Seit den Snowden-Enthüllungen ist das Bedürfnis nach Schutz vor Überwachung gestiegen. Größtes Manko von Krypto-Software ist bislang die komplizierte Nutzung. Das könnte sich in diesem Jahr ändern: Unternehmen und Behörden wollen die Sache einfacher machen.
Jeden Tag werden in Deutschland 1,4 Milliarden E-Mails verschickt, fast alle unverschlüsselt und damit so offen lesbar wie eine Postkarte. Die De-Mail sollte die Inhalte persönlicher E-Mails verriegeln, hat sich in drei Jahren aber bislang nicht durchgesetzt - zu teuer und nach Expertenmeinung nicht sicher genug. Jetzt arbeiten die Webmail-Anbieter Web.de und GMX an einem neuen Verfahren zur Integration der Verschlüsselung in ihre Angebote.
"Es ist unser Ziel, 2015 die Ende-zu-Ende-Verschlüsselung massenmarktfähig zu machen", sagt der Geschäftsführer der zur United-Internet-Gruppe gehörenden Webmail-Dienste, Jan Oetjen, im Gespräch mit der Deutschen Presse-Agentur. "Es wird eine große Herausforderung sein, Dienste mit einer einfachen Nutzung dafür anzubieten." Details des geplanten Angebots sind noch nicht bekannt.
Jan Oetjen ist bei United Internet für die Webmail-Dienste verantwortlich. Foto: 1&1
Die meistverwendete Verschlüsselungstechnik für E-Mail ist PGP - das steht für "Pretty Good Privacy" (Ziemlich gute Privatsphäre). Dieses Programm gibt es schon seit 1991. Der US-Entwickler Phil Zimmermann verfolgte damals das heute besonders aktuelle Ziel, den elektronischen Versand persönlicher Mitteilungen so zu ermöglichen, dass Geheimdienste nicht mitlesen können.
Allerdings ist das bis heute ziemlich kompliziert. Die Nutzer müssen zuerst die PGP-Software installieren und ihr E-Mail-Programm dafür einrichten. Die größte Hürde aber ist es, auch die E-Mail-Partner dazu zu bringen. Denn die Mail-Verschlüsselung funktioniert nur, wenn beide Gesprächspartner die Technik nutzen. Der Kern davon ist ein Schlüsselpaar: Der private Schlüssel wird an einem sicheren Ort aufbewahrt, den öffentlichen Schlüssel verwenden die Empfänger der mit dem privaten Schlüssel kodierten Texte, um den Zeichensalat wieder lesbar zu machen.
"PGP ist die einzige Möglichkeit für sichere Mail-Kommunikation", sagt der Experte der Fachzeitschrift "c't", Holger Bleich, um sofort einzuschränken: "Aber nur, wenn der Schlüssel auch sicher verwahrt wird." Auf eine mögliche Aufbewahrung in der Cloud, also in einem Internet-Rechenzentrum, treffe das nicht zu. Es bleibe abzuwarten, wie die Webmail-Dienste das technisch lösen wollten. "Wenn der Schlüssel nicht vom Nutzer selbst verwaltet wird oder der Nutzer ihn aus der Hand gibt, halte ich wenig davon." Die Technik sicher einzusetzen sei stets mit einem Aufwand verbunden, der viele Mail-Nutzer abschrecke.
Dies sei das große Manko im Einsatz von Verschlüsselungstechnik, heißt es auch im Bundesamt für Sicherheit in der Informationstechnik (BSI). Jeder Schritt in Richtung einer einfacheren Nutzung der PGP-Technik sei zu begrüßen. "Wir wollen das selbst ausweiten und uns noch stärker dafür engagieren, dass für den deutschen Markt solche Lösungen bereitgestellt werden."
Die Lehren aus der NSA-Affäre
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation "Es geht nicht mehr um das Ausspähen der Gegenwart, sondern um einen Einblick in die Zukunft. Das ist der Kern von Prism. Präsident Obama hat schon recht, wenn er sagt, die von Prism gesammelten Daten seien doch für sich genommen recht harmlos. Er verschweigt freilich, dass sich daraus statistische Vorhersagen gewinnen lassen, die viel tiefere, sensiblere Einblicke gewähren. Wenn uns nun der Staat verdächtigt, nicht für das was wir getan haben, sondern für das was wir – durch Big Data vorhersagt – in der Zukunft tun werden, dann drohen wir einen Grundwert zu verlieren, der weit über die informationelle Selbstbestimmung hinausgeht."
Prof. Dr. Gunter Dueck, Autor und ehemaliger CTO bei IBM "Ich glaube, die NSA-Unsicherheitsproblematik ist so ungeheuer übergroß, dass wir uns dann lieber doch gar keine Gedanken darum machen wollen, so wie auch nicht um unser ewiges Leben. Das Problem ist übermächtig. Wir sind so klein. Wir haben Angst, uns damit zu befassen, weil genau das zu einer irrsinnig großen Angst führen müsste. Wir haben, um es mit meinem Wort zu sagen, Überangst."
Oliver Peters, Analyst, Experton Group AG "Lange Zeit sah es so aus, als würden sich die CEOs der großen Diensteanbieter im Internet leise knurrend in ihr Schicksal fügen und den Kampf gegen die Maulkörbe der NSA nur vor Geheimgerichten ausfechten. [...] Insbesondere in Branchen, die große Mengen sensibler Daten von Kunden verwalten, wäre ein Bekanntwerden der Nutzung eines amerikanischen Dienstanbieters der Reputation abträglich. [...] Für die deutschen IT-Dienstleister ist dies eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben."
Dr. Wieland Alge, General Manager, Barracuda Networks "Die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten. Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt."
James Staten, Analyst, Forrester Research "Wir denken, dass die US-Cloud-Provider durch die NSA-Enthüllungen bis 2016 rund 180 Milliarden Dollar weniger verdienen werden. [...] Es ist naiv und gefährlich, zu glauben, dass die NSA-Aktionen einzigartig sind. Fast jede entwickelte Nation auf dem Planeten betreibt einen ähnlichen Aufklärungsdienst [...] So gibt es beispielsweise in Deutschland die G 10-Kommission, die ohne richterliche Weisung Telekommunikationsdaten überwachen darf."
Benedikt Heintel, IT Security Consultant, Altran "Der Skandal um die Spähprogramme hat die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen."
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation "Die NSA profitiert von ihren Datenanalysen, für die sie nun am Pranger steht, deutlich weniger als andere US-Sicherheitsbehörden, über die zurzeit niemand redet. Das sind vor allem die Bundespolizei FBI und die Drogenfahnder von der DEA. [...] Es gibt in der NSA eine starke Fraktion, die erkennt, dass der Kurs der aggressiven Datenspionage mittelfristig die USA als informationstechnologische Macht schwächt. Insbesondere auch die NSA selbst."
Aladin Antic, CIO, KfH Kuratorium für Dialyse und Nierentransplationen e.V. "Eine der Lehren muss sein, dass es Datensicherheit nicht mal nebenbei gibt. Ein mehrstufiges Konzept und die Einrichtung zuständiger Stellen bzw. einer entsprechenden Organisation sind unabdingbar. [...] Generell werden im Bereich der schützenswerten Daten in Zukunft vermehrt andere Gesichtspunkte als heute eine Rolle spielen. Insbesondere die Zugriffssicherheit und risikoadjustierte Speicherkonzepte werden über den Erfolg von Anbietern von IT- Dienstleistern entscheiden. Dies gilt auch für die eingesetzte Software z.B. für die Verschlüsselung. Hier besteht für nationale Anbieter eine echte Chance."
ein nicht genannter IT-Verantwortliche einer großen deutschen Online-Versicherung "Bei uns muss keiner mehr seine Cloud-Konzepte aus der Schublade holen, um sie dem Vorstand vorzulegen. Er kann sie direkt im Papierkorb entsorgen."
Die Enthüllungen von Edward Snowden seit Juni 2013 haben dem privaten Verschlüsseln Auftrieb gegeben und PGP bekannter gemacht. In vielen deutschen Städten gab es "Krypto-Partys", auf denen Teilnehmer ihre persönlichen PGP-Schlüssel erstellten. In Karlsruhe etwa kamen jeweils mehr als 500 Menschen zu den bislang drei Ausgaben der "Anti-Prism-Party". Zurzeit werden weltweit jeden Tag rund 1000 PGP-Schlüssel neu erstellt, doppelt so viele wie vor den Snowden-Enthüllungen.
"Wir haben unterschätzt, wie lange es dauert, bis sich die Ende-zu-Ende-Verschlüsselung in Browsern oder Betriebssystemen durchsetzt", sagt Geschäftsführer Oetjen. Web.de und GMX haben nach seinen Angaben zusammen 34 Millionen Nutzer und liegen damit nicht nur vor T-Online, sondern auch vor US-Anbietern wie Google, Yahoo oder Microsoft. Damit unterscheidet sich der deutsche Markt von Großbritannien, Frankreich, Spanien oder den skandinavischen Ländern, wo nationale Anbieter klar in der Minderheit sind.
Mit der Verbindung von Sicherheit und einfacher Nutzung will der Webmail-Marktführer in Deutschland seine Position weiter stärken: "Datenschutz und Verschlüsselung haben massiv an Brisanz gewonnen", sagt Oetjen. "Das sind die großen Themen, die uns in diesem Jahr beschäftigen." (dpa/tc)