Hang zum Leichtsinn
Autor/Redakteur: Max Sperber, ftapi/gg
Während das Bundesministerium für Verbraucherschutz die Ende-zu-Ende-Verschlüsselung für E-Mail-Anbieter verpflichtend machen will, hinken mittelständische deutsche Unternehmen in Sachen Internetsicherheit trotz der NSA-Affäre noch weit hinterher. Vor kurzer Zeit erst hat das Bundesministerium für Verbraucherschutz einen großen Schritt hin zu mehr Sicherheit im Netz getan. Man will alle E-Mail-Anbieter dazu verpflichten, Mails in Zukunft Ende-zu-Ende zu verschlüsseln, das Ganze soll sogar in EU-Richtlinien verankert werden. Ein besonders interessanter Aspekt daran: Die Anbieter sollen grundsätzlich alle Mails verschlüsseln, der User kann die Einstellungen jedoch manuell zurückschrauben. Anwender sollen also mehr oder minder zu ihrem Glück gezwungen werden, der Gewissheit, alles für den Schutz der eigenen Privatsphäre getan zu haben. Denn effektivere Maßnahmen als die Ende-zu-Ende-Verschlüsselung existieren momentan nicht. Bei diesem Verfahren werden Text und Daten vor dem Versenden verschlüsselt, bleiben auch während der kritischsten Phase – der Ablage auf dem Server – verschlüsselt und werden dann vom Empfänger mithilfe eines Keys wieder in Klartext umgewandelt. Dass man Privatpersonen zur Sicherheit verdonnern muss, wirkt symptomatisch für den Status Quo der Bevölkerung. Zwar ist durch den NSA-Skandal jedermann über PRISM und Co informiert, aber die Bereitschaft, sich selbst für die eigene Privatsphäre einzusetzen, stagniert.
Der Vorstoß durch die Verbraucherzentrale wirkt sinnvoll, auch wenn noch keine Details über die genaue Handhabung bekannt sind. Offensichtlich denken einige Politiker langsam um, erkennen den Wert von Datensicherheit – oder zumindest wie öffentlichkeitswirksam es sein kann, sich dafür auszusprechen. Möglicherweise hat auch öffentlicher Druck durch Fachverbände wie den Chaos Computer Club (CCC) eine Rolle gespielt. Der hatte sich kurz zuvor in einer Stellungnahme für “Sicherheitssysteme mit Ende-zu-Ende-Verschlüsselung als Standard” ausgesprochen. Schon vergangenes Jahr kämpften die Nerd-Vorreiter gegen Scheinsicherheit im Mail-Verkehr. Große Anbieter wie die Telekom oder Gmx hatten sich mit dem Slogan “E-Mail made in Germany” selbst ein vermeintliches Prädikat verpasst, das Sicherheit suggerieren sollte. Tatsächlich war die Aktion allerdings nur ein als Revolution getarnter Marketing-Gag, denn die so wichtige verschlüsselte Ablage der Daten wurde keineswegs gewährleistet. Man hat den Nutzern also falsche Tatsachen vorgespielt, der CCC geißelte die PR-Aktion als “Sommermärchen”. Seine Mitglieder empfehlen eine Verschlüsselung mit Hilfe von PGP oder S/MIME.
