Tipp: Die Multitasking-Funktionen des iPad von iOS 9 mit VoiceOver bedienen

Ein Schwerpunkt des gerade erschienenen iOS 9 liegt auf der Erhöhung der Produktivität. Gerade die neueren iPads wie iPad Air 2, iPad Pro und das iPad Mini der vierten Generation bieten hier im Vergleich zu früheren Modellen einige spannende neue Funktionen. Eine ist das Multitasking, also das gleichzeitige Nutzen mehrerer Apps. Wie diese auch mit VoiceOver benutzt werden können, soll dieser Artikel zeigen.

Die Grundlagen

iOS konnte Multitasking, also das gleichzeitige Ausführen von mehreren Anwendungen, schon seit Version 4.0. Seitdem gibt es den App-Umschalter, der mit zweimaligem Drücken der Home-Taste erreicht wird. In iOS 7 kamen dann Hintergrundaktualisierungen hinzu, mit denen Apps ihre Inhalte auf batterieschonende Weise auch dann aktuell halten konnten, wenn sie nicht im Vordergrund waren.

Für iPads unter iOS 9 kommen jetzt noch weitere Modi hinzu: Überblendung (Slide Over), geteilter Bildschirm (Split View) und Bild-In-Bild für Videos. Jeder dieser Modi wird in den folgenden Abschnitten erklärt.

Überblendung

Ein Modus, der neben den oben genannten Modellen auch auf dem iPad Air und dem iPad Mini in der 2. und 3. Generation zur Verfügung steht, ist die Überblendung einer zweiten App über die erste. Die erste App wird abgeblendet, und die zweite legt sich am rechten Bildschirmrand darüber. Man benutzt in diesem Modus ausschließlich die zweite App, um mal eben etwas nachzugucken oder zu kopieren, schließt sie dann wieder und kehrt zur vorigen App zurück, ohne den Kontext zu verlieren.

Diese zweite App nimmt nur etwa 25% des Bildschirms ein und zeigt sich in einer schmalen Variante, die durchaus der Ansicht eines iPhone-Bildschirms entsprechen kann. Mail zeigt in diesem Modus z. B. entweder Ordner, Mails oder eine einzelne Nachricht an und hat oben links eine Zurück-Taste wie man diese vom iPhone kennt.

Man leitet die Überblendung mit VoiceOver ein, indem man auf die Statuszeile tippt und mit drei Fingern nach links streicht. Der VoiceOver-Hinweis für die Statuszeile wurde um einen entsprechenden Satz erweitert. Sehende Anwender wischen einfach von rechts auf den Bildschirm. Da dies mit VoiceOver aber so ohne weiteres nicht möglich ist, gibt es eben diese kontrollierte Art über den Drei-Finger-Wisch nach links über die Statuszeile.

Es wird dann die zuletzt genutzte App eingeblendet, die diesen Überblend-Modus unterstützt, also z. B. Mail, Safari, Nachrichten o. ä. Es steht zu erwarten, dass mit den für iOS 9 angepassten Updates von Apps noch mehr diesen Modus unterstützen werden.

Ist die App, die iOS einblendet, nicht die gewünschte App, kann man den sogenannten Seitenumschalter aktivieren. Dies tut man, indem man mit VoiceOver wieder mit drei Fingern nach links streicht. Jetzt wird eine Liste aller Apps angezeigt, die den Überblend-Modus unterstützen. Einfach durchwischen und mit Doppeltippen die gewünschte App aufrufen. Hier gibt es auch eine Möglichkeit, diesen Seiten-Umschalter wieder zu schließen.

Man arbeitet nun in der überblendeten App genauso wie üblich, halt nur beschränkt auf die rechte Seite des Bildschirms. Der Rest des Bildschirms ist eine große Taste zum Schließen dieser überblendeten App. Nach getaner Arbeit doppeltippt man also einfach darauf und kehrt so zur ursprünglichen Anwendung zurück, um dort weiter zu arbeiten.

Geteilter Bildschirm

Dieser Multitasking-Modus steht nur auf neueren iPad-Modellen zur Verfügung. iPad Air und das Mini der 2. und 3. Generation, sowie noch ältere iPads, bleiben außen vor. In diesem Modus werden zwei Apps nebeneinander angezeigt und können auch gleichzeitig bedient werden. Sie werden entweder im Verhältnis 70:30 oder 50:50 dargestellt. Die primäre App ist immer links und nimmt also entweder 70 oder 50 % der Bildschirmbreite ein. Die sekundäre App nimmt entsprechend 30 oder 50 Prozent der rechten Bildschirmseite ein.

Dieser Modus wird genauso eingeleitet wie der Überblend-Modus im vorigen Abschnitt. Man tippt also mit dem Finger auf die Statuszeile und wischt mit drei Fingern nach links. Jede sekundäre App beginnt ihr Leben also als überblendete App. Auf iPads der neueren Generation kommt allerdings ein senkrecht stehendes Element hinzu, das die überblendete App zur sekundären App machen kann, wenn diese das unterstützt. Dieser Bildschirm-Teiler unterstützt diverse VoiceOver-Aktionen, also durch auf- und abwärts wischen auswählbare Aktionen. Man kann mit ihm die App auf 30 % erweitern, die Liste der unterstützten Apps aufrufen oder die überblendete App wieder schließen. Spielen wir das doch mal an einem Beispiel durch:

  1. Öffnet auf eurem iPad die Mail-App. Sie wird im Vollbildmodus angezeigt.
  2. Tippt mit einem Finger auf die Statuszeile und wischt mit drei Fingern nach links. Es wird entweder die zuletzt verwendete App eingeblendet, die die Überblendung unterstützt, oder die Liste der diesen Modus unterstützenden Apps, falls sich iOS nicht von allein entscheiden kann, welche App die sinnvollste sein könnte. In meinem Fall kommt der Safari sofort rechts in den Vordergrund. Tut er das bei euch nicht, tippt noch einmal auf die Statuszeile und wischt mit drei Fingern nach links, um die Liste der Apps auszuwählen und wählt dort Safari durch Doppeltippen aus.
  3. Der Safari wird nun als Überblendung angezeigt, Mail ist nicht mehr aktiv. Links des Safari-Fensters befindet sich ein senkrechtes Element, das über die gesamte Bildschirmhöhe geht. VoiceOver nennt sie die Seiten-App-Trennlinie. Der VoiceOver-Hinweis dafür ist sehr aufschlussreich: Man soll zum Befestigen von Apps doppeltippen. Außerdem sind Aktionen verfügbar, die man über auf- und abwärts wischen und dann doppeltippen auswählen kann.
  4. Doppeltippt diese Seiten-App-Trennlinie, ohne eine gesonderte Aktion auszuwählen. VoiceOver sagt jetzt so etwas wie: „Mail links. Safari rechts.“
  5. Erforscht den Bildschirm mit dem Finger. Ihr werdet beide Apps in der Aufteilung Mail ca. 70% und Safari ca. 30% finden. Ihr könnt mit beiden Apps interagieren. Ruft z. B. in Safari eine andere Seite auf, kopiert deren Adresse und startet links eine neue Mail, in die ihr diese einfügt. Getrennt werden beide wieder durch die Seiten-App-Trennlinie.
  6. Diese Trennlinie bietet jetzt noch mehr Aktionen. Das Doppeltippen löst die Verankerung wieder, d. h., Safari würde in den Überblendungs-Modus zurückkehren. Eine weitere Aktion, die zur Verfügung gestellt wird, ist, den Seiten-App-Umschalter zu öffnen. Den kennen wir schon, dadurch wird eine andere sekundäre App gewählt, die diesen Modus unterstützt. Weiterhin kann Safari auf die halbe Bildschirmgröße skaliert werden. Das macht genau das: Safari und Mail teilen sich den Bildschirm dann 50:50. Mail sieht dann in jedem Fall aus wie im Hochformat, nicht mehr wie ein etwas verkleinertes Querformat. Und man kann Safari maximieren. Dies macht Safari danach automatisch zur Primäranwendung. Das ist besonders dann praktisch, wenn man merkt, dass man diese eigentlich als sekundäre App gestartete Interaktion länger braucht und mehr Platz des Bildschirms möchte. Und man kann Safari natürlich schließen. Dies würde Mail wieder in den Vollbildmodus zurückführen, in dem wir ja gestartet waren.
  7. Wählt nun die Option „Safari auf halbe Bildschirmbreite skalieren“ aus und doppeltippt. Safari und Mail teilen sich nun den Bildschirm zu je einer Hälfte.
  8. Findet die Seiten-App-Trennlinie und schließt Safari.

Diese Ansicht zweier Programme gleichzeitig ist sehr praktisch, wenn man z. B. für einen Blogbeitrag, eine E-Mail oder ein Dokument viel recherchieren muss und nicht ständig den App-Umschalter bemühen möchte, um z. B. aus dem Web verschiedene Dinge zusammenzusuchen. Safari und eine weitere App gleichzeitig angezeigt zu bekommen und einfach dort hineintippen und los arbeiten zu können ist ein unglaublicher Gewinn an Geschwindigkeit! So zugänglich und genial effizient kenne ich das nicht mal von Desktop-Anwendungen auf Mac oder PC, wo Screen Reader doch irgendwie immer auf das aktuelle Anwendungsfenster beschränkt sind und selbst die Trackpad-Steuerung von VoiceOver einem so etwas nicht ohne weiteres ermöglichen könnte.

Übrigens: Wer sich die Hinweise zur Seiten-App-Trennlinie ganz angehört hat, wird festgestellt haben, dass man diese auch mit doppeltippen und halten hin und her ziehen kann, um die sekundäre Anwendung auf 50% zu skalieren oder gar ganz zu maximieren. Wem’s beliebt, kann gern diese Technik nutzen, die für Sehende übrigens die gängige Methode ist, das zu machen. Ich finde aber die Aktionen dafür praktischer, ich finde das Ziehen von Elementen eher fummelig.

Bild-in-Bild

Zu guter letzt noch der Modus Bild-in-Bild, der genau das tut, was man schon seit längerem aus der Unterhaltungselektronik kennt: Man startet ein Video, z. B. in Safari oder der Videos-App, schaltet auf eine andere App um, und das Video läuft als kleines Bild inklusive Audio im Hintergrund in einer Bildschirmecke weiter. Früher war so etwas z. B. ein zweites Fernsehprogramm, das der Videorecorder aufzeichnete, das man in einer Ecke des Fernsehers mitlaufen lassen konnte, während man eigentlich einen anderen Film schaute.

Während der Videowiedergabe hat man nun neben den Tasten für Zurück, Wiedergabe/Pause und Vorwärts eine neue Taste namens „Bild in Bild“. Aktiviert man diese, verkrümelt sich das gerade laufende Video in einen freien Bildschirmbereich und kann dort jederzeit wiedergefunden werden. Man kann das Video anhalten und schließen oder es wieder ins Vollbild holen. Sehende können es weiterhin skalieren und es auch an verschiedene Stellen des Bildschirms verschieben. Und noch eine gute Nachricht: Auch diese Funktion ist für alle iPads ab iPad Air und iPad Mini 2 verfügbar.

Fazit

Ich hoffe, ihr könnt mit dieser Anleitung das iPad ebenso produktiver nutzen wie ich und erfreut euch in Zukunft noch an weiteren neuen Apps, die diese Möglichkeiten unterstützen! Zum Zeitpunkt des Erscheinens dieses Artikels sind bereits Pages, Numbers und Keynote von Apple und ihre Entsprechungen von Microsoft, also Word, Excel und PowerPoint, aufs iPad Air 2 und iOS 9 vorbereitet und im App Store erhältlich.

Viel Spaß!

Werbeanzeigen

Das ist neu in den Bedienungshilfen von iOS 9

iOS 9.0 ist soeben erschienen. Diese Version bringt viele Neuerungen bei der Produktivität, verbessert die Fähigkeiten von Siri bei der Suche nach Ereignissen, Fotos und anderen Daten und macht das iOS-Gerät im allgemeinen zu einem vollwertigeren Assistenten. [Update 22.10.2015: Änderungen von iOS 9.1 hinzugefügt.]

Im folgenden gebe ich einen Überblick über einige Neuerungen bei den Bedienungshilfen und behandle die spezifische Bedienung einiger neuer Funktionen mit VoiceOver.

VoiceOver

VoiceOver hat mal wieder einiges dazugelernt. Ein Schwerpunkt von iOS 9 liegt auf der Erhöhung der Produktivität und dem verbesserten Einsatz von vor allem iPads im professionellen Umfeld. Dies spiegelt sich auch in den Neuerungen bei VoiceOver wider.

Der Rotor heißt jetzt Liste

Apple hat den Rotor in „Liste“ umbenannt, die Funktionalität bleibt aber gleich. Dies spiegelt sich vor allem in den VoiceOver-Einstellungen wider, in denen der Begriff „Rotor“ jetzt nicht mehr auftaucht, auch nicht bei den Sprachausgabe-Stimmen.

Verbesserte Textauswahl

Das Auswählen (markieren) von Text wurde stark verbessert. Bisher konte man Text mit VoiceOver nur markieren, indem man zwei Finger aufs Display legte und diese dann auseinander zog. Dies führte bei vielen Anwendern inklusive dem Autor dieses Artikels dazu, dass diese Option kaum genutzt wurde. Es machte einfach keinen Spaß. Die Auswahl war ungenau oder ging gar ganz verloren, wenn man die Finger nicht genau genug bewegte.

Unter iOS 9 wird das alles ganz anders gehandhabt. Befindet man sich dort, wo man Text markieren kann, gibt es einen neuen Eintrag in der Liste mit Namen „Textauswahl“. Bei Neuinstallationen befindet er sich „rechts“ von „Zeilen“, also von der Option „Zeichen“ aus gerechnet an vierter Listenposition. Bei bestehenden Listenkonfigurationen wandert diese neue Option ganz ans Ende der Liste, die Position kann also variieren. Am besten überprüft man einmal die Einstellungen und zieht sich die neue Option dorthin, wo man sie haben möchte.

Nach der Auswahl von „Textauswahl“ ist die Steuerung im Vergleich zu sonstigen Listenoptionen etwas verändert. Hat man die Hinweise eingeschaltet, sagt VoiceOver einem dies auch sofort an. Um nämlich einzustellen, was genau markiert werden soll, streicht man mit einem Finger nach oben oder unten. Man bewegt hier mit dieser Geste also nicht die Auswahl, sondern stellt ein, ob zeichen-, wort- oder zeilenweise markiert werden soll. Die eigentliche Auswahl erfolgt dann durch Streichen nach rechts, um die Auswahl zu erweitern, und mit streichen nach links, um sie zu verringern. Der Ablauf ist schematisch ungefähr so:

  1. Man geht mit zeichen-, wort- oder zeilenweiser Listennavigation an den Anfang.
  2. Dann schaltet man auf die Textauswahl um und wählt mit Streichen nach oben oder unten aus, in welchen Schritten man auswählen möchte.
  3. Im nächsten Schritt wird dann durch Wischen nach rechts die Textauswahl erweitert. Man kann zunächst z. B. wortweise auswählen, dann wieder auf Textauswahl schalten (VoiceOver setzt sich auf Zeichen zurück) und nun auf zeichenweises Markieren umschalten und weiter nach rechts wischen, um zeichenweise weiterzumarkieren.
  4. Hat man sich vertan, wischt man nach links, um Zeichen, Worte oder Zeilen wieder zu deselektieren.
  5. Hat man alles markiert, geht man mit dem Rotor auf Bearbeiten und kann wie üblich Nachschlagen, Ausschneiden, Kopieren und in einigen Textfeldern auch Formatierungen anwenden wie kursiv, fett, unterstreichen o. ä.

Und jetzt kommt der Clou! Das funktioniert nicht nur in Textfeldern, sondern auch in Safari oder Mail und sogar in iBooks in Textbüchern. Man kann nun also endlich kontrolliert Text markieren und muss nicht mehr auf das umständliche Doppeltippen-Und-Halten und dann unsichere Hin- und Herziehen des Fingers zurückgreifen. Text auf einer Web- oder Buchseite markieren und diesen dann kopieren wird so zu einem sehr erfreulichen Kinderspiel!

Ansagen von Formatierungen

Passend zu den oben erwähnten Verbesserungen bei der Textmarkierung und -formatierung gibt es auch Neuigkeiten bei der Ansage von Formatierungen in bestimmten Anwendungen. Die neue Notizen-App kann ja jetzt angereicherten Text aufnehmen. VoiceOver sagt an, ob man sich in irgendwie vom Standard abweichenden Text befindet, nennt Absatzstile und andere Details. Hat man eine Bluetooth-Tastatur gekoppelt, kann man auch mit VoiceOver+T (Mac-Anwender kennen diese Tastenkombination) die Formatierungen abfragen. Das funktioniert bisher in Mail und Notizen. Es ist aber zu erwarten, dass Apps, die auf iOS 9 angepasst werden, diese Möglichkeiten ebenfalls bekommen. Bei nicht angepassten Apps gibt dieses Kommando einen Fehlerton. Und beim Navigieren werden Formatierungsänderungen nicht automatisch gesprochen.

Es steht also zu hoffen, dass Pages, MS Word und andere zukünftig einen erleichterten Zugang zu Informationen zu Textformatierungen bereitstellen und man sich die Infos nicht mehr mühsam auf Verdacht hin aus den Popups und Symbolleisten zusammensuchen muss. Das wird der Produktivität auf iOS-Geräten ganz mächtig auf die Sprünge helfen!

VoiceOver-Taste abändern

Apropos Hardware-Tastaturen: Für diese kann man jetzt anpassen, ob Ctrl+Auswahltaste oder zusätzlich oder sogar statt dessen die CapsLock-Taste als VoiceOver-Sondertaste verwendet werden sollen.

Die Einstellung hierfür findet sich unter Einstellungen/Allgemein/Bedienungshilfen/VoiceOver/VoiceOver-Sondertaste.

VoiceOver-Taste einrasten

Die VoiceOver-Sondertaste kann, wie unter OS X schon lange möglich, jetzt auch auf Hardware-Tastaturen unter iOS eingerastet werden.

Siri-Stimmen verwenden

VoiceOver und auch die Funktion Bildschirm Sprechen können neben der Standard- und Premium-Variante der Stimme Anna jetzt auch die männliche und weibliche Siri-Stimme in einer Standard- oder erweiterten Variante verwenden. Die Punkte Sprachausgabe in VoiceOver bzw. den allgemeinen Bedienungshilfen wurden dementsprechend erweitert. Dies gilt im übrigen nicht nur für die deutschen, sondern auch für andere Sprachen, in denen Siri-Stimmen zur Verfügung stehen. Die Auswahl an zur Verfügung stehenden Stimmen hat sich also sprunghaft erhöht, und man kann sein VoiceOver-Erlebnis jetzt sehr viel stärker personalisieren.

Begrenzungen für Sprechgeschwindigkeit erweitert

Die obere und untere Grenze der Sprechgeschwindigkeit wurden stark erweitert. Man kann VoiceOver jetzt auch viel schneller oder langsamer sprechen lassen als vorher.

Audio-Route für VoiceOver

Werden verschiedene Audio-Routen erkannt, z. B. weil Musik oder Video gerade via AirPlay auf ein Apple TV gestreamt werden, kann in der Liste jetzt ausgewählt werden, ob VoiceOver lokal auf dem Gerät sprechen oder ebenfalls per AirPlay auf das externe Gerät gegeben werden soll.

Audio-Ducking beim Telefonieren

Wenn VoiceOver während eines Telefonats sprechen muss, wird das Audio des Gesprächs jetzt ebenfalls in der Lautstärke verringert, genau wie bei der Musik- oder Videowiedergabe.

Verzögerung beim Doppeltippen

Man kann in den VoiceOver-Einstellungen ganz unten jetzt eine Verzögerung beim Doppeltippen einstellen. Das ist vor allem für diejenigen interessant, die z. B. auf Grund einer motorischen Einschränkung einen Doppeltipp nicht so schnell ausführen können, wie es standardmäßig erforderlich ist.

Unterstützung für bidirektionale Sprachen

Wird arabisch oder hebräisch verwendet, kehren sich die Wischgesten für das vorherige und nächste Element um. Das nächste Element erreicht man dann also mit einem Wischen nach links, nicht mehr nach rechts, und umgekehrt.

Wird in arabischem oder hebräischem Text lateinische Schrift gefunden, wird diese automatisch mit einer englischen Stimme vorgelesen.

Neuerungen in Braille

  • Man kann jetzt einstellen, wie lange Braille-Hinweise auf der Zeile stehen bleiben, bevor sie wieder verschwinden.
  • Die Braille-Bildschirmeingabe sagt jetzt falsch geschriebene Wörter an.
  • Nutzt man das neue Multitasking auf dem iPad (siehe unten), bewegen 3-5-Chord den Fokus auf die linke, Punkte 2-6-Chord den Fokus auf die rechte Bildschirmhälfte, und Punkte 1-6-Chord schaltet zwischen App-Switcher, Abschalter des App-Switchers und der Vordergrund-App um.
  • Unterstützung für die Zeile Seika Mini 24 hinzugefügt.

Bedienung des iPad-Multitasking

Für diejenigen unter euch, die ein iPad nutzen, habe ich in diesem Artikel beschrieben, wie man die Modi Überlagerung, geteilter Bildschirm und Bild-In-Bild mit VoiceOver bedient.

Bekannte Probleme

  • VoiceOver hatte die unangenehme Eigenschaft bekommen, bestimmte Listen z. B. in Twitterrific ganz nach oben zu scrollen, wenn es per Triple-Click auf die Home-Taste beendet und neu gestartet wurde. Dieses Problem wurde mit dem Erscheinen von iOS 9.1 am 21.10.2015 behoben.
  • Die Tastaturhilfe für externe Tastaturen sprach bei Erscheinen von iOS 9.0 noch nicht korrekt. Dieses Problem wurde in iOS 9.1 korrigiert.
  • Braille hat immer noch die unangenehme Eigenschaft, beim Ausschnittswechsel nach links über Absatzgrenzen hinweg an den Anfang des vorigen Absatzes zu springen, nicht ans Ende.
  • In iOS 9.0 gab es teils schwerwiegende Probleme mit dem Annehmen von Anrufen, wenn Bluetooth-Headsets verwendet wurden. Ich selbst konnte das Problem nie nachvollziehen, das Problem soll aber in iOS 9.1 ebenfalls behoben worden sein.

Zoom

Im Zoom ist die einzige neue Funktion, dass die Einstellung der Zoom-Filter jetzt auch von den Einstellungen aus möglich ist und nicht nur durch den Anfasser des Zoom-Fensters.

Tastatur

In iOS 9 wird per Bluetooth angekoppelten Tastaturen mehr Aufmerksamkeit geschenkt. Man kann für diese in einem neuen Punkt „Tastatur“ unter den Bedienungshilfen jetzt folgendes einstellen:

  • Tastenwiederholung: Schaltet diese ein oder aus. Außerdem kann die Geschwindigkeit angepasst werden.
  • Ein-Finger-Bedienung: Ermöglicht das separate Drücken von Sondertasten, um nicht gleichzeitig mehrere Tasten drücken zu müssen.
  • Anschlagverzögerung: Ermöglicht das Einstellen der Zeit, die verstreichen muss, bis eine Taste als gedrückt erkannt wird.

Weiterhin kann für die Bildschirmtastatur eingestellt werden, ob diese bei Umschalten der Umschalttaste die Darstellung auf Groß- und Kleinschreibung ändern oder die bisherige Darstellung beibehalten soll.

Hilfe zu Tastenkombinationen

Eigentlich ist dies streng genommen gar keine Bedienungshilfe im klassischen Sinn, aber dennoch vielleicht nicht jedem sofort ersichtlich: Bedient man eine App mit externer Tastatur, kann man sich jetzt die unterstützten Tastenkombinationen anzeigen lassen, indem man die CMD-Taste ca. eine Sekunde lang gedrückt hält. Es erscheint dann eine Überlagerung mit den in diesem Fenster zur Verfügung stehenden Tastenbefehlen.

Hinweis für VoiceOver-Nutzer: Diese Überlagerung spricht in dieser Version noch nicht korrekt. Es fehlt die Ansage der eigentlichen Taste für die Funktion, und es werden immer zwei Funktionen gleichzeitig gelesen. Ich habe dies schon während der Beta-Phase an Apple gemeldet und hoffe, dass sie dies in einem baldigen Update korrigieren.

Touch-Anpassungen

Für diejenigen Anwender, die Probleme haben, den Touchscreen zu bedienen, gibt es jetzt mehrere Einstellungen zur Berührung, Haltedauer und Touch-Assistenten einstellen, um die Bedienung zu verbessern.

Schaltersteuerung

Bei der Schaltersteuerung gibt es eine deutliche Weiterentwicklung. Zum einen kann man jetzt schrittweise scannen. Man drückt so lange den Schalter, bis das gewünschte Element im Fokus ist und wartet dann die einzustellende Zeit ab, bis das Element aktiviert wird. Hierfür wird nur ein Schalter benötigt.

Ein neuer Modus „Immer Tippen“ verursacht, dass das Drücken des Schalters immer auf den Bildschirm tippt. Das Scannermenü ist dann als Icon am Ende der Elementfolge verfügbar anstatt als Aktion des Doppeltippens des Schalters.

Man kann dem langen Drücken eines Schalters jetzt eine separate Aktion zuweisen.

Weiterhin gibt es jetzt Abläufe, mit denen man bestimmte Gestenabfolgen einem Schalter zuweisen kann, die sich regelmäßig wiederholen sollen. Ein Beispiel hierfür ist das Umblättern von Seiten in iBooks. Entweder durch einen Timeout oder durch das lange Drücken des Schalters verlässt man diesen Ablauf dann wieder.

Es gibt noch einige weitere Änderungen wie eine für manche Benutzer vereinfachte Tastatureingabe. Schaut einfach mal in die Optionen, wenn ihr Schalter für die Steuerung von iOS verwendet!

Das Menü von AssistiveTouch anpassen

Bei AssistiveTouch kann man das Haupt- und die Untermenüs jetzt ändern und dieses somit besser auf die eigenen Bedürfnisse anpassen. Die Symbole im Hauptmenü können zwischen einem und acht liegen, und die Untermenüs sind frei konfigurierbar. Und wenn etwas schief gegangen ist, gibt es einen Zurücksetzen-Schalter.

Verbesserung der Lesbarkeit im Safari Reader

Der Reader-Modus in Safari, der viele Webseiten für eine bessere Lesbarkeit aufbereitet, hat einige neue Darstellungsoptionen bekommen, um das Lesen noch augenfreundlicher zu gestalten. Verbesserte Schriften und Farbkontraste sind nur einige der Neuerungen hier. Probiert es am besten einfach mal auf einer Webseite wie dieser aus, indem ihr oben neben der Adressleiste erst den Button für den Reader antippt und dann die neu erscheinenden Darstellungsoptionen ausprobiert!

Fazit

iOS 9 ist zuvorderst ein Update zur Stabilität und mit im Vergleich zu iOS 7 (komplett überarbeitete Benutzeroberfläche) und iOS 8 (Erweiterungen aller Art) mit vergleichsweise wenigen neuen Funktionen ausgestattet. Es wurden aber viele Probleme behoben und gerade bei den Bedienungshilfen doch einige echt nützliche Funktionen eingebaut, wie die deutlich verbesserte Textauswahl und eine sehr viel robustere Unterstützung externer Tastaturen.

Im Vergleich zu den letzten beiden großen Updates ist das Update auf iOS 9 in der Tat von Anfang an bedenkenlos möglich und zu empfehlen.

Im Test. Zagg Slim Book fürs iPad Mini

Vor zwei Wochen stieß ich auf diese Rezension von Kay des Zagg Slim Book für das iPad Mini. Seine sehr positive Rezension machte mich neugierig, und Anfang der Woche konnte ich endlich selbst ein Exemplar dieser iPad-Hülle mit Tastatur in Händen halten und begutachten.

Das Slim Book ist eine Kombination aus Tastatur und Schale fürs iPad. Zugeklappt erinnert sie mich sehr an einen dieser alten Asus EEE PCs, wie sie gegen Ende des letzten Jahrzehnts die Ära der Netbooks und Subnotebooks einleiteten. Es ist sehr kompakt und wiegt mit dem iPad Mini 2 mit Wifi und Mobilfunk 712 g.

Die Modi

Das Slim Book kann in vier Modi betrieben werden:

  1. Im Tastatur-Modus ist es mit dem iPad eine klassische Kombination. Das iPad steht im Querformat hinten an der Tastatur.
  2. Im Tablet-Modus wird die Schale, in der das iPad sitzt, einfach von der Tastatur abgenommen. Starke Magneten halten die beiden Teile zusammen, aber für den Tablet-Modus ist die Schale trotzdem schnell  abgenommen.
  3. Im Buchmodus wird die Schale des iPads umgekehrt an die Magnethalterung geklippt und über die Tastatur geklappt. Der Schließmechanismus funktioniert also auch, wenn das iPad mit der Schale auf dem Rücken liegt.
  4. Der Video-Modus schließlich ist der Buchmodus mit hochgeklapptem iPad. Es steht dann aufrecht, die Tastatur befindet sich an der Rückseite, und als Sehender hat man einen freien Blick auf den Bildschirm ohne Ablenkung durch die Tastatur.

In jedem Modus außer dem Tablet-Modus sind beide Teile also mechanisch aneinander gekoppelt, und es fliegt nichts in der Gegend herum. Und hält man das iPad samt Schale in der Hand, um es als Tablet zu benutzen, bleibt die Tastatur einfach auf dem Tisch liegen.

Aufbau und Handhabung

Die Schale ist sehr robust. Damit wurde einer der wesentlichen Kritikpunkte aus meinem großen iPad-Tastatur-Test behoben. Das Folio von Zagg hatte ja einen sehr wabbeligen und nicht passgenauen Rücken und fühlte sich nicht wertig an. Das ist beim Slim Book anders.

Der Schließmechanismus hält iPad und Tastatur sehr gut zusammen, so dass man beim Transport nicht befürchten muss, dass sie sich voneinander lösen.

Die Tastatur selbst hat ein fast vollwertiges deutsches Tastaturlayout. Die Tasten für ä und ü sind etwas schmaler als die sonstigen Buchstabentasten. Die Taste für das <- bzw. >-Zeichen fehlt und wird über FN+Bindestrich-Taste ausgelöst. Genauso fehlt die Taste für das Hütchen- bzw. doppelte Accent-Zeichen. Diese wird mit FN+Zifferntaste 1 simuliert. Alles ist natürlich dem iPad Mini entsprechend etwas schmaler und steht dicht zusammen. Aber die Tasten sind so angeordnet, dass für mich ein flüssiges Schreiben, allerdings mit einer wichtigen Einschränkung (siehe unten), möglich ist. Die Tasten haben einen guten Druckpunkt. Und die Konstruktion erlaubt sogar eine getrennte Leiste von Funktionstasten oberhalb der Zifferntasten. Die Funktionen sind üblich Home, Sperren, Siri, Bildschirmtastatur einblenden, Wiedergabesteuerung, Stumm, Lautstärkeregelung, und auch die Power- und Bluetooth-Tasten sind in die Leiste der Funktionstasten oben rechts integriert.

Nach einer Woche musste ich jedoch feststellen, dass trotz gut erfolgter Eingewöhnung kein wirklich flüssiges Schreiben möglich war. Das Hauptproblem sind Tastendrücke, die nicht angenommen werden. Vornehmlich betrifft dies Wörter mit doppelten Buchstaben, es fehlen aber auch gern mal andere Buchstaben. Dies wurde in einem großen Tastaturtest Im Heft 1/2015 der Zeitschrift Mac & i bei einem Vorgängermodell ebenfalls bemängelt und scheint ein grundsätzliches Problem dieser Tastatur fürs iPad Mini zu sein, gerade für Schnellschreiber. Von keiner anderen Tastatur egal für welches iPad oder MacBook kenne ich dieses Problem.

Der Akku wird wie üblich per Mikro-USB-Kabel aufgeladen und soll lange halten. Schaltet man die Tastatur nicht aus und klappt das iPad zu, wird die Tastatur schlafen geschickt und wacht nach dem Aufklappen auf Tastendruck wieder auf.

Fazit

Ich kann Kay insofern zustimmen, dass dies mit Abstand die beste Tastatur fürs iPad Mini ist, die ich bisher unter den Fingern gehabt habe. In Kombination bietet das Slim Book einen robusten Rundumschutz für Tastatur und iPad. Wer es gern lieber bebildert hat, ist herzlich eingeladen, Kays Post zu lesen. Dort gibt es Fotos. 🙂

Jedoch bedeutet das oben geschilderte Problem für mich, dass die Tastatur für meinen Zweck nicht geeignet ist. Die fehlenden Buchstaben, die ich in der Regel durchs Tastaturecho „Wörter“ bei VoiceOver sofort höre, unterbrechen meinen Schreibfluss und zwingen mich zur sofortigen Korrektur. Alternativ bedeuten sie im Nachhinein einen erheblichen Korrekturaufwand. Insofern ist für mich mit dieser Tastatur trotz allen sonstigen Gefallens kein produktives Arbeiten möglich.

Das Slim Book git es auch für das iPad Air und iPad Air 2.

Erstes Anfühlen der Apple Watch

Endlich ist es soweit! Die von vielen mit Spannung erwartete Apple Watch, die Computeruhr von Apple, kann seit dem 10.04.2015 in den Apple Retail Stores angeschaut und vor allem auch angefasst werden. Und auch meine Herzdame und ich ließen es uns nicht nehmen, uns in den Apple Store im Alstertal Einkaufszentrum (AEZ) in Hamburg zu begeben und einen vorher reservierten Termin zur Anprobe und dem Kennenlernen wahrzunehmen.

Im Vorfeld hatten mich schon zwei Artikel von David Woodbridge und Steven Aquino sehr neugierig gemacht und bestätigt, was schon die letzten Monate durch die Gerüchteküche waberte: Die Apple Watch hat diverse Bedienungshilfen gleich eingebaut wie Zoom, großen Text, Mono Audio und auch VoiceOver. Sie ist meines Wissens nach damit das erste Wearable, das für Blinde von vorn herein zugänglich ist. Die mir bekannte Android-Wear hat entweder keine Lautsprecher oder keine Bedienungshilfen, oder beides. Apple haben hier also mal wieder ganz deutlich die Nase vorn. Sebastian Müller hat sich dankenswerterweise die Mühe gemacht und den Artikel von David auf deutsch zusammengefasst.

Als wir nun gestern in den Apple Store kamen, wurden wir gleich freundlich empfangen und zu unserer Anprobe gebeten. Wir konnten sogar den Termin gleich beginnen, als wir eintrafen, etwa 20 Minuten vor der eigentlichen Zeit.

In diesem Apple Store waren die Apple Watch Sport, also die Uhr mit eloxiertem Aluminiumgehäuse, und die Apple Watch in Edelstahl zu bewundern. Die Edition-Variante aus 18-karatigem Gold ist hier nicht vorhanden, interessiert mich aber auch ehrlich gesagt nicht. Ich mag’s eher dezent. 😉 Auch waren sämtliche Armbänder vorhanden.

Die Uhr ist angenehm abgerundet geformt, eindeutig als Uhr erkennbar und sehr solide verarbeitet. Die beiden unterschiedlichen Größen (38 und 42 mm) sind durchaus gerechtfertigt. An meinem Handgelenk kam sich die 38-mm-Uhr sehr verloren vor, während die 42-mm-Uhr durchaus zu mir passte. Dennoch ist die Uhr nicht wuchtig oder klobig, sondern sehr anschmiegsam und fühlt sich nach einer runden Sache an.

Der Unterschied zwischen der Sport und der Edelstahl-Variante ist sehr deutlich spürbar, sobald man die Uhr am Arm trägt. Ja, obwohl es nur 25 Gramm sind, die den Unterschied ausmachen, ist die Apple Watch deutlich schwerer bei Handbewegungen als die Apple Watch Sport. Auch die verwendeten Armbänder machen hier einen deutlichen Unterschied aus. Die beiden Varianten in Leder und die Sportarmbänder sind deutlich leichter als das Milanaise- oder gar das Gliederarmband. Die Apple Watch mit Gliederarmband fühlte sich richtig schwer an.

Zu den Bedienungselementen: Die digitale Krone ist sehr angenehm leichtgängig zu bedienen, ohne dass man die Uhr vom Handgelenk nehmen muss oder es beim Drehen zu einem unangenehmen Hautkontakt kommt. Ich konnte sie problemlos mit einem Finger in beide Richtungen bewegen. Der darunter liegende Knopf zum Aufruf der Freundesliste ist ebenfalls mit einem angenehmen Druckpunkt ausgestattet und lässt sich bequem bedienen. Der Touch Screen schmeichelt sich geradezu an den Finger, wenn man darauf wischt oder tippt. Und dieses tut er sowohl bei der Edelstahl- als auch bei der Sport-Edition.

Zu den Gehäusen kann ich sagen, dass die Sport Edition am Rand leicht angeraut ist, während die Edelstahl-Edition sehr glatt ist. Die Sport-Edition wirkt dadurch jedoch keinesfalls unedler oder unsauber.

Die Armbänder sind verschieden bedienbar. Das An- und Abdocken von der Uhr selbst dürfte mit ein wenig Fingerübung bald schnell von der Hand gehen. Das Milanaise- und „Lederarmband mit Schlaufe“haben quasi stufenlos verstellbare Längen, indem man einen Teil des Armbands durch eine Schlaufe fädelt und dann per Magnet dort an das Armband klippt, wo man es braucht, so dass die Uhr gut sitzt. Das Sportarmband aus Fluorelastomer hat mehrere Löcher, in die man ein passendes Gegenstück einfach hineindrückt, das klassische Lederarmband hat einen Verschluss wie übliche Armbänder, und das Gliederarmband öffnet und schließt man durch einen Verschluss an der Unterseite. Man passt es der Dicke des Handgelenks an, indem Glieder aus dem Armband entfernt oder wieder hinzugefügt werden. Meine Herzdame erinnert der „Flügeltürmechanismus“ dieses Armbands übrigens an die Flügeltüren des Lamborghini aus den 1980er Jahren. 😉

Zu guter letzt sei noch die taktile Komponente auf der Unterseite der Uhr angesprochen, über die man z. B. durch sanftes Tippen Signale empfangen kann. Dieses ist kreisrund und nimmt fast die gesamte Unterseite der Uhr ein. Sie fühlt sich beim Tragen jedoch überhaupt nicht wie ein Fremdkörper an, sondern passt sehr angenehm zum Tragegefühl.

Die Modelle, die man zur Anprobe verwendet, sind entweder komplett ausgeschaltet oder laufen in einer fest programmierten Demo-Schleife. Sie dienen wirklich nur dazu, das Gefühl fürs Tragen und die Armbänder zu bekommen. Zum Testen der eigentlichen Funktionen waren mehrere Modelle auf einem anderen Ausstellungstisch auf besondere iPads gemountet. Leider befinden sich diese in einem DemoModus, in dem fast alle, aber eben nicht alle Funktionen zur Verfügung stehen. So sind sämtliche Bedienungshilfen in diesem Demo-Uhren nicht aktivierbar. Ich konnte also VoiceOver nicht selbst testen. Und da ich keinen Presseausweis oder ähnliches besitze, konnte ich auch keine privilegierte Vorführung mit einer voll funktionsfähigen Uhr bekommen. Es waren allerdings auch einige andere Funktionen nicht verfügbar, für die die Uhr definitiv ein gekoppeltes iPhone braucht.

Apropos: Um es nochmals deutlich zu sagen: Die Apple Watch benötigt ein iPhone 5 oder neuer als Partnergerät, um überhaupt in Betrieb genommen zu werden. Danach kann sie einige Funktionen selbstständig ausführen, für die allermeisten braucht sie aber das iPhone in der Nähe. So können auch einige Aspekte der Bedienungshilfen lediglich über die Apple-Watch-App auf dem iPhone richtig konfiguriert werden, wie David in seinem Artikel schreibt. Und auf dem iPhone wird mindestens iOS 8.2 vorausgesetzt, aber wer iOS 8 nutzt, sollte gerade als VoiceOver-Anwender eh auf die 8.3 aktualisieren, wegen einer riesigen Menge an Fehlerbehebungen.

Und noch ein Hinweis für Leserinnen und Leser, die selbst iOS-Apps mit Apple-Watch-Erweiterungen entwickeln: Da die Apple Watch ein voll funktionsfähiges VoiceOver enthält, müssen auch die Elemente der Benutzerführung wie unter iOS zugänglich gemacht werden. Rein grafische Elemente brauchen also genauso ein AccessibilityLabel wie die iOS App für ihre grafischen Buttons selbst. Ich habe meinen Artikel zur VoiceOver-Unterstützung für iOS um einen Abschnitt für die Apple Watch erweitert.

Zusammenfassend kann ich sagen, dass ich schon sehr gespannt auf mein persönliches Modell bin! Meine Herzdame und ich haben ein ganz konkretes Anwendungsbeispiel, wofür uns die Apple Watch schon in ihrer Grundausstattung eine große Hilfe sein wird. Immer dann, wenn sie wegen einer Kataplexie nicht in der Lage ist, ein iPhone in die Hand zu nehmen und mich per Textnachricht zu Hilfe zu rufen, kann sie aber im Regelfall wenigstens ein Tap-Muster an mich senden, bei dem ich dann sofort bescheid weiß, was Sache ist. Die Apple Watch wird hier also zu einem Zweck zum Einsatz kommen, den Apple selbst so vielleicht noch gar nicht überlegt hat. Und sie ist eben nicht ein bloßes Gadget, sondern wird ein richtiges Hilfsmittel für uns sein, dass es so bisher noch nicht gab. Ich werde dann weiter berichten!

OpenPGP: Probleme und Unzulänglichkeiten bei der Benutzbarkeit und mögliche Linderung durch Keybase.io

Wer meine Serie zur Verschlüsselung verfolgt hat, hat es sicher an der einen oder anderen Stelle gemerkt: Gerade OpenPGP ist nicht immer die Benutzerfreundlichkeit in Person. Die Front-Ends wie Enigmail und vor allem GPGTools federn viel ab, können aber auch nicht alles ausmerzen, was im Design von OpenPGP hakt.

Dies betrifft vor allem die Schlüsselverwaltung. Ist man nur mit einem Rechner unterwegs, ist das alles noch gut zu verwalten. Sobald aber schon ein handy dazukommt, merkt man, dass das Synchronisieren der Schlüssel, die man hat, nur manuell geht, und das schließt nicht nur öffentliche Schlüssel von anderen, sondern auch Aktualisierungen des eigenen Schlüsselpaares (z.B. mit neuen E-Mail-Adressen) ein.

Ein weiteres Problem ist, dass gerade bei den viel verwendeten Schlüsselservern nicht kontrolliert werden kann, dass der Schlüssel, den man für einen Empfänger dort gerade gefunden hat, tatsächlich von diesem auch dort abgelegt wurde. Es ist durchaus möglich, dass ein Scherzbold im Namen einer anderen Person, deren E-Mail-Adresse er kennt, ein Schlüsselpaar erzeugt und den öffentlichen Schlüssel dann auf den Schlüsselserver hochlädt. OpenPGP fragt nicht ab, ob die E-Mail-Adresse tatsächlich gültig ist. Und der Schlüsselserver auch nicht.

Die Folge ist, dass ich als Absender vielleicht einen solchen gefälschten Schlüssel erwische, meinem E-Mail-Empfänger eine verschlüsselte Mail schicke, dieser sie aber nicht entschlüsseln kann. Warum nicht? Natürlich weil er den passenden geheimen Schlüssel zu diesem von mir verwendeten öffentlichen Schlüssel nicht besitzt. Für mich war aber in diesem Moment gar nicht feststellbar, dass der öffentliche Schlüssel nicht von ihm stammt. Klar hätte ich ihn in diesem Fall zunächst z. B. anrufen oder ihm eine unverschlüsselte Mail schicken sollen, um den Fingerabdruck oder wenigstens die acht- oder sechzehnstellige Schlüssel-ID zu vergleichen. Spätestens dann wäre uns aufgefallen, dass da ein falscher Schlüssel von ihm auf dem Server liegt.

Das alles ist aber verdammt umständlich. Es führt sogar dazu, dass Autoren wie der c’t-Redakteur Jürgen Schmidt im Editorial der c’t 6/2015 fordern, PGP sterben zu lassen. Als Beispiel nennt Herr Schmidt unter anderem Apple’s iMessage, welches einfach transparent ende zu ende verschlüsselt und der Anwender davon gar nichts mitbekommt. Herr Schmidt lässt aber die Frage offen, welche Alternativen er denn sieht. Denn eine Neuentwicklung wäre zwar wünschenswert, aber bis die marktreif ist, vergehen wieder mehrere Jahre, im schlimmsten Fall.

Und was macht man in der Zwischenzeit? S/MIME ist gerade nach dem Lenovo-Skandal mit der Werbe- und Schadsoftware Superfish keine wirklich vertrauenswürdige Alternative, weil dieses auf demselben todkranken Prinzip der Zertifikatsverkettung aufbaut, auf dem auch SSL fußt. Wer sich irgendwie als CA, (Certificate Authority oder zertifikatsautorität) ausweist und es in die Liste der Browser oder des Betriebssystems schafft, wird klaglos akzeptiert, selbst wenn die dahinter stehende Firma nur Böses im Sin hat. S/MIME vertraut also einem System, das eben durchaus mit sehr leichten Mitteln angreifbar ist. Man braucht nur einmal an den falschen Computerhersteller geraten.

Eine Mögliche Lösung für den „Dinosaurier PGP“ könnte ein Dienst wie Keybase.io sein, welcher die Verantwortung des Echtheitsnachweises für öffentliche PGP-Schlüssel dorthin überträgt, wo sie hin gehört, nämlich zum Besitzer des Schlüsselpaares. Keybase.io funktioniert so, dass man seinen öffentlichen Schlüssel dort hinterlegt und dann mittels verschiedener beliebig kombinierbarer Verfahren nachweist, dass man tatsächlich der Inhaber dieses öffentlichen Schlüssels ist. Dies kann ein Tweet auf Twitter, eine kleine Datei im Github-Konto, ein Posting auf Reddit oder auch eine Datei auf dem eigenen Webserver oder ein DNS-Eintrag für die eigene Domain sein. Wer sich mein Keybase.io-Profil anschaut, wird dort vorfinden, dass ich mich per Twitter, Github und Nachweis des Besitzes von mehreren Domains, u. a. auch dieser, als Inhaber meines öffentlichen Schlüssels ausweise. Der Schlüssel ist – oh Wunder – tatsächlich der, den ich auch im Laufe der Serie mehrmals verlinkt und im Impressum hinterlegt habe.

Wer den Fingerabdruck abgleicht oder mich dort sucht, um meinen öffentlichen Schlüssel zu erhalten, kann also relativ sicher sein, dass ich der bin, der ich vorgebe zu sein. Denn einen Account zu hacken ist vielleicht möglich, aber mehrere, und gerade auch Zugriff auf die Namensserver der Domains zu erlangen, und das alles gleichzeitig, ist schon viel unwahrscheinlicher. Eine Fälschung eines Schlüssels ist so also zumindest mal erschwert.

Zur Unterstützung ist zu sagen, dass iPGMail unter iOS die Schlüsselsuche per Keybase.io bereits unterstützt. GPGTools hat bereits ein offenes Ticket, für Enigmail habe ich eines eingereicht, um die Unterstützung zu integrieren.

Wie Nico Brünjes in seinem Beitrag schreibt, übernimmt Keybase.io in gewissen Grenzen die Funktion einer Krypto-party, auf der man sich gegenseitig seine Schlüssel unterschreibt. Hier sind es die vom Besitzer selbst hinterlegten Nachweise, die ihn als höchstwahrscheinlich echt ausweisen.

Keybase.io ist noch in der Beta-Phase und nimmt Neuregistrierungen nur nach einer Warteliste oder per Einladung durch bereits registrierte Mitglieder entgegen. Meine Einladungen sind zur Zeit leider erschöpft, es gab einige interessierte Blogleser, die mein in der ursprünglichen Fassung eingestelltes Angebot angenommen haben.

Schutz der Privatsphäre bei E-Mail-Providern betrachtet

Bisher haben wir uns in der Serie zur Verschlüsselung um die Verschlüsselung des eigentlichen Mailtextes gekümmert. Es gibt aber noch einen weiteren wichtigen Bestandteil von E-mails, nämlich die sogenannten Kopfzeilen inklusive Absender, Empfänger, Betreff und eventuell in Kopie oder Blindkopie gesetzte Empfänger. Auch hier findet die Übertragung inzwischen bei sehr vielen E-Mail-Diensteanbietern verschlüsselt statt, so dass auch diese Daten auf dem Transportweg nicht mehr oder nur noch in einer eventuellen fernen Zukunft entschlüsselt werden können. Diese sogenannten Metadaten, also Daten des wer an wen, wann und warum, sind für Geheimdienste und Kriminelle ebenso interessant auszuspähen wie die eigentlichen Mailinhalte. Durch die Wahl des richtigen Providers kann man aber noch mehr Sicherheit erhalten und auch diese Schnüffeleien mindestens erheblich erschweren.

Voraussetzung 1: E-Mail überhaupt verschlüsselt versenden

Über einen ganz langen Zeitraum bestand der E-mail-Verkehr im Internet aus unverschlüsselter Kommunikation. Auch wenn man den mailtext mit OpenPGP oder S/MIME verschlüsselt hatte, wurden die Kopfzeilen trotzdem weiterhin unverschlüsselt übermittelt, und zwar nicht nur vom Mailprogramm des Absenders zu dessen E-mail-Anbieter, sondern auch von diesem auf dem weiteren Weg durchs Internet bis zum Empfänger. Auch der Abruf der Mails per älterem POP3-Verfahren fand bis weit in die 2000er Jahre standardmäßig unverschlüsselt statt. Erst später kam eine Möglichkeit der verschlüsselten Kommunikation hinzu. Bei der Alternative IMAP, bei der die Mails auf dem server verbleiben und man ein Abbild in sein Mailprogramm lädt, war Verschlüsselung schon eher vorgesehen. IMAP brauchte aber eine ganze Zeit, bis es sich durchsetzte, manche Anbieter bieten es selbst heute nur gegen Bares an.

E-mails auf dem Transportweg verrieten also weit mehr als der Brief im Umschlag, selbst wenn der Mailtext verschlüsselt war. Man konnte nicht nur Absender, Empfänger und „Datum des Poststempels“ sehen, sondern auch den Betreff immer einsehen, und auch ob diese mail noch in Kopie an jemand anderes ging. Man brauchte sich nur an den Rand der Internetleitung postieren und fleißig abschnorcheln.

Erst mit den Enthüllungen des NSA-Whistleblowers Edward Snowden fand auch die Verschlüsselung des Transportweges die Aufmerksamkeit, die sie eigentlich schon immer hätte haben sollen. Die erste Voraussetzung ist, dass Mails vom Mailprogramm des Absenders zum Server des E-Mail-Providers verschlüsselt versendet werden können. Viele Anbieter bieten dies schon länger, aber erst seit den Snowden-Enthüllungen ist den meisten providern in den Sinn gekommen, diese Verschlüsselung zu erzwingen, nicht nur optional anzubieten. Interessanterweise hatte eine der größten Datenkraken des Internets, nämlich Google mit seinem Maildienst Gmail, schon immer nur verschlüsselten Versandt im Angebot.

Seit den Snowden-Enthüllungen ist auch klar, dass E-Mail-Anbieter untereinander beim Weiterreichen der Mails unbedingt Verschlüsselung einsetzen müssen. Microsoft war mit Outlook.com der letzte große Anbieter, der dies endlich auch Mitte 2014 umsetzte.

Voraussetzung 2: SSL/TLS-Verkehr mit Perfect Forward Secrecy absichern

Das Problem herkömmlicher SSL/TLS-Verschlüsselung ist, dass diese nachträglich entschlüsselt werden kann, sollte Geheimdiensten oder Kriminellen der private Schlüssel des Zertifikatinhabers irgendwie in die Hände fallen. So kann abgehörter Verkehr noch Jahre später entschlüsselt werden. Ist der Mailtext selbst nicht verschlüsselt, liegt dem Entschlüsseler also in diesem Moment alles im Klartext vor.

Das Rezept dagegen heißt Perfect Forward Secrecy. Die beiden Gesprächspartner, also z. B. zwei mailprovider untereinander, handeln bei der ersten Kontaktaufnahme nicht nur gegenseitig ihre öffentlichen Schlüssel aus, sondern auch über mehrere Berechnungsstufen eine weitere Verschlüsselungsebene, deren Schlüssel nach erfolgreicher Übertragung weggeworfen werden. Selbst wenn also jemand diesen Verkehr abhört, kann er zum einen den Schlüssel nicht aus der Unterhaltung rekonstruieren, und zum zweiten ist es unmöglich, diese Daten hinterher zu entschlüsseln, weil es die Schlüssel dafür nicht mehr gibt. Sie wurden ja nach Ende der Übertragung verworfen. Für tiefer in die Materie einsteigen wollende Leser hat Heise Security eine gut lesbare Erklärung vorrätig.

Gute E-Mail-Provider sollten also mindestens Perfect Forward Secrecy beherrschen, wofür natürlich SSL/TLS-Verschlüsselung allein schon die Voraussetzung ist. Und zwar bitte schön sowohl beim Kommunizieren mit anderen Servern als auch beim Kommunizieren mit dem E-mail-Client des Kunden und beim Aufruf des Webmail-Interfaces per Browser. Die Stiftung Warentest veröffentlichte am 04.02.2015 einen ausführlichen Test verschiedener Provider auf diese Punkte hin.

Weitere Sicherheit mit DANE/TLSA

Trotz der oben genannten Absicherungen ist es im Design dieser Protokolle immer noch möglich, dass ein unbefugter Dritter sich als der Server ausgibt, den man erreichen will, und dann E-Mails abfängt, die eigentlich gar nicht für ihn bestimmt waren. Dies hat u. a. mit der sogenannten Zertifikatskette zu tun, also der Tatsache, dass Browser und andere Programme bestimmten Zertifizierungsstellen vertrauen und im Standardfall ein als gültig erkanntes Zertifikat ab einem bestimmten Punkt nicht mehr weiter hinterfragen.

Um dies zu verhindern, wurde der offene Standard DANE/TLSA entwickelt. DANE steht für „DNS-based Authentication of Named Entities“. Wikipedia beschreibt diesen Standard hier sehr gut. Die Kurzfassung ist, dass im „Telefonbuch des Internets“, den sogenannten Domain Name Servern (DNS) ein Ausweis hinterlegt ist, der ganz klar bezeichnet, wie das Zertifikat beim Verifizieren einer verschlüsselten Verbindung auszusehen hat. Das Telefonbuch kennt also die richtigen Zertifikate für eine Domain, so dass ein böser Dritter diese nicht mehr so einfach fälschen kann. Das Verfahren ist recht aufwendig zu implementieren, aber immer mehr Anbieter tun dies, um unbefugten Zugriff und Zertifikatsfälschungen einen Riegel vorzuschieben. In Deutschland sind die Vorreiter die kleinen Anbieter Posteo, Mailbox.org und Tutanota. FastMail plant die Einführung.<

Die Mogelpackung E-Mail Made In Germany

Im April 2014 wurde mit großem Brimborium E-Mail Made in Germany angekündigt. Ursprünglich wurde diese von Gmx, Web.de und der Deutschen Telekom ins Leben gerufen, inzwischen haben sich ihr auch Freenet, 1&1 und Strato angeschlossen. Es wird mit einer vollständig sicheren Kommunikation geworben, damit, dass die E-mails Deutschland beim Versandt untereinander nicht verlassen würden und dass man in den Webmailern sofort sehen würde, wenn man mit anderen E-Mail-Made-In-Germany-Teilnehmern kommuniziert. Es wurde weiterhin verlautbart, dass der TÜV Rheinland ab Ende April 2014 weitere Anbieter zertifizieren würde.

An dieser Initiative gibt es mehrere Punkte auszusetzen. Zum einen nutzen die Teilnehmer ein proprietäres, nicht offen gelegtes Verfahren zur gegenseitigen Vertrauensstellung mit Namen Inter-Mail Provider-Trust. Dieses igelt die Teilnehmer in ein Silo ein, an das kein anderer herankommt. Anstatt wie Posteo, Mailbox.org oder Tutanota auf DANE zu setzen, das ebenfalls abgefragt und sofort als sicher gekennzeichnet werden könnte, bauten die Teilnehmer sich eine hübsche Insellösung, die andere vertrauenswürdige Provider ausschließt, es sei denn, diese sind bereit, viel Geld an den TÜV Rheinland zu zahlen, um eine Zertifizierung zu bekommen. Voraussetzung ist natürlich, dass die Anfragen interessierter Provider überhaupt beantwortet werden. Ich teile hier durchaus die Meinung des Geschäftsführers von Mailbox.org, dass das als wettbewerbsverzerrend gewertet werden könnte.

Dies bedingt den zweiten Kritikpunkt: Das Verfahren ist für außenstehende nicht transparent und nicht offen gelegt. Die werkeln also wunderbar im Geheimen, und eine unabhängige Kontrolle ist nicht möglich.

Ach und übrigens: Nicht mal das Bundesamt für Sicherheit in der Informationstechnik (BSI) vertraut E-Mail Made In Germany, sondern setzt für bund.de und dessen Subdomains lieber auf DANE/TLSA. Das spricht für sich, würde ich sagen!

Dies bedeutet nicht, dass T-Online, web.de oder GMX oder irgendeiner der anderen Teilnehmer zwangsläufig schlechte E-Mail-Provider sind. Wie der Test der Stiftung Warentest zeigt, sind bis auf bei Freenet die Bedingungen durchaus als in Ordnung zu bezeichnen. Nur sollte man sich nicht von dem Marketing-Sprech der Initiatoren von E-Mail Made In Germany ins Bockshorn jagen lassen. Selbst mit Gmail-Teilnehmern kommuniziert man heute mit per Forward Secrecy abgesicherten Verbindungen.

De-Mail: Finger weg!

Überrascht es hier irgendjemanden, dass De-Mail, der angeblich so sichere „Briefersatz“ ebenfalls von Telekom, Gmx und Web.de angeboten wird? Ja, das sind genau die gleichen, die E-mail Made In Germany initiiert haben. Was für ein Zufall aber auch! Dabei sind die Verfahren, die Bei De-Mail zum Einsatz kommen, noch wesentlich weniger transparent als bei EMIG. Vor allem soll es hier sogar Standard sein, die Mails auf dem Weg zu entschlüsseln, um sie einer Prüfung auf Schadsoftware hin zu unterziehen. Oho, das wäre genauso als würde jeder Brief schon im Postamt geöffnet, um sicherzustellen, dass kein Vanillezucker drin ist. Und neben dran steht der freundliche BND-Agent und macht sich Notizen. Denn im Gegensatz zu S/MIME oder OpenPGP unterliegen die bei De-Mail eingesetzten Verschlüsselungsverfahren vollständig der Kontrolle der Anbietergemeinschaft, und da ist nichts quelloffen. Mein Rat: Finger weg von De-Mail, wenn es sich irgendwie vermeiden lässt!

Ein persönlicher Tipp

Wer einen der in Deutschland und somit den wirklich guten strengen deutschen Datenschutzrichtlinien unterworfenen Provider sucht, ist mit Posteo oder Mailbox.org sehr gut bedient. Beide Dienste sind kostenpflichtig, bieten dafür aber auch einen erheblichen Gegenwert. Posteo.de ist besonders auf Anonymität bedacht und erlaubt nur Posteo-E-Mail-Adressen. Mailbox.org hat ein umfangreicheres Portfolio, in dem auch eine quelloffene Office-Anwendung zur Textverarbeitung und Tabellenkalkulation enthalten ist, wenn man dies braucht. Die zum Einsatz kommende Open-Xchange App Suite ist sogar ziemlich barrierefrei für Screen-Reader-Benutzer, und die Punkte, an denen es hakt, werde ich in nächster Zeit mal mit den Machern besprechen.

Wer seine Daten lieber in der Schweiz beheimatet haben möchte, findet mit KolabNow (ehemals MyKolab) eine gute Alternative.

„aber halt!“ mag jetzt jemand fragen, „Was ist denn mit FastMail, für den Du in Deinem Post darüber, wie Du Google-frei wirst, geworben hast?“ Ich halte FastMail nach wie vor für einen sehr sicheren Dienst. Die Maßnahmen zum Schutz der Benutzerdaten (englisch) klingen sehr gründlich. Allerdings macht mir die Tatsache, dass die primären Server in den USA stehen, doch etwas Sorgen, denn im Zweifelsfall ist nicht zu 100% geklärt, unter welche Jurisdiktion die Daten letztendlich fallen würden. Daher werde ich im Laufe der nächsten zeit meine E-Mail-Angelegenheiten umziehen, und zwar unter das Dach deutschen Datenschutzrechts. Ich habe auch schon ein wahrscheinliches Ziel im Visier, das mir nicht nur E-Mails mit eigenen Domains, sondern sogar ein Online Office bietet, was mir FastMail nicht bieten konnte, und mich somit noch näher an eine Google- und Microsoft-Alternative bringt. Aufmerksame Leser können sich denken, welchen Provider ich meinen könnte. 😉

Der Gnu Privacy Guard braucht unsere Hilfe! Jetzt spenden!

Der Gnu Privacy Guard (GnuPG) ist das Herzstück aller in der Serie zur E-Mail-Verschlüsselung behandelter OpenPGP-Lösungen. Er ist die einzige Instanz einer wirklich offenen und transparenten E-Mail-Verschlüsselung, die vollkommen von irgendwelchen Firmen unabhängig ist.

So ein Projekt braucht nicht nur Nutzer, sondern auch Menschen, die die Software weiterentwickeln, die Webseiten am laufen halten usw. Der Gnu Privacy Guard wird seit 1997 in der Hauptsache von Werner Koch aus Erkrath entwickelt und am Leben gehalten. 1999 und 2005 erhielt er zwei projektbezogene Unterstützungen von der deutschen Bundesregierung, das zweite Projekt lief aber 2010 aus und wurde nicht erneuert. Diese und weitere Hintergrundinformationen zu Werner Koch und dem Projekt enthält dieser englischsprachige Artikel bei ProPublica.

Die aktuelle Spendenkampagne hat 120.000 Euro zum Ziel und bisher knapp 55.000 Euro davon geschafft (Stand 05.02.2015 ca. 19:00 Uhr). Ich möchte alle Leserinnen und Leser dieses Blogs eindringlich bitten, eine Spende zu leisten und vielleicht bei der Gelegenheit mit E-Mail-Verschlüsselung anzufangen, wenn ihr dies nicht eh schon getan habt. In der Seitenleiste findet ihr die Einstiegsseite zum Thema. Auch Mehrfachspenden sind sicher möglich, ich versuche gerade herauszufinden, wie ich eine regelmäßige Spende automatisiert leisten kann.

Lasst uns gemeinsam mithelfen, nicht nur einmalig, sondern nachhaltig dafür zu sorgen, dass wir auch in Zukunft sicher kommunizieren können!

Googlemail vs. Gmail: Auf die richtige Schreibweise kommt es bei Verschlüsselung an

Es ist jetzt schon zweimal vorgekommen, dass mich E-Mails erreicht haben, die signiert waren, deren Signatur aber als ungültig angezeigt wurde. Das Problem war in beiden Fällen, dass die Schlüssel bzw. Zertifikate auf eine E-Mail-Adresse ausgestellt wurden, die auf @gmail.com endete. Der Absender der Mails hatte aber in beiden Fällen eine Adresse in seinem Mailer stehen, die auf @googlemail.com endete.

Die Folge davon ist, dass weder die Überprüfung der Signatur hinhaut, noch dass ich verschlüsselt hätte antworten können. Obwohl es sich um denselben Provider handelt, sind @gmail.com und @googlemail.com für die Schlüsselverwaltungen aller Mailprogramme und OpenPGP- und S/MIME-Tools zwei völlig unterschiedliche Paar Schuhe.

Die Lösung dieses Problems liegt darin, seine E-Mail-Adressen idealerweise auf @gmail.com zu vereinheitlichen. Zunächst gilt es zu überprüfen, ob man, wenn man in Deutschland mit einer @googlemail.com-Adresse gestartet ist, diese per Google bereits auf @gmail.com umgestellt hat. Auf dieser Seite könnt ihr mehr darüber lesen und es für euren Account gleich überprüfen.

Ist die Umstellung bereits erfolgt oder durch die oben stehende Überprüfung angestoßen worden, gilt es nun, in allen Mail-Programmen alle Vorkommen von @googlemail.com auf @gmail.com zu ändern. Nichts anderes braucht verändert werden, aber der Login für die Server, die Absender-E-Mail-Adresse und ggf. „Identität“ müssen angepasst werden.

In Thunderbird findet man alle diese Einstellungen unter Extras/Konteneinstellungen, das Gmail-Konto auswählen und auf der Hauptseite, unter „Identitäten“ und in den Servereinstellungen die Vorkommen ändern. Auch ganz unten bei den SMTP-Servern sollte wegen der Vereinheitlichung die Einstellung angepasst werden.

In Apple Mail findet man alle passenden Einstellungen unter Mail/Einstellungen auf der Registerkarte Konten, in den Kontoeigenschaften und bei den Servern für ausgehende E-Mails.

Unter iOS ändert man die Einstellung in Einstellungen/Mail, Kontakte… unter dem jeweiligen Konto einmal auf der Hauptseite und einmal im Fenster für den Postausgangsserver.

Das ist einmal ein bisschen Fummelarbeit, aber wenn das einmal gemacht wurde, ist nicht nur das Angeben der E-Mail-Adresse einfacher (gmail.com spricht sich einfacher als googlemail.com), sondern jetzt stimmt auch alles mit dem Zertifikat überein, so dass von nun an das korrekte Signieren klappen sollte, und der Empfänger kann auch verschlüsselt antworten.

E-Mail-Verschlüsselung mit S/MIME

In diesem Artikel geht es um die Verschlüsselung und Signierung von E-Mails mit S/MIME (secure/multipurpose internet mail extensions) als Alternative zu OpenPGP. Viele der Grundprinzipien sind ähnlich, die Formate sind jedoch nicht zueinander kompatibel. Eine mit OpenPGP verschlüsselte Mail kann also nicht von jemandem gelesen werden, der nur S/MIME einsetzt und umgekehrt. Glücklicherweise ermöglichen alle in der Serie bisher besprochenen Lösungen eine Koexistenz beider Systeme, so dass man sich nicht entscheiden muss, sondern beide parallel betreiben kann. Dabei zeigt sich, dass S/MIME zwar das geschlossenere System von beiden ist, von der Benutzerfreundlichkeit und Integration jedoch einige Vorteile gegenüber OpenPGP bietet, die auch die in den letzten Jahren gemachten Fortschritte nicht ganz haben wett machen können.

Das wichtigste jedoch: S/MIME ist genauso sicher wie OpenPGP. Die Algorithmen zur Berechnung der Schlüssel sind sehr ähnlich, und auch die Privatheit des privaten Schlüssels ist gegeben (mehr dazu siehe unten). Es gibt allerdings einige Unterschiede, deren man sich bewusst sein sollte. Wer kein OpenPGP nutzen möchte, aber S/MIME, kann den folgenden Abschnitt überspringen und gleich zur Beantragung gehen.

Die wichtigsten Unterschiede

Der wichtigste Unterschied ist, dass bei OpenPGP die Beglaubigung oder Echtheit öffentlicher Schlüssel durch die Unterschriften verschiedener Benutzer bezeugt wird. Bei S/MIME-Zertifikaten hingegen wird diese Beglaubigung durch eine globale Zertifizierungsstelle (CA) ausgestellt. Viele globale Zertifizierungsstellen werden von Apple, Microsoft, Mozilla und anderen als Vertrauenswürdig eingestuft und die E-mail-Zertifikate daher als gültig anerkannt, wenn die Unterschrift auf dem öffentlichen Schlüssel verifiziert werden kann. Jeder öffentliche Schlüssel hat daher auch nur genau eine Unterschrift zur Beglaubigung, nämlich die der Zertifizierungsstelle.

Die S/MIME-Schlüssel werden nur immer genau auf eine E-Mail-Adresse ausgestellt. Hat man also fünf E-Mail-Adressen, mit denen man verschlüsselt kommunizieren möchte, muss man sich auch fünf Zertifikate besorgen.

Die Zertifikate werden im Falle kostenloser Varianten in der Regel nur auf die E-Mail-Adresse ausgestellt. Die Zertifizierungsstelle bestätigt also lediglich die Echtheit der E-Mail-Adresse, nicht die Identität der dahinter stehenden Person. Dies ist ein Zertifikat der Stufe 1. Zertifikate der Stufe 2 verifizieren auch den Namen der Person, indem z. B. Prüfungen des Personalausweises o. ä. durchgeführt werden, um die Echtheit der Personenangaben zu bestätigen. Die Stufe 3 letztendlich erwartet ein persönliches Erscheinen der Person zur Verifizierung, was in der Regel von Zertifikatsstellen gar nicht angeboten wird.

Ein Hinweis für Leser in Deutschland: Es ist gesetzlich verboten, eine Kopie des Personalausweises anzufertigen oder von dritten anfertigen zu lassen. Will man sich also für ein Zertifikat der Stufe 2 registrieren, muss man genau hinschauen, was erwartet wird und was man wie preisgeben kann und darf.

Es gibt keine Passphrase zur Ver- und Entschlüsselung, die abgefragt wird. E-Mails werden automatisch entschlüsselt, wenn für den Absender ein öffentlicher Schlüssel vorliegt. Erhält man eine nicht verschlüsselte, aber signierte E-Mail, importieren viele Mailer unter OS X und Windows die öffentlichen Schlüssel automatisch, so dass ab sofort verschlüsselt kommuniziert werden kann. Dies ist auch der übliche Verbreitungsweg für öffentliche Schlüssel im S/MIME-Verfahren: man schreibt nicht verschlüsselte, aber signierte Mails.

Beantragen eines kostenlosen Zertifikats

Es gibt mehrere Anbieter für kostenlose S/MIME-Zertifikate der Stufe 1. Ich selbst habe sehr gute Erfahrungen mit den Zertifikaten von Comodo gemacht. Dieser Link führt direkt zum auszufüllenden Formular.

  1. Das Formular ausfüllen. Wichtig ist neben der korrekten E-Mail-Adresse und dem Namen hier das Revocation Password (Kennwort zum Zurückziehen des Schlüssels). Dieses unbedingt irgendwo sicher verwahren (z. B. sichere Notiz in 1Password), um das Zertifikat zurückziehen zu können, falls man das Gefühl bekommt, es könne kompromittiert worden sein.
  2. Nach Abschicken des Formulars bekommt man per E-Mail den Link zur Installation des Zertifikats.
  3. Den Link in der Mail anklicken. Es öffnet sich ein neuer Browser-Tab. Das Schlüsselpaar wird nun auf dem Computer generiert und der öffentliche Schlüssel danach an den Server von Comodo gesendet. Diese unterschreiben ihn nun und schicken den unterschriebenen öffentlichen Schlüssel, das Zertifikat, an uns zurück.
  4. Es findet nun ein Download einer Datei mit der Endung .p7s statt. Der Safari im Mac speichert die Datei automatisch im Downloads-Ordner, der Firefox installiert das Zertifikat automatisch in seiner Zertifikatsverwaltung.

Die folgenden Schritte werden nun getrennt für OS X und Windows behandelt.

Installation des Zertifikats

Mac OS X

Nachdem der Schlüssel heruntergeladen wurde, doppelklickt man die Datei bzw. öffnet sie mit Cmd+O. Das Schlüsselpaar wird nun in den Schlüsselbund importiert.

Nun Mail beenden und neu starten. Danach stehen bei neuen Mails zwei Schaltflächen bzw. Kontrollkästchen zur Verfügung. Die eine steht fürs Unterschreiben, die andere fürs Verschlüsseln der mail. Wer bereits OpenPGP einsetzt, kann nun mit Cmd+Wahltaste+P auf OpenPGP bzw. Cmd+Wahltaste+S auf S/MIME umschalten, also beide Verschlüsselungsverfahren nutzen.

Erhält man nun eine mit S/MIME unterschriebene Mail, speichert Mail den öffentlichen Schlüssel des Absenders automatisch. Ihr selbst solltet nun auch immer unterschreiben, wenn ihr eine neue Mail schreibt, um so anzuzeigen, dass ihr S/MIME unterstützt. Kommen beide Verfahren zum Einsatz, kann man ja an den gleichen Empfänger in einer Mail mit S/MIME, in der anderen mit OpenPGP unterschreiben.

Kommt jetzt eine verschlüsselte Mail an, wird diese automatisch entschlüsselt. Beantwortet man sie, wird auch die Antwort automatisch mit dem richtigen Verfahren verschlüsselt.

iOS

Möchte man das Zertifikat auch unter iOS nutzen, muss man wie folgt vorgehen:

  1. Im Ordner Programme/Dienstprogramme das Programm Schlüsselbundverwaltung öffnen.
  2. Nach der eigenen E-Mail-Adresse suchen und in den Ergebnissen den Eintrag mit dem Typ „Zertifikat“ auswählen.
  3. Diesen jetzt erweitern, dass der dahinter versteckte Eintrag „Privater Schlüssel“ sichtbar wird. VoiceOver-Nutzer drücken Ctrl+Wahltaste+Nummernzeichen.
  4. Diesen Eintrag „Privater Schlüssel“ jetzt rechtsklicken bzw. mit Ctrl+Option+Umschalt+M von VoiceOver das Kontextmenü aufrufen und Exportieren wählen.
  5. Namen vergeben, Ort wählen und sicherstellen, dass als Dateiformat Personal Information Exchange (P12) ausgewählt ist.
  6. Im nächsten Schritt ein Kennwort vergeben, mit dem die exportierte Datei geschützt wird.
  7. Diese P12-Datei jetzt per Mail an sich selbst schicken. Andere Wege werden von iOS leider nicht unterstützt, z. B. AirDrop.
  8. Auf dem iPhone oder iPad die Mail öffnen und den Anhang antippen.
  9. Es öffnen sich die Einstellungen. Jetzt oben rechts auf Installieren tippen und mit dem Geräte-Code bzw. Kennwort bestätigen.
  10. Man wird nun gewarnt, dass das Zertifikat noch unbekannt sei. Mit nochmaligem Drücken auf Installieren bestätigen, und das gleiche im darauf erscheinenden Sicherheits-Abfrage-Hinweis.
  11. Jetzt das eben vergebene Kennwort eingeben und auf Weiter tippen.
  12. Das Zertifikat ist nun installiert. Auf Fertig tippen, und man gelangt wieder in die E-Mail.
  13. In die Einstellungen zurückkehren und den Punkt E-Mail, Kalender … wählen.
  14. Das E-Mail-Konto wählen, unter dem die E-Mail-Adresse des Zertifikats geführt wird.
  15. Das Konto bearbeiten und ganz unten auf Erweitert tippen.
  16. Ganz nach unten scrollen und S/MIME aktivieren.
  17. Sowohl Signieren als auch Verschlüsseln aktivieren. Das richtige Zertifikat sollte jeweils ausgewählt sein.
  18. Zurück wählen und oben rechts auf Fertig. Da keine anderen Änderungen am Konto vorgenommen wurden, sollte sich das Fenster einfach schließen, und wir können die Einstellungen verlassen.

Jetzt werden unterstützte Empfänger automatisch mit verschlüsselten Mails versorgt, und alle anderen Mails werden mit S/MIME unterschrieben. Erhält man eine unterschriebene Mail, kann man beim Absender direkt auf die Details tippen und das Zertifikat (den öffentlichen Schlüssel) installieren. Ein automatisches Importieren von öffentlichen Schlüsseln findet im Gegensatz zu OS X leider nicht statt, wenn man eine unterschriebene Mail erhält.

Wie man aber sieht, ist das Behandeln von S/MIME-verschlüsselten E-Mails im Vergleich zu OpenPGP deutlich einfacher und direkt in die Mail-App integriert. Es ist nicht nötig, Apps von Drittherstellern zu verwenden.

Windows

Hat man sich das Zertifikat mit Hilfe von Firefox erstellt, also den Link in der E-Mail angeklickt, wird das Zertifikat automatisch in Firefox installiert. Man bekommt darüber auch eine Meldung. Um es nun in Thunderbird nutzen zu können, geht man wie folgt vor:

  1. Man öffnet Extras, Einstellungen (bzw. Optionen) und wechselt aufs Register Erweitert.
  2. Hier wählt man das Unter-Register Zertifikate aus und klickt auf Zertifikate Anzeigen.
  3. Im folgenden Fenster wechselt man aufs Register Eigene Zertifikate, wählt das gerade installierte Zertifikat von Comodo CA aus und klickt auf Backup.
  4. Man vergibt einen Dateinamen, wählt ggf. einen Zielordner und belässt das Dateiformat tunlichst auf P12.
  5. Im nächsten Schritt vergibt man ein Kennwort zum Schützen der exportierten Datei. Danach wird die Datei gespeichert und dies bestätigt. Man kann nun die Dialoge schließen.
  6. Jetzt wechselt man zu Thunderbird und öffnet Extras/Konteneinstellungen. Man wählt das Konto für die E-Mail-Adresse aus, für die man eben ein Zertifikat erstellt hat und wechselt auf den Eintrag Sicherheit.
  7. Hier wählt man wieder Zertifikate anzeigen und wechselt auf das Register Eigene Zertifikate.
  8. Auf Import klicken, die in Schritt 4 gespeicherte Datei wählen, das in Schritt 5 vergebene Passwort eingeben, und das Zertifikat wird importiert. Der Zertifikatmanager kann nun auch durch Klick auf OK geschlossen werden.
  9. Jetzt für die Signierung von E-Mails den Schalter „Wählen“ betätigen und das soeben importierte Zertifikat wählen.
  10. Thunderbird fragt nun nach, ob dieses Zertifikat auch für das Verschlüsseln von Mails verwendet werden soll. Dies wird bejaht.
  11. Nun noch einstellen, dass E-Mails standardmäßig signiert werden sollen, und bei Verschlüsselung „notwendig“ auswählen. Mit OK die Konteneinstellungen schließen.

Nun kann man mit S/MIME verschlüsselte Mails senden und empfangen. Hat man zusätzlich OpenPGP mit Enigmail installiert, fragt Enigmail im Zweifel nach, ob die Verschlüsselung mit PGP/MIME oder S/MIME passieren soll. Auch hier ist also eine Koexistenz beider Systeme möglich.

Auch Thunderbird importiert automatisch S/MIME-Zertifikate bei Erhalt digital unterschriebener Mails. Man muss also auch hier keine öffentlichen Schlüssel von Hand importieren. Man kann sogar direkt verschlüsselt antworten, vorausgesetzt, man hat dem Empfänger schon mal eine digital signierte Mail geschickt und dessen Client hatte die Chance, den öffentlichen Schlüssel abzurufen.

Hat man iOS-Geräte, kann man mit derselben Datei, die man aus Firefox per Backup exportiert hat, so vorgehen, wie im vorigen Abschnitt ab Schritt 7 beschrieben, also dem Punkt, an dem man sich seine Backup-Datei selbst per Mail zuschickt.

Die Optionen zum Einstellen, ob man eine S/MIME-Mail signiert und/oder verschlüsselt, finden sich entweder im Popup-Menü der oberen Symbolleiste oder im Menü Optionen als unterste zwei Menüpunkte.

Fazit

Das Erstellen, der tägliche Umgang und die Integration ist mit S/MIME deutlich einfacher als mit OpenPGP. Welches Verschlüsselungsverfahren man nimmt, oder ob man zweigleisig fährt, ist eine Geschmacks- und Glaubensfrage. Manche werden der Unterschrift einer Firma, auch wenn diese sich CA nennt, niemals so sehr vertrauen wie den Unterschriften ihnen persönlich bekannter Personen und von daher OpenPGP vorziehen. Andere werden vielleicht die einfachere Handhabung von S/MIME bevorzugen, gerade wenn sie auch unter iOS arbeiten, und von daher diese Variante bevorzugen. Beide Verfahren sind bisher nicht geknackt worden. Von dieser Seite herrscht also eher kein Unterschied.

Ich selbst habe mich dazu entschieden, beide Verfahren einzusetzen und dadurch mit beiden erreichbar zu sein. So kann jeder selbst entscheiden, wie er/sie mit mir verschlüsselt kommunizieren möchte. Wer also meinen öffentlichen S/MIME-Schlüssel möchte, schickt mir einfach eine Mail mit der Bitte um Zusendung einer signierten Antwort. Idealerweise enthält diese Anfrage schon gleich die eigene Signatur, dann ist sofortige verschlüsselte Kommunikation möglich.

Viel Spaß beim verschlüsselten Kommunizieren, mit welchem Verfahren auch immer!

OpenPGP unter iOS einrichten

Heutzutage möchte man E-Mails nicht mehr nur auf dem Desktop- oder Laptop-Computer lesen und schreiben. Der mobile Zugriff per Smartphone oder Tablet sind inzwischen mindestens genauso wichtig. Das gilt natürlich auch für verschlüsselte E-Mails.

In diesem Artikel geht es um die Einrichtung und Nutzung von OpenPGP-Verschlüsselung unter iOS. Und wie heißt es so schön in einem sozialen Netzwerk? „Es ist kompliziert.“ Nun ja, nicht so kompliziert, dass es eine unüberwindliche Hürde wäre, aber doch eher umständlich. Dies liegt vor allem daran, dass das iOS-Mail-Programm keine Erweiterungen unterstützt und selbst keine Unterstützung für OpenPGP mitbringt.

Man muss also auf Apps von findigen Entwicklern zurückgreifen, die die Funktionalität zur Verfügung stellen und die Inhalte zwischen sich und der Mail-App hin und her reichen. Die umfassendsten und gangbarsten Lösungen, die ich bei meinen Recherchen gefunden habe, sind die kostenpflichtigen Apps iPGMail und oPenGP (beides iTunes Partner-Links). Ich werde anhand von iPGMail die Vorgehensweise erläutern, oPenGP ist ähnlich aufgebaut. Beide Apps sind für iPhone und iPad gedacht.

Grundsätzlicher Aufbau

iPGMail ist in fünf Tabs (Register) unterteilt:

Keys enthält die Schlüssel. Oben kann man die Anzeige nach öffentlichen (public) oder privaten Schlüsseln umschalten. Ein Tippen auf einen Schlüssel zeigt dessen Details an.

Decode dient zum Entschlüsseln von Text in der Zwischenablage oder aus Mail heraus übertragenen Anhängen (siehe unten).

Compose dient zum Erstellen von Mails.

Files beinhaltet die lokal gespeicherten heruntergeladenen oder aus iTunes übertragenen Dateien und bietet Zugriff auf Dropbox und iCloud. Hier können entschlüsselte Mails gelesen, Keys importiert, Dateien verschlüsselt o. ä. werden.

Settings enthält alle Einstellungen. Hier kann man das Entsperren per PIN und/oder Fingerabdruck (iPhone 5s, 6, 6 Plus oder iPad Air 2) einrichten, Dropbox und iCloud an- und abschalten, einstellen, wie oft nach der Passphrase gefragt werden soll usw.

Ersteinrichtung

Nach der Installation der App hat man zwei Möglichkeiten. Entweder man fängt ganz frisch an, weil man OpenPGP bisher noch nicht eingesetzt hat und erstellt ein neues Schlüsselpaar. Die Vorgehensweise ähnelt stark der Einrichtung unter Windows oder OS X: Man gibt Namen und E-Mail-Adresse an, wählt ggf. die Verschlüsselungsstärke, wobei der Standardwert OK ist, und lässt das iOS-Gerät den Schlüssel generieren. Die Option findet sich unter „Add“ auf dem Register „Keys“ der Anwendung.

Oder man hat seine Schlüssel schon unter Windows oder OS X erzeugt und möchte sie auch unter iOS nutzen. Dann muss man zuerst die Schlüssel in der jeweiligen Schlüsselverwaltung inklusive privatem Schlüssel exportieren (letzteres ist ganz entscheidend!) und diese dann per iTunes-Dateiübertragung oder notfalls per iCloud oder Dropbox auf das iOS-Gerät übertragen. Aus Sicherheitsgründen empfehle ich hier den Weg über iTunes: Gerät anschließen, in iTunes das Gerät auswählen, Register Apps, iPGMail auswählen und die Datei(en) des Exports hierher kopieren. Dann synchronisieren, so dass sie auf dem Gerät landen.

Alternativ speichert man sie in Dropbox, aktiviert dieses über den Settings-Tab auf dem Gerät, geht auf Files, wählt unter „Folders“ Dropbox aus, tippt die Datei an und wählt „Download“. Sie landet dann im lokalen Speicher und sollte danach umgehend aus der Dropbox gelöscht werden.

Nun öffnet man die Datei und wählt unter Actions dann „Decode“. Man wird nach der Passphrase des privaten Schlüssels gefragt, und danach sind die Schlüssel unter Keys im Reiter „Public“ und „Private“ zu finden.

Tipp: Beim Exportieren kann man auch alle anderen öffentlichen Schlüssel gleich mit auswählen, die man von Kontakten bekommen hat. So kann man den aktuellen Stand einmal in einem Rutsch in iPGMail importieren.

Empfangene E-Mail entschlüsseln

Empfängt man nun eine verschlüsselte mail in der iOS Mail App, gibt es zwei Möglichkeiten:

Die Mail ist mit Inline-PGP, also dem verschlüsselten Text im Mailtext verfasst. In diesem Fall muss man den kompletten Mailtext markieren und in die Zwischenablage kopieren. Dann geht man nach iPGMail, wählt die Registerkarte „Decode“ und wählt oben links den Schalter „Import“. Ggf. wird man nach der Passphrase gefragt, und die decodierte Mail landet dann in den Files.

Die bequemere Variante ist, dass man eine Mail im PGP/MIME-Format bekommen hat. In diesem Fall enthält die Mail zwei Anhänge. Der wichtige Anhang ist derjenige mit Namen encrypted.txt. Diesen lange antippen (VoiceOver-User: Doppeltippen und halten). Es öffnet sich dann ein Menü „Öffnen mit“, und man wählt hier iPGMail aus.

Der Mailtext wird nun automatisch decodiert und landet in den Files. Ggf. wird man nach der Passphrase gefragt. Spätestens jetzt zeigt sich noch ein großer Vorteil von PGP/MIME, denn das Umgehen hiermit ist wesentlich bequemer als das Markieren vielleicht mehrere Bildschirmseiten langer Mailtexte.

Erstellen oder Beantworten von Mails

Verschlüsselte Mails werden in iPGMail erstellt und dann an die Mail-App zum Versenden übergeben. Eine neue Mail erstellt man über das Register „Compose“. Auf eine Mail antwortet man, indem man die entschlüsselte Version unter „Files“ öffnet und dann oben rechts auf „Reply“ drückt.

In beidem Fällen öffnet sich ein Fenster zum Erstellen einer Mail. Man wählt die Absender-ID aus, gibt ggf. Empfänger ein (entfällt normalerweise bei Antworten), fügt ggf. Anhänge hinzu, die dann ebenfalls verschlüsselt werden, und schreibt seine Mail. Im Fall einer Antwort ist die ursprüngliche Mail im Klartext zum Zitieren schon vorhanden.

Zum Abschluss überträgt man mit dem Send-Schalter die Mail an die Mail-App. Sie wird verschlüsselt und dann als PGP/MIME-Mail in einer neuen Mail geöffnet. Nach Überprüfung des Absenders kann man hier einfach auf Senden drücken, und raus geht die Mail!

Fazit

Das war’s im Prinzip schon! Es ist wegen der Beschränkungen von iOS leider nicht möglich, die Ver- und Entschlüsselung von Mails direkt in der Mail-App vorzunehmen. Hier bleibt die Hoffnung, dass Apple sein Erweiterungssystem in Zukunft vielleicht dahingehend erweitert, dass solche Mail-Plugins möglich werden. So muss man sich eben immer vergegenwärtigen, Mails erst in iPGMail zu schreiben und dann an Mail zu übertragen. Und das Lesen der entschlüsselten Mail findet eben auch in iPGMail statt, nicht in der Mail-App selbst.

Wie sich andere Mailprogramme wie die App für Gmail oder Gmx mit iPGMail vertragen, habe ich nicht getestet. Fest steht, dass die Übergabe einer geschriebenen Mail immer an die interne Mail-App erfolgt. Ob man aus anderen Mail-Apps die Anhänge von PGP/MIME-Mails ebenfalls so öffnen kann, entzieht sich meiner Kenntnis.

Wie ich oben schon schrieb: OpenPGP in iOS zu nutzen ist möglich, aber komplizierter als unter Windows oder OS X, weil man immer mit zwei Apps hantieren muss. Aber es ist eben nicht unmöglich, und das ist heute ja nicht ganz unwichtig! 😉