Die kleine Reihe IT-Sicherheit: Verschlüsselung Teil 4
Die Tücken und Hürden der E-Mailverschlüsselung
In Teil zwei und drei dieser Kleinen Reihe haben wir Euch die beiden populärsten E-Mailverschlüsselungsstandards nähergebracht. Eine Frage hält sich wacker: Wieso wird E-Mailverschlüsselung in Unternehmen nicht als Standard angesehen?
Die Antwort liegt am ehesten in der schwierigen technischen Umsetzbarkeit. Preislich stellt eine solche E-Mailverschlüsselung und -signierung in den seltensten Fällen eine Hürde dar. Der administrative Aufwand dahinter, die Erstkonfiguration, die Pflege und Verwaltung, sowie die Schulung von Mitarbeitenden sind jedoch schon eine größere Herausforderung. Einige Unternehmen ruhen sich zudem darauf aus, Transport Layer Security (TLS) als Sicherheitsmaßnahme einzusetzen. TLS erhöht zwar die Sicherheit von E-Mails, ist aber eben kein vergleichbarer Schutz wie beispielsweise PGP, da diese Methode eben nicht den Inhalt von Ende-zu-Ende absichert, sondern lediglich, wie der Name schon sagt, den Transportweg.
Schwierigkeiten innerhalb des Unternehmens
Egal ob man sich nun auf S/MIME oder PGP fokussiert, beide Varianten haben ihre komplexen Strukturen, die technisch umgesetzt werden müssen – teilweise für jeden Nutzenden innerhalb eines Firmennetzes. Auch die Erneuerung der ausgestellten Zertifikate muss organisatorisch begleitet werden. Nicht nur muss man sich bemühen, stetig die Ablaufdaten im Blick zu behalten, nein auch die Einbindung der neuen Zertifikate stellt erneuten Zusatzaufwand dar. So nehmen viele Anwendenden ohne IT-, Datenschutz- oder Informationssicherheitshintergrund die Bereitstellung von Zertifikaten und Schlüsseln bereits als „unnötigen“ Zusatzaufwand wahr.
Schwierigkeiten bei der externen Kommunikation
Selbst wenn Unternehmen oder auch nur die Geschäftsführung bzw. IT-Abteilung auf der Implementierung von Verschlüsslungsmöglichkeiten bestehen, findet externe Kommunikation häufig auch mit Kommunikationspartnern statt, die keine Verschlüsselung verwenden. Dadurch ist die obligatorische Verwendung von Verschlüsselung nicht möglich. Doch selbst wenn alle Kommunikationspartner verschlüsseln wollen, kommt es immer wieder zu Fallstricken. Dass der Austausch von PGP- Schlüsseln entweder nicht sicher oder nicht einfach geht, haben wir Ihnen schon im letzten Teil der Kleinen Reihe dargestellt. Ein Austausch bzw. eine Überprüfung des ausgetauschten Schlüssels auf einem anderen Weg als über E-Mail scheint vielen zu umständlich. Bei S/MIME wird das Zertifikat durch die CAs (Digital certificates of authenticity) ausgestellt und ist somit schon deutlich fälschungssicherer als die frei erstellbaren PGP-Schlüssel. Trotzdem ist das Einbinden der richtigen Zertifikate immer wieder ein Problem, gerade wenn sich das Vorgehen in den Mailclients in einer neuen Version ändert.
Hinzu kommt, dass die beiden Standards leider nicht kompatibel sind. D.h. dass ein Unternehmen, das Verschlüsselung konsequent umgesetzt haben möchte, im Extremfall auch beide Standards bei sich implementieren müsste und die Nutzenden in der Benutzung beider Standards schulen müsste, was verständlicher Weise nie umgesetzt wird. Und auch hier gäbe es noch den Fall, dass gewünschte Kommunikationspartner gar keine verschlüsselten Mails annehmen können und somit trotz Implementierung von zwei Standards wieder unverschlüsselte Nachrichten ausgetauscht werden.
Keine echten Alternativen
Initiativen wie DE-Mail und „E-Mail made in Germany“ sind andere (und im Fall der DE-Mail bereits wieder eingestellte) Konzepte, lösen aber das Problem nicht, und sind für Unternehmen auch nicht gut umzusetzen. Zusätzlich widersprechen sich die beiden Aussagen der De-Mail, dass sie sowohl Ende-zu-Ende verschlüsselt als auch virengeprüft sei. Mindestens der Virenscanner nimmt also Einsicht in den Inhalt der Mail. Die WebAkte ist als Speziallösung für Anwälte grundsätzlich eine gute Idee, hat aber auch ihre Nachteile.
Fazit zum Thema Verschlüsselung: Was bleibt?
Es bleibt zu hoffen, dass gerade im Bereich der E-Mailverschlüsselung und -signierung der technische Fortschritt greift. Dass eventuell neue Standards gefunden werden oder aber die vorhandenen deutlich nutzerfreundlicher, leichter zu administrieren und weniger anfällig für Übeltäter werden. Eine Idee, wie dies gehen kann, lassen Threema, Signal oder auch Whatsapp (die das Signalprotokoll verwenden) erahnen. Hier wird ohne Erstellung oder Austausch von Schlüsseln für den User „unsichtbar“ sehr gut verschlüsselt.
Auch wäre es sehr wünschenswert, wenn die Standards auf Kompatibilität ausgerichtet werden würden, damit alle, die verschlüsseln wollen, dies auch ohne das Einrichten einer zweiten Methode zum gleichen Zweck erreichen können.
Siehe auch:
Die kleine Reihe IT-Sicherheit: Verschlüsselung Teil 1