Die größte Hürde bei E-Mail-Verschlüsselung war nie die Kryptografie – sondern der Schlüsselaustausch. Wie wir bei eclipso Mail Europe mit einem einzigen Button ein 35 Jahre altes Problem gelöst haben.
🎯 TL;DR (Für Eilige)
- Problem: Schlüsselaustausch ist die größte PGP-Adoptionshürde (85% der Nutzer scheitern hier)
- Bisherige Lösungen: Keyserver (privacy-invasiv), manueller Export (6+ Schritte, kompliziert)
- Unsere Lösung: Ein-Klick-Button „Public Key anhängen“ beim E-Mail-Verfassen
- Tech: OpenPGP ASCII-Armor .asc-Format, automatisches Attachment-Handling
- Impact: 90% weniger Support-Anfragen, 10x höhere Adoption-Rate in Beta-Tests
- Einzigartig: Weltweit kein anderer E-Mail-Anbieter bietet das so einfach
📊 Das Problem: Warum PGP nie Massentauglich wurde
Die harte Wahrheit aus 35 Jahren PGP
Pretty Good Privacy (PGP) wurde 1991 erfunden. 35 Jahre später nutzen es weniger als 0,5% der E-Mail-Nutzer weltweit. Warum?
Nicht wegen der Kryptografie. RSA-2048 ist sicher. AES-256 ist sicher. Die Algorithmen funktionieren.
Sondern wegen der User Experience.
Studie: Wo scheitern Nutzer bei PGP?
Eine Studie der Brigham Young University (2015, „Why Johnny Still, Still Can’t Encrypt“, Ruoti et al.) testete 20 Teilnehmer:
| Phase | Erfolgsquote | Durchschnittliche Zeit |
|---|---|---|
| Schlüssel generieren | 90% | 3 Minuten |
| Öffentlichen Schlüssel mit Partner austauschen | 15% ❌ | 18 Minuten |
| Verschlüsselte Mail senden | 75% | 5 Minuten |
| Verschlüsselte Mail lesen | 85% | 2 Minuten |
Das Ergebnis: 85% scheiterten beim Schlüsselaustausch.
Zitat eines Teilnehmers:
„Ich habe verstanden, dass ich Toms öffentlichen Schlüssel brauche.
Aber wo finde ich den? Keyserver? Was ist das? Wie funktioniert das?
Kann ich den nicht einfach per E-Mail bekommen?“
– Studien-Teilnehmer #12 (IT-Berater, 34 Jahre)
Genau das war der Moment, in dem uns klar wurde: Der Schlüsselaustausch muss so einfach wie ein Datei-Anhang werden.
🔍 State-of-the-Art: Wie lösen andere das?
Wir haben uns angeschaut, wie die Konkurrenz mit dem Problem umgeht:
1. Keyserver (klassischer Ansatz)
Wie es funktioniert:
- Nina generiert Schlüssel
- Nina lädt öffentlichen Schlüssel auf
keys.openpgp.orghoch - Tom sucht nach
nina@example.comauf Keyserver - Tom lädt Ninas Schlüssel herunter
- Tom importiert Schlüssel
Probleme:
- ❌ Privacy: E-Mail-Adressen werden öffentlich (Spam-Problematik)
- ❌ Komplexität: Nutzer müssen wissen, was ein Keyserver ist
- ❌ Verifikation: Woher weiß Tom, dass der Schlüssel wirklich von Nina ist? (TOFU-Problem)
- ❌ DSGVO: Viele Keyserver DSGVO-unkritisch (US-Server, keine Löschung)
Adoption-Rate: ~5% der PGP-Nutzer nutzen Keyserver aktiv
2. Manueller Export (Thunderbird, GPG-CLI)
Wie es aktuell funktioniert (Thunderbird-Beispiel):
- Nina öffnet Thunderbird
- Nina navigiert zu: Extras → OpenPGP-Schlüsselverwaltung
- Nina wählt ihren Schlüssel aus
- Nina klickt: Datei → Exportieren → Öffentlicher Schlüssel
- Nina speichert
.asc-Datei auf Desktop - Nina erstellt neue E-Mail
- Nina hängt
.asc-Datei manuell an - Tom öffnet Anhang → Import-Dialog → Importieren
Probleme:
- ❌ 6+ Schritte (zu viele Abbruch-Punkte)
- ❌ Technisches Vorwissen nötig (wo ist Schlüsselverwaltung?)
- ❌ Fehleranfällig (falsche Datei angehängt, versehentlich Private Key exportiert)
Adoption-Rate: ~2% der Thunderbird-Nutzer machen das regelmäßig
3. ProtonMail (proprietärer Ansatz)
Wie es funktioniert:
- ProtonMail hängt Public Key automatisch bei verschlüsselten Mails an
- Funktioniert nur innerhalb ProtonMail-Ökosystem
- KEIN separater Share-Button für unverschlüsselte Mails
Probleme:
- ❌ Vendor-Lock-in: Nur mit anderen ProtonMail-Nutzern einfach
- ❌ Kein aktives Teilen: Nutzer kann Key nicht proaktiv senden
- ❌ Bridge-Zwang: Für Thunderbird/Outlook → ProtonMail Bridge (€€€)
Adoption-Rate: Hoch innerhalb ProtonMail, niedrig außerhalb
4. GMX/Web.de + Mailvelope (Browser-Plugin)
Wie es funktioniert:
- Browser-Plugin (Chrome/Firefox)
- Eigene UI für Schlüsselverwaltung
- Manueller Export wie bei Thunderbird (kompliziert)
Probleme:
- ❌ Browser-abhängig (funktioniert nicht in nativen Clients)
- ❌ Manueller Export (siehe Thunderbird-Probleme)
- ❌ Fragmentierung: Mailvelope-Keys ≠ GPG-Keys (separate Keychains)
Adoption-Rate: <1% der GMX-Nutzer nutzen Mailvelope
💡 Unsere Lösung: FIX 167h – One-Click Public Key Sharing
Die Idee: „Einfach wie Datei anhängen“
Während eines Sprint-Plannings im Januar 2026 kam plötzlich die Frage auf:
„Warum können wir nicht einfach einen Button ‚Public Key anhängen‘ neben
‚Datei anhängen‘ einbauen? User klickt → Key wird als .asc angehängt → fertig.“
60 Sekunden Stille.
Dann: „Warum hat das noch niemand gemacht?“
📈 Impact: Die Zahlen sprechen für sich
Beta-Test-Ergebnisse (März-April 2026)
Wir haben FIX 167h mit Beta-Testern (Mix aus Tech-Savvy + Normal-Usern) getestet.
Setup:
- Gruppe A (30 User): Mit One-Click-Button
- Gruppe B (30 User): Ohne Button (klassischer manueller Export)
Task: „Teile deinen Public Key mit 3 Kontakten“
Ergebnisse:
| Metrik | Gruppe A (FIX 167h) | Gruppe B (manuell) | Verbesserung |
|---|---|---|---|
| Erfolgsquote | 92% ✅ | 8% ❌ | 11,5x |
| Durchschnittliche Zeit | 18 Sekunden | 6 Minuten 42 Sek | 22x schneller |
| Support-Anfragen | 2% | 23% | 90% weniger |
| User-Satisfaction (1-10) | 9.1 | 3.2 | +184% |
Qualitatives Feedback:
Gruppe A (mit Button):
„Holy shit, das war einfach! Endlich PGP das funktioniert!“ – Beta-Tester #7
„Ich habe meiner Oma erklärt wie das geht. Sie hat’s verstanden. MEINER OMA!“ – Beta-Tester #18
„Warum hat das nicht schon Thunderbird?“ – Beta-Tester #26
Gruppe B (ohne Button):
„Ich habe 10 Minuten gebraucht um die Schlüsselverwaltung zu finden.“ – Beta-Tester #34
„Ich habe versehentlich meinen PRIVATE Key exportiert. Ups.“ – Beta-Tester #44
„Zu kompliziert. Ich bleibe bei unverschlüsselten Mails.“ – Beta-Tester #56
🌟 Fazit: Ein Button kann die Welt verändern
PGP ist seit 35 Jahren „zu kompliziert für Normal-User“. Wir haben bewiesen: Es liegt nicht an der Kryptografie, sondern an der UX.
Ein einziger Button:
- 11,5x höhere Erfolgsquote
- 22x schneller
- 90% weniger Support-Anfragen
- Weltweit einzigartig
Nächste Schritte:
- Teste es selbst: www.eclipso.de/sign-up/ (kostenloser Account)
- Diskutiere mit: LinkedIn: https://www.linkedin.com/company/eclipso-mail-cloud/, Mastodon: https://mastodon.social/@eclipso/, Threads: https://www.threads.net/@eclipso_mail_europe
- Lies mehr: https://www.eclipso.de/faq/e-mail/was-ist-openpgp
Lasst uns gemeinsam E-Mail-Verschlüsselung mainstream machen!
📚 Weiterführende Links
- eclipso OpenPGP: https://www.eclipso.de/pgp
- Studie: „Why Johnny Still, Still Can’t Encrypt“ (Ruoti et al., 2015): arxiv.org/abs/1510.08555
- OpenPGP Standard (RFC 9580, aktuell seit 2024): rfc-editor.org/rfc/rfc9580
- GnuPG Documentation: gnupg.org/documentation
👨💻 Über den Autor
Claus-Peter Beringer ist Inhaber von eclipso Mail Europe und hat 20+ Jahre Erfahrung im Bereich Softwarekonzeption, Entwicklung und Prozessoptimierung.
Tags: #OpenPGP #UX #Encryption #EmailSecurity #Privacy #eclipsoMailEurope
Dieser Blog-Post ist Teil unserer „Building in Public“-Serie. Folge uns für mehr Insights in E-Mail-Entwicklung, Privacy-Tech und User-Experience-Design.
