2176384

Besser als Transportverschlüsselung: Ende-zu-Ende-Sicherheit

12.02.2016 | 11:05 Uhr |

Besser als Transportverschlüsselung: Ende-zu-Ende-Sicherheit

Eines darf allerdings nicht vergessen werden: Bei TLS ist die E-Mail lediglich während des Transports verschlüsselt. Das heißt, dass sich die Nachricht sowohl vor als auch nach dem Transport unverschlüsselt auf den Servern befindet – und insbesondere E-Mail-Provider wie Google uneingeschränkt Zugriff auf die kompletten Inhalte haben. Um letzteres zu verhindern, hilft nur eine inhaltliche Verschlüsselung.

Dass STARTTLS wichtig, jedoch nicht immer ausreichend ist, belegt auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Im Rahmen einer Prüfung der E-Mail Server von Unternehmen verweist die Behörde auf die STARTTLS-Verschlüsselung als „notwendiger Baustein zur Absicherung elektronischer Kommunikation“. Gleichzeitig aber weist sie darauf hin, „dass eine STARTTLS-Unterstützung keinen Ersatz für eine Ende-zu-Ende-Verschlüsselung darstellt.“ Diese ist zwingend notwendig, wenn personenbezogene Daten elektronisch ausgetauscht werden, beispielsweise Gesundheitsdaten oder auch Personalakten.

Initiativen für vertrauliche Kommunikation – lobenswert, aber der Teufel steckt im Detail

Ein Beispiel für eine Initiative, die allen Bürgern sichere Kommunikation ermöglichen möchte, ist die De-Mail. Im April letzten Jahres ergänzten die Entwickler das Konzept sogar um die Ende-zu-Ende-Verschlüsselung auf Basis von PGP. Allerdings dürfte die De-Mail kaum das richtige Konzept sein, um eine „E-Mail-Verschlüsselung für alle“ anzubieten. Denn auch eine nachträglich hinzugefügte Ende-zu-Ende-Verschlüsselung hebt nicht die Konstruktionsfehler der ersten Stunde auf. Das ist vor allem die mangelnde Kompatibilität mit Standard-E-Mail-Verfahren. Auch steht der geschlossene Nutzerkreis, der auf in Deutschland registrierte Anwender beschränkt ist, einem flächendeckenden Einsatz entgegen.
Da hilft auch nicht, dass weitere Mängel in Bezug auf die Umsetzung der Verschlüsselung theoretisch behoben werden könnten. Dazu gehört beispielsweise die hohe Komplexität durch fehlende, providerübergreifende und sichere Verfahren für die Schlüsselverwaltung und -verteilung ebenso wie das fehlende Verzeichnis für die Schlüssel. So muss der Benutzer bei jedem neuen Kommunikationspartner zuerst den öffentlichen Schlüssel in Erfahrung bringen. Es fehlt ein öffentliches, transparentes Schlüsselverzeichnis oder eine Lösung, welche die Schlüsselverwaltung im Hintergrund für den Nutzer übernimmt.

Einen deutlich besseren Ansatz verfolgt die so genannte Volksverschlüsselung des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Zusammenarbeit mit der Telekom. Die „Volksverschlüsselungs-App“ erzeugt die kryptografischen Schlüssel über eine zentrale Infrastruktur auf dem Endgerät, mit dem die Mail versendet wird. Damit bleibt der private Schlüssel in den Händen des Nutzers. Laut Telekom soll die Volksverschlüsselung über ein Hochsicherheits-Rechenzentrum erfolgen. Ziel ist, noch in diesem Quartal die optionale und kostenlose Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand anzubieten.

Eine weitere vielversprechende Initiative, die insbesondere die E-Mail-Verschlüsselung bei Privatanwendern adressiert, ist die Einführung von E-Mail-Verschlüsselung durch Web.de und GMX . Und das, obwohl beide Dienste interessanterweise auch De-Mail anbieten. Der Ansatz basiert auf PGP und führt damit schon weiter als die oben erwähnte TLS-Verschlüsselung von Googles Gmail. Da auf diesem Weg nach Angaben des Providers 1&1 rund 30 Millionen Nutzer ihre Nachrichten abhörsicher verschlüsseln können, ist dieser Vorstoß tatsächlich ein großer Schritt in Richtung „E-Mail-Verschlüsselung für alle“.

Fazit

Die oben genannten Angebote zeigen: Die ersten wichtigen Schritte in Richtung „E-Mail-Verschlüsselung für alle“ sind gemacht, auch wenn es noch einige Hindernisse zu überwinden gilt. Dennoch empfiehlt sich für Unternehmen eine professionelle Lösung. Denn während Privatanwender die Schritte zur konsequenten Ende-zu-Ende-Verschlüsselung oft noch manuell einstellen müssen, erfolgt diese bei Business-Anwendungen in der Regel automatisch. (bw)

PC-WELT Marktplatz

2176384