Laut den jüngsten Enthüllungen in der NSA-Affäre können sich Verbraucher selbst auf gängige Verfahren zur Verschlüsselung im Internet nicht mehr verlassen. Open-Source-Software zur Verschlüsselung von E-Mails ist nach Einschätzung des Datenschützers Christian Krause allerdings noch immer relativ sicher. Denn sie habe im Gegensatz zu Closed-Source-Produkten einen offenen Programmcode, den jeder einsehen kann. So erklärt Krause, der im Landeszentrum für Datenschutz Schleswig-Holstein arbeitet, das Prinzip. Das bedeutet: Ist der Code manipuliert, kann der Nutzer das zu Hause aufdecken, wenn er genau hinschaut.

Angeblich arbeitet der US-Abhördienst auch mit Softwareherstellern zusammen und bewegt sie, Hintertüren und verdeckte Sicherheitslücken in ihre Produkte einzubauen. Bei diesen Angeboten mit geschlossenem Quellcode hat die Öffentlichkeit keine Chance, manipulierte Software selbst zu erkennen. „Aber auch in Open-Source-Software kann man einen schadhaften Code einbauen“, merkt der Datenschützer an. Das Problem: „Die Software ist so immens komplex, dass es durchaus denkbar ist, dass der Code zunächst gar nicht gefunden wird.“

Die gute Nachricht lautet allerdings: Da das Thema derzeit so viel Aufmerksamkeit bekommt, ist die Wahrscheinlichkeit recht hoch, dass Open-Source-Software sauber bleibt. „Jetzt schnappen sich wohl viele, die sich auskennen, den Quellcode und überprüfen ihn.“ Deshalb sollten Verbraucher zur Verschlüsselung Open-Source-Software kommerzieller Software vorziehen, rät Krause.

Am Donnerstag wurde bekannt, dass der US-Abhördienst offenbar viele gängige Verschlüsselungssysteme knacken kann. Experten warnen, dass in Verschlüsselungssoftware eingebaute Schwachstellen gefährlich sind, weil sie nicht nur von Geheimdiensten, sondern auch von Online-Kriminellen ausgenutzt werden könnten.

Eine Verschlüsselungssoftware mit offenem Quellcode ist zum Beispiel OpenPGP (Open Pretty Good Privacy). Sie ist kostenlos und funktioniert nur, wenn sowohl Absender als auch Empfänger der Mail die Software installiert haben. Die ersten Schritte sind laut Krause etwas aufwendig: Der Nutzer lädt die Software herunter, bindet sie in sein Mailprogramm ein, erstellt seinen persönlichen Schlüssel und gibt einen Teil des Schlüssels an alle weiter, mit denen er Mails austauscht.

Je nach Mailprogramm läuft anschließend alles weitgehend automatisch: Eingehende E-Mails werden nach Eingabe eines Passworts automatisch entschlüsselt. Beim Senden fragt das Programm, ob der Klartext oder eine verschlüsselte Nachricht rausgehen soll.