Völlig unerwartet hat Facebook heute eine Bekanntmachung veröffentlicht, die für Netzpolitik- und Datenschutz-Interessierte eine kleine Sensation ist: Facebook will die E-Mails an seine Nutzer von nun an für PGP-Verschlüsselung zugänglich machen. Was das soll, was PGP überhaupt kann und ob das nicht alles nur wieder Marketing ist, fasse ich kurz zusammen.

Was ist PGP?

PGP steht für Pretty Good Privacy (ziemlich gute Privatssphäre) und ist das wohl weitverbreitetste Programm zum Verschlüsseln von E-Mails. Es basiert auf Schlüsselpaaren und ermöglicht über Plugins für gängige Desktop-Mail-Programme wie Mozilla Thunderbird oder Apple Mail das Versenden verschlüsselter Nachrichten.

Ich selbst nutze PGP (beziehungsweise dessen Open Source Variante GnuPG) seit Langem und habe auch für meine Kontakt-Adresse hier im Blog einen öffentlichen Schlüssel bereitgestellt. Wer sich etwas tiefer für IT-Themen und Netzpolitik interessiert, sollte sich mal 15 Minuten Zeit nehmen und zumindest für eine seiner E-Mail Adressen PGP-Verschlüsselung einrichten. Kostet nix, macht Spaß und ist ne gute Sache. Eine Anleitungen gibts bei Netzpolitik.org.

Was hat das mit Facebook zu tun?

Was will nun Facebook mit PGP? Laut diesem offiziellen Blog Eintrag bietet Facebook seinen Mitgliedern seit heute an, den öffentlichen PGP-Schlüssel zu Facebook hochzuladen und so die üblichen Status-Mails, Mails zum Zurücksetzen des Passworts oder Hinweise über Konto-Auffälligkeiten verschlüsselt zu empfangen.

Facebook macht also nichts anderes als jeder andere Mail-Gesprächspartner mit dem man via verschlüsselter E-Mail kommuniziert. Diese neue Möglichkeit hat daher rein gar nichts mit dem zu tun, was ansonsten auf Facebook passiert. Weder werdet ihr dadurch weniger getrackt, weniger in Werbeprofilen erfasst oder der Schutz eurer Chronik verbessert. Es handelt sich einzig und allein um eine Ende-zu-Ende-Verschlüsselung mit Facebook. Das ganze gleicht also eher dem Fall, dass ihr eure Bestellbestätigung von Amazon verschlüsselt erhaltet, als das Facebook irgendwas an seinem Datenschutz verbessern würde.

Was habe ich davon?

Der vordergründige Mehrwert ist schnell erklärt. Erstens könnt ihr sicher sein, dass die E-Mails von Facebook nun wirklich von Facebook stammen. Phishing und Spam wird dadurch praktisch ausgeschlossen. Jedenfalls würde beides schnell erkennbar sein, denn derartige Müll-Mails wären nicht verschlüsselt. Das ist zu allererst also wirklich eine sehr gute Sache. Sowieso ist mir alles Recht, was die Bekanntheit von PGP steigert. Selbst wenn ihr euch nur für Facebook ein Schlüsselpaar anschafft und nutzt: Die Hemmschwelle sinkt gewaltig, die Verschlüsselung dann auch direkt für die übrige Kommunikation zu nutzen (Los, schreibt mir verschlüsselt!).

Und noch eine kleine Perle versteckt sich in der Ankündigung von Facebook: Man will nämlich auch das Verteilen des öffentlichen Schlüssel an Freunde ermöglichen. Seit jeher ist das Problem von PGP nicht, dass es nicht gut funktionieren würde. Das Problem ist vielmehr, dass man seinen öffentlichen Schlüssel seinem Gesprächpartner verschaffen muss. Genau das nehmen einem übrigens Threema oder iMessage ab: Beide Dienste setzen auf ein ähnliches Konzept der Ende-zu-Ende-Verschlüsselung, nehmen mir aber die Arbeit ab, meinen öffentlichen Schlüssel an meine Freunde zu verteilen. Wenn nun Facebook hier etwas Hilfe bereitstellt, finde ich auch das mehr als erfreulich.

Doch alles nur Marketing?

Der eigentlich Grund für all das liegt meiner Meinung nach aber ganz woanders: Durch die Verschlüsselung der E-Mails, ganz besonders der Status-Updates, verhindert Facebook nicht nur das böse Angreifer mitlauschen, sondern vor allem, dass euer Mail-Provider mitliest. Egal ob Google, Web.de oder Yahoo, alle lesen eure E-Mails mehr oder weniger mit, um sie nach werbetauglichen Stichworten auszuwerten. Die täglichen oder wöchentlichen Zusammenfassungen der Aktivitäten eurer Facebook-Freunde sind dafür genauso gern gesehen wie eure Bestell-Mails von Zalando oder die Online-Tickets von Eventim.

Sind eure Mails aber PGP-veschlüsselt, können nur Facebook und ihr den Inhalt lesen, alle anderen sind drausen. Genauso wie ich schon den anonymen Login von Facebook vor allem als Geschenk an sich selbst kritisiert habe, dürfte der wahre Gewinn bei Facebook liegen. Facebook erreicht damit nichts weniger als eine gesteigerte Exklusivität seines Datenpools. Im Grunde schmuggelt das soziale Netzwerk damit nur seine kostbare (Daten-) Ware an den gierigen Händen eures Providers vorbei.

Ist deshalb nun alles schlecht? Nein, keineswegs! Die oben genannten Vorteile bleiben. Aber wie so oft, wäre man leichtgläubig, wenn man die vermeintlichen Datenschutz-Verbesserungen der großen Konzerne voreilig auf deren Nächstenliebe schieben würde. Trotzdem: Ich selbst bin zwar nicht bei Facebook. Wäre ich es aber, würde ich garantiert sofort meinen Schlüssel hochladen. Ihr auch?

See you in the comments!