Schon seit geraumer Zeit tritt das Open-Source-Projekt „Mailvelope“ an, Ende-zu-Ende-verschlüsselte Kommunikation so einfach wie möglich zu machen. Einige E-Mailanbieter, darunter Posteo und GMX, unterstützen die freie Browsererweiterung und können mit wenigen Klicks OpenPGP-verschlüsselte Mails verschicken und zu empfangen.
Doch die Software kann weit mehr als das: Mit Unterstützung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) lassen sich nun vertrauenswürdige Formulare auf Webseiten aufsetzen. Damit gelingt die sichere Übertragung vertraulicher Daten, und zwar durchgängig Ende-zu-Ende-verschlüsselt. Das zielt etwa auf Kommunikation mit Arztpraxen ab, denn oftmals gibt es für die sensiblen Gesundheitsinformationen keine vertrauliche, digitale Austauschmöglichkeit.
Widersprüchliche Kryptopolitik der Bundesregierung
Die Aktivitäten der Bonner Behörde verdeutlichen die Widersprüche im Umgang der deutschen Politik mit vertraulicher Kommunikation. Zum einen ist schon im Koalitionsvertrag der Großen Koalition und zuvor in der Digitalen Agenda der letzten Regierung niedergeschrieben, dass Deutschland Verschlüsselungstechnologien vorantreiben und Forschung dazu fördern soll.
Auf der anderen Seite verhält sich vor allem das übergeordnete Bundesinnenministerium so, als würde es etwas ganz anderes wollen: In der letzten Legislatur rief es die sogenannte Zentrale Stelle für Informationstechnik im Sicherheitsbereich – kurz ZITiS – ins Leben. Sie soll unter anderem daran arbeiten, Verschlüsselung zu brechen. In der aktuellen Regierung bringt Innenminister Horst Seehofer (CSU) immer neue Vorschläge, etwa den Staatstrojanereinsatz auszuweiten – was wiederum die IT-Sicherheit für alle schwächen würde.
BSI verbessert unter der Haube
Seit Anfang 2018 greift das BSI dem Open-Source-Projekt Mailvelope unter die Arme. Erklärtes Ziel der Behörde ist es, die „Installation, Konfiguration und Anwendung von Ende-zu-Ende-Verschlüsselung deutlich nutzerfreundlicher zu gestalten und damit eine größere Verbreitung von Verschlüsselung beim E-Mail- und Formular-Austausch zu erreichen“. Die Bonner Behörde hat vor allem unter der Haube zu Verbesserungen beigetragen und etwa eine verwendete Kryptographie-Bibliothek erweitert und die Schlüsselverwaltung vereinfacht.
Zugleich hat das Berliner IT-Sicherheitsunternehmen SEC Consult im Auftrag des BSI ein umfangreiches Audit der Software durchgeführt. Überprüft wurde dabei unter anderem die Umsetzung der kryptographischen Verfahren.
Probleme seien „direkt im Anschluss an die Entwicklung erkannt und vor der Freigabe im Rahmen des Koordinierten Schwachstellenmanagements mit den Entwicklern erfolgreich gelöst“ worden, gab das BSI in einer Pressemitteilung bekannt. Ebenfalls überprüft wurde, ob sich nicht möglichweise Routinen in der Software befinden, mit denen sich Nutzer überwachen oder deren private Daten kompromittieren lassen.
„Mehr Verschlüsselung bedeutet mehr Privatsphäre in der Kommunikation“, sagt BSI-Präsident Arne Schönbohm. „Dies sollte kein nice-to-have, sondern ein absolutes must-have sein. Unser Ziel als Cyber-Sicherheitsbehörde ist es deshalb, Verbraucherinnen und Verbrauchern einfach anwendbare Lösungen an die Hand zu geben, mit denen sie ihre Privatsphäre besser schützen können“.
Die Widersprüche findet man nicht nur in der Politik, sondern auch im Organigramm des BSI. Insofern gibt es keine Widersprüche sondern Abhängigkeiten.
Könnte man diese Ausgaben – und weitere im InfoSec-Bereich – eigentlich als Rüstungsausgaben im Sinne der NATO deklarieren?
Aktuell wird viel über die „zu niedrigen“ Militärausgaben in DE diskutiert und mit der „benötigten“ Aufstockung von ca. 0,6% des BIP ließe sich viel Verschlüsselung erforschen oder sichere Systeme im öffentlichen Sektor aufbauen (Stichwort Energieversorger und Bahn).
Wären das nicht im Endeffekt Verteidigungsausgaben gegen (ausländsche) Hacker?
Vor allem sollte über eine sinnvolle Altenative zu bisherigen Keyservern nachgedacht werden, die das problematische Signieren von Schlüsseln durch Dritte unterbindet. Dazu ist die Zusammenarbeit aller Email-Provider gefragt. https://mailbox.org/de/post/der-keyserver-ist-tot-es-lebe-der-keyserver