Pressemitteilung

Informatiker fordern erneut sichere und einfach anwendbare Verschlüsselungsverfahren für E-Mails

Der Zugang zu geeigneten Schlüsseln, zu den zugehörigen Sicherheits-Zertifikaten und zu einfach zu bedienenden Werkzeugen ist nach Ansicht des Präsidiumsarbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) Voraussetzung für eine breite Akzeptanz von Verschlüsselungslösungen. Neben einfach zu bedienenden technischen Lösungen ist eine Kampagne nötig, um eine großflächige Einführung entsprechender Verschlüsselungsverfahren zu befördern. Eine flächendeckende Verschlüsselung verbessert nicht nur die Privatsphäre jedes Einzelnen, sondern verhindert auch Spionage bei unseren Wirtschaftsunternehmen.

Ziel muss eine technische Lösung sein, die von Jedermann ohne großen Aufwand und ohne Kosten verwendet werden kann, um mit Kommunikationspartnern Ende-zu-Ende verschlüsselte E-Mail auszutauschen.

Der Arbeitskreis begrüßt ausdrücklich die Initiative der Bundesregierung, im Forschungsrahmenprogramm für IT-Sicherheit auch die Verschlüsselungstechnik zu fördern.

Allerdings sieht er mit Sorge, dass die derzeit verfügbaren Lösungen für eine Ende-zu-Ende-Verschlüsselung von E-Mail erhebliche Mängel aufweisen, die ihre Nutzung durch weniger techniknahe Personen effektiv verhindern. Inkompatibilitäten, unvollständige und wenig intuitive Bedienoberflächen und hoher Aufwand bei der Schlüsselerzeugung und ‐verteilung erfordern derzeit für ihre Benutzung einen erheblichen Einarbeitungsaufwand und komplizierte Bedienvorgänge.

„Wir appellieren deshalb an die Bundesregierung, im vorgesehenen Forschungsrahmenprogramm für IT-Sicherheit Mittel für eine Weiterentwicklung der Software für eine einfache, kostenlose und von allen Benutzern verwendbare Ende-zu-Ende-Verschlüsselung von E-Mail bereitzustellen“, sagte Prof. Dr. Hartmut Pohl, Sprecher des GI-Arbeitskreises „Datenschutz und IT-Sicherheit“. Die Bundesregierung, staatliche Stellen oder Stiftungen seien hier deshalb die richtigen Ansprechpartner, da Privatunternehmen für die Etablierung von Infrastruktur-Lösungen typischerweise keine Geschäftsmodelle finden. Dabei ist insbesondere auf folgende Aspekte zu achten:

  • Die Software ist vollständig unter Open-Source-Lizenz zu halten, um eine unabhängige Kontrolle der Qualität und insbesondere der Sicherheitsqualität (keine Hintertüren!) zu ermöglichen. Nur so lässt sich das notwendige Vertrauen in diese Verschlüsselungskomponente sicherstellen. Die eingesetzten kryptographischen Verfahren müssen dem jeweils aktuellen Stand der Technik entsprechen und eine hohe Qualität besitzen. Dies gilt insbesondere für die eingesetzten Zufallszahlengeneratoren.
  • Es sind Ressourcen bereitzustellen, um regelmäßige Überprüfungen des Quellcodes durchzuführen und zu veröffentlichen, beispielsweise durch das BSI in Kooperation mit einer Hochschule. Nur so kann Vertrauen geschaffen und aufrecht erhalten werden, dass es keine versteckten Hintertüren gibt.
  • Es ist sicherzustellen, dass die beiden Standardverfahren S/MIME (gemäß RFC 2311-2315) und OpenPGP (RFC 2440, 3156, 4880) von den gängigen E-Mail-Systemen auf allen Betriebssystemen für PCs und Smartphones unterstützt werden. Dabei sind die Komponenten so zu entwickeln und zu pflegen, dass sie einfach und konsistent (interoperabel) genutzt werden können. Zu unterstützen sind dabei sowohl die verbreitetsten E-Mail-Clients als auch Browser-basierte E-Mail.
  • Die Erzeugung und Verteilung von Schlüsseln muss für die Benutzer einfach und konsistent möglich sein. Dabei ist eine adäquate Vertrauenswürdigkeit der öffentlich verfügbaren Schlüssel durch einfache Bereitstellung geeigneter Zertifikate zu gewährleisten. Auffinden und Abruf der öffentlichen Schlüssel von Kommunikationspartnern muss automatisch und für den Benutzer transparent erfolgen und sollte nach Möglichkeit auf schon vorhandenen Infrastrukturkomponenten wie DNS basieren und, wo vorhanden, Zugriff auf existierende Zertifikatsspeicher (Schlüsselserver, PKI) erlauben.
  • Optimal wäre eine 1-Klick-Installation aus dem Mailclient heraus, so dass ein neuer Benutzer sofort eine sichere Verschlüsselung hat, die trotzdem bei Bedarf und auch nachvollziehbar im Anschluss jeden Schritt erläutern kann.
  • Es sind Komponenten zu entwickeln, die einen einfachen und gesicherten Austausch öffentlicher Schlüssel / Zertifikate zwischen unterschiedlichen Geräten (z.B. zwischen PCs mit verschiedenen Betriebssystemen und zwischen PCs und Mobilgeräten) ermöglichen. Für Endgeräte ohne gesicherten Schlüsselspeicher ist die Möglichkeit der gesicherten Ablage privater Schlüssel im Netz zu vorzusehen.
  • Hersteller anderer gesicherter E-Mail-Systeme wie etwa E-Post und De-Mail sind dazu zu motivieren, ihre Produkte so zu erweitern, dass sie sowohl mit S/MIME als auch mit OpenPGP interoperabel werden und eine schon vorhandene lokale Nutzung von S/MIME und/oder OpenPGP möglichst nahtlos integrieren.

Vorarbeiten und native Erweiterungen sind in Deutschland schon vorhanden und müssten in einem Gesamtprojekt von kompetenter Hand zusammengeführt und nachhaltig unterstützt werden. Auch die Erfahrungen aus europäischen Großunternehmen, die ihre E-Mail-Infrastruktur schon hochautomatisiert und bedienbar gestaltet haben, sollten hier einfließen.

Die Gesellschaft für Informatik e.V. (GI) ist eine gemeinnützige Fachgesellschaft zur Förderung der Informatik in all ihren Aspekten und Belangen. Gegründet im Jahr 1969 ist die GI mit ihren heute rund 20.000 Mitgliedern die größte Vertretung von Informatikerinnen und Informatikern im deutschsprachigen Raum. Die Mitglieder der GI kommen aus Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Lehre und Forschung.