Auf der diesjährigen CeBIT ist IT-Sicherheit eines der Top-Themen gewesen. Schließlich bringen Konzepte wie Industrie 4.0, das Internet der Dinge oder Smart Grids in der Energieerzeugung neue Herausforderungen an die Sicherheit der Daten mit sich. Dazu kommt, das seit Snowdens Enthüllungen über das Ausmaß der Geheimdienstaktivitäten klar ist: Alles, was irgendwie mit dem Netz in Verbindung kommt, ist prinzipiell unsicher.
Any communications that are transmitted over the internet, over any networked line, should be encrypted by default. That’s what last year showed us. – Edward Snowden gegenüber dem Guardian, 2014
Während viele Probleme von der Industrie in Verbindung mit Forschungsinstitutionen angegangen werden müssen, sollten sich auch Privatanwender und Unternehmen fragen, wie sie ihre Kommunikation und ihre Daten schützen wollen. Denn letzten Endes muss jeder selbst aktiv werden. Emails, Instant Messaging und Datentransfers sind standardmäßig nicht geschützt. Die Sicherheit von Google-Diensten und Facebook hängt von spontanen Entscheidungen der Konzernleitung ab.
Technisch ist das Problem gelöst. Es ist nur sehr unhandlich.
Zwei auf der CeBIT präsentierte Verfahren beschäftigen sich vor allem mit der Benutzerfreundlichkeit sicherer Email-Kommunikation. Sowohl die Fraunhofer Gesellschaft als auch ein Berliner Start-Up-Unternehmen präsentieren Lösungen, um relativ einfach verschlüsselte Emails zu versenden. Fraunhofer setzt mit dem Projekt Volksverschlüsselung auf einen Konfigurationsassitenten, Mynigma haben den Emailclient „M“ entwickelt und damit den 2. Platz des Innovationspreises der CeBIT gewonnen.
Denn technisch ist das Problem der verschlüsselten Emailkommunikation eigentlich längst gelöst. Experten gehen davon aus, dass lokale Verschlüsselung ein sicheres Mittel ist, Daten vor unbefugtem Zugriff zu schützen. Denn dann ist es letzten Endes egal, auf welchen Wegen die lokal codierten Nachrichten und Daten durch das Netz gesendet werden, welche Server und Leitungen sie passieren. Selbst wenn sie abgefangen werden, kann niemand etwas mit den Daten anfangen, wenn er nicht den Schlüssel besitzt. Oder in der Lage ist, die Verschlüsselung zu knacken.
Viel wird in diesem Zusammenhang spekuliert über die Kapazitäten des Datenzentrums der NSA in den USA. Aber auch viele Experten gehen davon aus, dass Verschlüsselungsalgorithmen wie AES (der Advanced Encryption Standard) ab einer Stärke von 128 Bit selbst von der NSA nicht geknackt werden können. Und selbst wenn es möglich wäre, eine einzelne Nachricht aufzubrechen, ist es mit derzeitigen Rechenleistungen unmöglich, die gesamte Kommunikation etwa eines Landes zu überwachen.
Der Algorithmus AES-256 gilt als ungebrochen. Die kriegen sie nicht auf, diese Mail. Verschlüsselung ist nach wie vor die sicherste Methode, sich gegen Abhören zu schützen. – Michael Herfert, Leiter des Projekts Volksverschlüsselung am Fraunhofer SIT
Wie aber kommt der Schlüssel sicher zum Empfänger? Das sogenannte Schlüsselverteilungsproblem macht verschlüsselte Kommunikation wesentlich komplizierter als das Verschlüsseln lokaler Daten. Denn wer den Schlüssel aus der Hand gibt, der gibt auch die Kontrolle aus der Hand. Deswegen wird in der Emailverschlüsselung fast immer mit einer asymmetrischen Verschlüsselung gearbeitet. Dabei werden Schlüssel als Paare erstellt: Ein privater Schlüssel verbleibt lokal beim Nutzer, ein öffentlicher Schlüssel kann jedem anvertraut werden. Denn der öffentliche Schlüssel kann nur verschlüsseln, nicht aber die Nachricht wieder entschlüsseln. Er funktioniert nur in eine Richtung.
Schlüsselserver: Die Telefonbücher der sicheren Emailkommunikation
Den öffentlichen Schlüssel kann der Nutzer selbst an Kommunikationspartner verschicken. Oder ihn auf einen Schlüsselserver hochladen. Dort werden ähnlich wie in einem Telefonbuch öffentliche Schlüssel und die dazugehörigen Emailadressen von Nutzern verzeichnet. Die Fraunhofer-Gesellschaft stellt einen solchen Server zur Verfügung. Außerdem kann sie die Schlüssel zertifizieren, das heißt beglaubigen, dass ein Schlüsseleintrag tatsächlich einem bestimmten Bürger gehört und nicht ein anderer versucht, unter dessen Namen vertrauliche Informationen zu empfangen. Dazu gleicht sie dessen Daten mit denen seines digitalen Personalausweises ab.
Außer den Schlüsseln braucht der Nutzer aber auch eine Software, um Emails zu verschlüsseln. Da gibt es bereits verschiedene Verfahren und Standards und auch Programme. Aber die ganze Einrichtung, von der Schlüsselerzeugung über das lokale Schlüsselmanagement der öffentlichen Schlüssel möglicher Empfänger bis hin zur Frage, ob Anhänge nun einzeln oder getrennt verschlüsselt werden sollen, schrecken viele Nutzer ab.
Verschlüsselung soll so einfach werden, dass es zum Standard wird
Das möchte das Fraunhofer Institut für sichere Informationstechnologie mit dem Projekt Volksverschlüsselung ändern. Die Volksverschlüsselung ist ein Programm, das die Engeräte der Nutzer vollautomatisch für die verschlüsselte Kommunikation vorbereitet. Allerdings muss der Nutzer sich dazu durchringen, einen Emailclient auf seinem Gerät zu installieren. Wer Emails über Webportale in Browserfenstern versendet, für den werden Emails bis auf weiteres nicht sicher sein.
Verschlüsselung soll so zum Standard im digitalen Informationsaustausch werden. Das ist prinzipiell auch vom Gesetzgeber vorgesehen. Der Artikel 10 des Grundgesetzes etabliert das Brief-, Post- und Fernmeldegeheimnis als unverletzlich. Zwar ist der Artikel 10 GG bereits im zweiten Absatz eingeschränkt: Unter bestimmten Vorbedingungen kann ein Gesetz das Briefgeheimnis aufheben. Zum Beispiel um dem Nachrichtendienst Zugang zu Informationen zu verschaffen. Aber grundsätzlich sieht die deutsche Verfassung das Briefgeheimnis als demokratisch notwendig an.
Auch einfache Software gibt es bereits. Es bekommt bloß niemand mit.
In den vergangenen Jahren gab es immer wieder Vorstöße der Regierung, Bürgern und Unternehmen die verschlüsselte Kommunikation zu erleichtern. Bereits 2006, also sechs Jahre vor den Enthüllungen Edward Snowdens, gab das Bundesamt für Sicherheit in der Informationstechnik Gpg4win in Auftrag. Die Software erweitert Outlook zur Verschlüsselung, enthält außerdem einen eigenen Emailclient, zwei Zertifikatsmanager und ein Kompendium zu den Grundlagen der Kryptografie. Zwar wurde die Software von IT-Unternehmen entwickelt, dennoch ist sie kostenlos und der Quellcode ist offen.
Von dem Programmpaket dürften aber nicht viele Nutzer überhaupt erfahren haben. Die Volksverschlüsselung von Fraunhofer muss also nicht nur wirklich komfortabel funktionieren. Sie muss vor allem wirklich ans Volk gebracht werden. Alleine wird Fraunhofer das nicht leisten können. Dazu werden Kooperationspartner nötig sein. Die sucht die Forschergemeinschaft derzeit aber noch.
Redaktion: Mike Sattler