DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

E‑Mail: Ver­schlüs­selung muss zum Regelfall werden

Seit  dem ersten Snowden-Schock ist ein Jahr ver­gangen. Seitdem haben uns immer neue Ent­hül­lungen in Atem gehalten. Die Empörung war groß und die lang­fris­tigen Folgen sind noch nicht abzu­sehen. Der Bürger sieht seine Pri­vat­sphäre durch unkon­trol­lierbare Aus­spähung bedroht und hat das Gefühl, dass die Politik ihn im Stich lässt.

An einer Stelle können wir uns aller­dings wehren: Jeder ist in der Lage, den Inhalt von E‑Mails durch Ver­schlüs­selung zuver­lässig auch gegen potente Angreifer zu schützen. Würden alle Bürger ihre E‑Mails gewohn­heits­mäßig ver­schlüsseln, wäre die grund­ge­setzlich geschützte ver­trau­liche Kom­mu­ni­kation im Netz nicht nur theo­re­tisch garan­tiert, sondern auch tech­nisch gesi­chert.

Warum geschieht das nicht?  Weil wir beim heu­tigen Stand der Technik nicht erwarten können, dass Erika Mus­termann sich der Mühsal der E‑Mail-Ver­­­schlüs­­selung unter­zieht. Von wenigen Aus­nahmen abge­sehen ist die ein­schlägige Software nicht benut­zer­freundlich. Die Infor­ma­tiker haben daher die wichtige Aufgabe, in For­schung und Ent­wicklung das bisher Ver­säumte nach­zu­holen. Als Staats­bürger sollten wir aber nicht einfach auf den großen tech­ni­schen Wurf warten, sondern fragen, wie wir uns der kon­kreten Utopie einer flä­chen­de­ckenden E‑Mail-Ver­­­schlüs­­selung bereits heute annähern können. Es gilt, die vor­han­denen Mög­lich­keiten kon­se­quent zu nutzen und evo­lu­tionär zu ver­bessern.

Wer heute E‑Mails ver­schlüsseln will, hat die Wahl zwi­schen S/MIME und PGP. Beide bieten die gleiche kryp­to­gra­phische Sicherheit. Hier ist nicht der Ort, das Pro und Contra der beiden Ansätze im Detail zu dis­ku­tieren. Meine eigene Position ist: Im Hin­blick auf das Ziel der flä­chen­de­ckenden Ver­schlüs­selung für jedermann ist S/MIME die bessere Wahl. Der S/MIME-Standard wird von jedem Mail-Pro­­­gramm unter­stützt und mit einer gut gestal­teten Web-Schnit­t­stelle sind Schlüs­sel­er­zeugung und Zer­ti­fi­kat­s­erwerb kin­der­leicht (Die Ver­waltung und Benutzung des Schlüs­sel­bundes gestaltet sich aller­dings je nach Her­steller unter­schiedlich – von trivial bis umständlich.).

Ein Plä­doyer für S/MIME ist aller­dings nur dann ver­tretbar, wenn es gelingt, Schlüs­sel­ge­ne­rierung und Zer­ti­fi­kat­s­erwerb für jedermann erstens einfach, zweitens kos­tenlos und drittens ver­trau­ens­würdig zu gestalten. Kri­tisch ist hier der Punkt 3: Es bedarf einer Offenen Zer­ti­fi­zie­rungs­stelle, der auf­grund ihrer Kon­struktion jeder Bürger ver­trauen kann – wie man dem Wahl­lokal ver­traut. Eine solche Stelle zu schaffen und zu betreiben wäre eine noble Aufgabe bei­spiels­weise für eine staats­bür­gerlich enga­gierte Stiftung.

Um aber auf die Ver­ant­wortung der Politik zurück­zu­kommen: Hier zeigt sich eine Mög­lichkeit, wie die Regierung etwas von dem Ver­trauen, das sie durch ihr Ver­halten in der Snowden-Affäre ver­loren hat, wie­der­ge­winnen könnte. Der Innen­mi­nister könnte die Gründung einer Zer­­ti­­fi­­zie­­rungs-Stiftung betreiben und damit zeigen, dass er konkret etwas zum Schutz unserer Pri­vat­sphäre tut. Wehren müssen wir uns schon selbst, aber unsere gewählten Ver­treter sollten uns wenigstens nach Kräften dabei unter­stützen.

Eine von der Gesell­schaft für Infor­matik bereit­ge­stellte Fra­­ge/­­Antwort-Liste zur E‑Mail-Ver­­­schlüs­­selung findet man unter http://www.gi.de/e‑mail-sicherheit

Bild: fotomek / Fotolia.com

2 Kommentare zu E-Mail: Verschlüsselung muss zum Regelfall werden

  • Stolperstein sagt:

    Liebe Unter­nehmen, warum starten Sie nicht?
    Alles richtig, was hier beschrieben ist. Aber ein viel ein­facher Schritt und Ein­stieg wäre, wenn alle Unter­neh­mens­mails (Werbung, Mar­keting-Mails, Kun­den­in­for­ma­tionen, News­letter, …) signiert wären. Wie schön wäre es, ich könnte die Gül­tigkeit einer Email einfach über­prüfen? Kein Fishing mehr! Jede Mar­ke­ting­ab­teilung ist meiner Meinung nach dazu auf­ge­fordert, hier tätig zu werden.
    Den Vor­schlag einer Zer­ti­fi­zie­rungs-Stiftung begrüße ich, aber die Umsetzung benötigt einen Eini­gungs­pro­zesse auf poli­ti­scher Ebene, der ver­mutlich sehr lange dauern wird. Gibt es Vor­schläge, wie dieser Prozess gestartet werden kann?

  • Burghard Britzke sagt:

    Neuer Per­so­nal­ausweis als Zer­ti­fi­kats­speicher
    Der neue Per­so­nal­ausweis bietet die Mög­lichkeit, Zertifikat(e) zu spei­chern. Leider hat die Bun­des­re­gierung sich nicht dazu durch­ringen können, den Ausweis gleich mit einem Zer­ti­fikat für den Bürger ver­sehen zu lassen. Das müsste sich der Bürger nun teuer bei pri­vaten Anbietern erkaufen.
    Wenn man dem Per­so­nal­ausweis (nPA) ver­traut, dann wird man auch dem Zer­ti­fikat ver­trauen, das von einer Behörde (oder eben auch einer reno­mierten Stiftung) erstellt- und auf diesen Ausweis auf­ge­bracht wurde.
    Hier wurde eine große Chance ver­spielt. Das zeigt sich auch darin, das die Online-Nutzung des nPA nur schleppend bis gar nicht genutzt wird.

    Schade!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. (a.D.) Peter Löhr

Dr.-Ing. Klaus-Peter Löhr ist Pro­fessor (a.D.) am Institut für Infor­matik der Freien Uni­ver­sität Berlin und lang­jäh­riges Mit­glied der Gesell­schaft für Infor­matik (GI) sowie des Forums Infor­ma­ti­ke­rInnen für Frieden und gesell­schaft­liche Ver­ant­wortung (FIfF).  Im Prä­si­di­ums­ar­beits­kreis Daten­schutz und IT-Sicherheit der GI arbeitert er seit den Snowden-Ent­hül­lungen vor­wiegend an Fragen der E‑Mail-Sicherheit.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.