine eigene Root CA, dafür braucht man keinen extra Dienst
Kennt den wer Alternativen? Hab bisher „actalis.com“ benutzt. Soll wohl aber nicht 100% optimal sein weil die irgendeinen Schlüssel bei sich behalten.
Tja, wenn man sich auf eine Plattform (Windows) festlegt und Anfragen bzgl. macOS mit Textbausteinen abbügelt…
Schade. Das war einer meiner Kandidaten, um PDF-Dateien abzusichern…
(OLG Schleswig -Holstein, 18. Dezember 2024, Az. 12 U 9/24)
https://www.heise.de/news/Urteil-TLS-Verschluesselung-bei-E-Mail-Rechnungen-an-Privatkunden-zu-wenig-10274040.html