Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
E‑Mail: Verschlüsselung muss zum Regelfall werden
Seit dem ersten Snowden-Schock ist ein Jahr vergangen. Seitdem haben uns immer neue Enthüllungen in Atem gehalten. Die Empörung war groß und die langfristigen Folgen sind noch nicht abzusehen. Der Bürger sieht seine Privatsphäre durch unkontrollierbare Ausspähung bedroht und hat das Gefühl, dass die Politik ihn im Stich lässt.
An einer Stelle können wir uns allerdings wehren: Jeder ist in der Lage, den Inhalt von E‑Mails durch Verschlüsselung zuverlässig auch gegen potente Angreifer zu schützen. Würden alle Bürger ihre E‑Mails gewohnheitsmäßig verschlüsseln, wäre die grundgesetzlich geschützte vertrauliche Kommunikation im Netz nicht nur theoretisch garantiert, sondern auch technisch gesichert.
Warum geschieht das nicht? Weil wir beim heutigen Stand der Technik nicht erwarten können, dass Erika Mustermann sich der Mühsal der E‑Mail-Verschlüsselung unterzieht. Von wenigen Ausnahmen abgesehen ist die einschlägige Software nicht benutzerfreundlich. Die Informatiker haben daher die wichtige Aufgabe, in Forschung und Entwicklung das bisher Versäumte nachzuholen. Als Staatsbürger sollten wir aber nicht einfach auf den großen technischen Wurf warten, sondern fragen, wie wir uns der konkreten Utopie einer flächendeckenden E‑Mail-Verschlüsselung bereits heute annähern können. Es gilt, die vorhandenen Möglichkeiten konsequent zu nutzen und evolutionär zu verbessern.
Wer heute E‑Mails verschlüsseln will, hat die Wahl zwischen S/MIME und PGP. Beide bieten die gleiche kryptographische Sicherheit. Hier ist nicht der Ort, das Pro und Contra der beiden Ansätze im Detail zu diskutieren. Meine eigene Position ist: Im Hinblick auf das Ziel der flächendeckenden Verschlüsselung für jedermann ist S/MIME die bessere Wahl. Der S/MIME-Standard wird von jedem Mail-Programm unterstützt und mit einer gut gestalteten Web-Schnittstelle sind Schlüsselerzeugung und Zertifikatserwerb kinderleicht (Die Verwaltung und Benutzung des Schlüsselbundes gestaltet sich allerdings je nach Hersteller unterschiedlich – von trivial bis umständlich.).
Ein Plädoyer für S/MIME ist allerdings nur dann vertretbar, wenn es gelingt, Schlüsselgenerierung und Zertifikatserwerb für jedermann erstens einfach, zweitens kostenlos und drittens vertrauenswürdig zu gestalten. Kritisch ist hier der Punkt 3: Es bedarf einer Offenen Zertifizierungsstelle, der aufgrund ihrer Konstruktion jeder Bürger vertrauen kann – wie man dem Wahllokal vertraut. Eine solche Stelle zu schaffen und zu betreiben wäre eine noble Aufgabe beispielsweise für eine staatsbürgerlich engagierte Stiftung.
Um aber auf die Verantwortung der Politik zurückzukommen: Hier zeigt sich eine Möglichkeit, wie die Regierung etwas von dem Vertrauen, das sie durch ihr Verhalten in der Snowden-Affäre verloren hat, wiedergewinnen könnte. Der Innenminister könnte die Gründung einer Zertifizierungs-Stiftung betreiben und damit zeigen, dass er konkret etwas zum Schutz unserer Privatsphäre tut. Wehren müssen wir uns schon selbst, aber unsere gewählten Vertreter sollten uns wenigstens nach Kräften dabei unterstützen.
Eine von der Gesellschaft für Informatik bereitgestellte Frage/Antwort-Liste zur E‑Mail-Verschlüsselung findet man unter http://www.gi.de/e‑mail-sicherheit
Bild: fotomek / Fotolia.com
2 Kommentare zu E-Mail: Verschlüsselung muss zum Regelfall werden
Schreiben Sie einen Kommentar
Dr.-Ing. Klaus-Peter Löhr ist Professor (a.D.) am Institut für Informatik der Freien Universität Berlin und langjähriges Mitglied der Gesellschaft für Informatik (GI) sowie des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF). Im Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der GI arbeitert er seit den Snowden-Enthüllungen vorwiegend an Fragen der E‑Mail-Sicherheit.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Liebe Unternehmen, warum starten Sie nicht?
Alles richtig, was hier beschrieben ist. Aber ein viel einfacher Schritt und Einstieg wäre, wenn alle Unternehmensmails (Werbung, Marketing-Mails, Kundeninformationen, Newsletter, …) signiert wären. Wie schön wäre es, ich könnte die Gültigkeit einer Email einfach überprüfen? Kein Fishing mehr! Jede Marketingabteilung ist meiner Meinung nach dazu aufgefordert, hier tätig zu werden.
Den Vorschlag einer Zertifizierungs-Stiftung begrüße ich, aber die Umsetzung benötigt einen Einigungsprozesse auf politischer Ebene, der vermutlich sehr lange dauern wird. Gibt es Vorschläge, wie dieser Prozess gestartet werden kann?
Neuer Personalausweis als Zertifikatsspeicher
Der neue Personalausweis bietet die Möglichkeit, Zertifikat(e) zu speichern. Leider hat die Bundesregierung sich nicht dazu durchringen können, den Ausweis gleich mit einem Zertifikat für den Bürger versehen zu lassen. Das müsste sich der Bürger nun teuer bei privaten Anbietern erkaufen.
Wenn man dem Personalausweis (nPA) vertraut, dann wird man auch dem Zertifikat vertrauen, das von einer Behörde (oder eben auch einer renomierten Stiftung) erstellt- und auf diesen Ausweis aufgebracht wurde.
Hier wurde eine große Chance verspielt. Das zeigt sich auch darin, das die Online-Nutzung des nPA nur schleppend bis gar nicht genutzt wird.
Schade!