Montag, 23. Mai 2022

Archiv


Harte Siegel für elektronische Briefe

Die inzwischen kaum mehr wegzudenkende Email ist etwa so sicher und privat wie eine Postkarte. Doch obwohl die meisten Anwender dies wissen, wird Verschlüsselung noch immer nur selten eingesetzt. Die Gründe hierfür dürften in Zweifeln an der Sicherheit der Verfahren sowie in der Umständlichkeit ihrer Bedienung liegen. Doch neue Lösungen sollen dies bald ändern und die Vorbehalte der Nutzer aufbrechen.

19.07.2003

Von Klaus Herbst

Schon vor zwölf Jahren brachte der amerikanische Amateurkryptograph Phil Zimmermann die Version eins null seiner Verschlüsselungstechnologie Pretty Good Privacy (PGP) auf den Markt. Mit Hilfe zweier Schlüssel, eines öffentlichen und eines persönlichen, war es erstmals gelungen, E-Mails und ihre Anhänge sicher im Internet von A nach B zu transportieren - so gut, dass die US-Regierung den Forscher anfangs drei Jahre lang mit juristischen Prozessen drangsalierte. Das alles hat sich heute beruhigt. Im November gibt's die neueste Version. Aber die Akzeptanz ist immer noch äußerst gering. Doktor Christoph Busch ist Sicherheitstechnologie am Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt. Er nennt die alarmierenden Zahlen:

Man kann davon ausgehen, dass im Schnitt fünf bis maximal zehn Prozent aller Inhalte verschlüsselt werden, die eigentlich verschlüsselt werden sollten. Es gibt einschlägige Studien. Die Zahlen bestätigen sich da immer wieder. Es gibt eine Studie der CompTIA aus dem April, die sagt, dass ungefähr siebenunddreißig Prozent der Sicherheitsprobleme eben durch menschliches Versagen sozusagen verursacht worden sind.

Bis zu fünfundneunzig Prozent der Privatleute und vor allem der Industrie nehmen also erhebliche Risiken in Kauf. Der Grund:

Dass natürlich die Funktionalität zunächst einmal vor dem Sicherheitsmechanismus geht. Das heißt, die Funktionalität ist in diesem Themenbereich jetzt eben, einen Inhalt von A nach B zu transportieren. Das ist das vorrangige Interesse. Dass es auch noch sicher passieren soll, das ist das nachrangige Interesse.

Eine Neuentwicklung gibt es nun ebenfalls aus den USA. Voltage Security in Palo Alto (Kalifornien) hat eine Sicherheitslösung an eine US-Bank und an eine Versicherung verkauft, die noch einfacher zu bedienen ist als PGP. Der Firmengründer Guido Appenzeller:

Unsere sichere E-Mail-Lösung ist wesentlich einfacher zu benutzen als existierende Lösungen. Bei der klassischen PGP-Verschlüsselung muss man sich erst den so genannten Public Key besorgen. Man muss also in einem Verzeichnis nach ihm suchen. Unsere Verschlüsselungsverfahren basiert auf der E-Mail-Adresse des Empfängers. Wenn ich eine verschlüsselte Nachricht bekomme, brauche ich zusätzlich den Private Key. Um den zu bekommen, benötigt man ein so genanntes Master-Secret. Den bekommt man von einem Server, der dieses Geheimnis kennt.

Die Identität der E-Mail-Adresse und das Netzwerk immanente Passwort alleine initiieren also den Verschlüsselungsprozess.

All das passiert im Hintergrund. Das einzige, was der Nutzer wahrnimmt, ist eine ganz kurze Verzögerung von etwa einer Sekunde. Das Programm kann so eingestellt werden, dass sich der Nutzer mit seinem normalen Passwort authentifizieren muss, um nachzuweisen, dass er den Verschlüsselungscode erhalten darf.

Das neue, identitätsbasierte Voltage-System gilt also als besonders einfach. Offen bleibt, ob das Mehr an Nutzerfreundlichkeit die Verbreitung der Verschlüsselung tatsächlich verbessert. Auch Christoph Busch hat eine neue, simple Technologie entwickelt. Der Distributed Mail Guard setzt auf PGP auf, funktioniert aber vollautomatisch - bei Windows NT, 2000 und XP.

Es geht also darum, dass man sozusagen den Benutzer entlastet von Operationen, extra Menüs ansteuern, extra Programme aufrufen, um eine E-Mail zu verschlüsseln, dass man das automatisiert. Das heißt, der Mail Guard klinkt sich ein im Betriebssystem, das ausgehende E-Mails automatisch für den Empfänger verschlüsselt werden. Das heißt, es entfällt auch das Suchen des Public Keys des Empfängers.

Eine Version für Linux hält der Darmstädter Kryptoexperte für notwendig, hat aber keine Ressourcen frei und hat noch nicht einmal für seine NT-, 2000- und XP-Version einen Vermarkter gefunden. Es muss als sicher gelten, dass die Industrie auch in Zukunft riesige Sicherheitslücken in Kauf nimmt sowie entsprechend unkalkulierbare finanzielle und Know-How-Verluste.