PRESSEMITTEILUNG TeleTrusT – Bundesverband IT-Sicherheit e.V.

Das ewige Mauerblümchen

E-Mail-Verschlüsselung bleibt die Ausnahme – für immer?

Die Verschlüsselung (und bis zu einem gewissen Grad auch Signatur) von E-Mails ist noch immer nicht in der Sicherheitskultur von Organisationen und Anwendern verwurzelt – sie bleibt vergessen bis unbeliebt und fristet bestenfalls ein eher kümmerliches Nischendasein. Die hat verschiedene Verbände, Unternehmen und Experten gefragt, warum das so ist und wie es sich ändern könnte.

E-Mail und Verschlüsselung scheinen wie die sprichwörtlichen Königskinder zu sein, die nicht zueinander finden – es bleibt zu hoffen, dass das nicht letztlich, wie in der entsprechenden Volks-Ballade, zu ihrem Untergang führen wird. Es ist eine auf den ersten Blick paradoxe Situation: Niemand ist (zumindest offiziell) zufrieden mit dem Status quo, die Verfahren sind alles andere als neu und die Risiken weithin anerkannt. Liegt es wirklich nur an der viel gerügten Usability, dass die beiden Basistechniken kaum einmal gemeinsam zum Einsatz kommen? Die hat hierzu bei verschiedenen Institutionen, Anbietern und Experten nachgehakt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont die Bedeutung vertrauenswürdiger technischer Sicherheitsmechanismen: „Aus informationstechnischer Sicht ist insbesondere die Entwicklung, Bereitstellung und durchgängige Anwendung vertrauenswürdiger Krypto- und Cyber-Technologie für Unternehmen, Verwaltung und Bürger von entscheidender Bedeutung, um die aus der kritischen Gefährdungslage resultierenden Risiken zu minimieren. Auch die von der Bundesregierung beschlossene ‚Digitale Agenda‘ gibt das Ziel aus, Deutschland zum ‚Verschlüsselungsstandort Nr. 1‘ zu machen – zum Schutz der Bürger, der Wirtschaft und der Verwaltung.“ An diesem Ziel halte das BSI fest und treibe den Einsatz von Verschlüsselungslösungen uneingeschränkt voran: „Wir empfehlen Bürgerinnen und Bürgern ebenso wie Wirtschaftsunternehmen, zum Schutz der Privatsphäre beziehungsweise geschäftlich relevanter Informationen Verschlüsselung einzusetzen.“

Bedeutung und Status quo

Thomas Uhlemann, Security Specialist DACH bei ESET Deutschland, sieht zwar seit zwei bis drei Jahren einen deutlichen Trend: „Sowohl digitale Signaturen als auch die Verschlüsselung wandeln sich vom ‚ultimativen Schutz‘ zum absolut notwendigen Mindestmaß an Schutzniveau für E-Mail-Kommunikation.“ Dennoch finde die überwältigende Mehrheit dieser Kommunikation ungeschützt im Klartext statt: „E-Mails sind das letzte ungesicherte digitale Kommunikationsmedium. Wenn man bedenkt, welche Informationen darüber ausgetauscht werden und dass Cyberkriminelle diesen Kanal als Haupteinfallstor für erfolgreiche Angriffe benutzen, ist die aktuelle Situation verheerend. Es ist unverantwortlich, dass weder Verschlüsselung noch wenigstens digitale Signaturen als Standard etabliert und flächendeckend umgesetzt sind.“

„Die in aller Regel unterlassene Inhaltsverschlüsselung bei der Übermittlung vertraulicher Informationen muss als grob fahrlässig eingestuft werden“, unterstreicht auch der Bundesverband IT-Sicherheit e. V. (TeleTrusT), für den uns Peter Hansemann als Leiter des AK „Mail Security“ und Oliver Dehning als Leiter der AG „Cloud Security“ konsolidierte Antworten gegeben haben. „Es gibt zunehmend Angriffe, bei denen E-Mail-Inhalte gezielt verändert werden. Das würde durch Verschlüsselung auf Nachrichtenebene wirksam verhindert. Der Anteil verschlüsselter Nachrichten am weltweiten Gesamtaufkommen von E-Mails ist statistisch aber praktisch irrelevant (weit unter 1 %). Auch wenn man berücksichtigt, dass viele E-Mails mit belanglosem Inhalt verschickt werden, folgt unmittelbar, dass der weit überwiegende Teil von E-Mails mit wichtigen Inhalten nicht auf Nachrichtenebene verschlüsselt wird.“

Positive Anstöße sind durch ein gewachsenes Bewusstsein für den Datenschutz durch die DSGVO zu beobachten, sagt Stefan Cink, Business Unit Manager NoSpamProxy: „Die Bedeutung und Verbreitung der E-Mail-Verschlüsselung auf Nachrichtenebene – als Ergänzung zu der mehr oder weniger zuverlässigen Verschlüsselung während des Transports – ist deutlich gestiegen. Die DSGVO ist in diesem Punkt sehr klar: Wer personenbezogene Daten unverschlüsselt per E-Mail kommuniziert, agiert nicht auf dem aktuellen Stand der Technik und damit fahrlässig.“

Doch „auch der Datenschutz hat seine Lieblingsthemen“, wirft Prof. Bernhard Esslinger von der Uni Siegen ein, „und betrachtet eher die zugehörigen Prozesse in Organisationen und Informationsmeldungen auf Webseiten statt explizit Lösungen mitzufinanzieren und auch Verschlüsselung konkret zu verlangen. Ich kann nicht verstehen, dass Steuerberater und der Gesundheitsbereich unverschlüsselte E-Mails (oder Faxe) nutzen und dass das nicht als Verstoß gewertet wird. Große Firmen oder große Presseorganisationen wie Spiegel und heise beherrschen sichere E-Mail – Mittelstand, Steuerberater, Arztpraxen und Endanwender nutzen hingegen kaum Verschlüsselung und Signaturen. Solange es keine klare gesetzliche Pflicht gibt, wird sich das nicht ändern.“

„Aus Sicherheitssicht ist die Ende-zu-Ende-Verschlüsselung heutzutage ein Muss. Cyberkriminelle haben ihre Fähigkeit zum Abhören und Abfangen digitaler Kommunikation verbessert. Aufgrund der Nutzung von E-Mail als das De-facto-Kommunikationsmittel für viele Organisationen haben Cyberkriminelle viele Möglichkeiten, E-Mail-Gespräche zu belauschen – das macht sie zu einem beliebten Angriffsvektor, um Zugang zu sensiblen und oft wertvollen Daten von Organisationen zu erhalten“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4 und bedauert: „Leider ist es eine Tatsache, dass viele Organisationen nicht genug Zeit und Mühe in ihre Sicherheit investieren, um den Risiken, denen sie ausgesetzt sind, angemessen zu begegnen.“

Mehr als nichts, aber nicht genug

„Die mittlerweile hohe Verbreitung von Transportverschlüsselung hat zwar das Angriffspotenzial auf der Vertraulichkeitsseite etwas reduziert. Moderne digitale Geschäftsprozesse erfordern jedoch eigentlich auch eine sinnvolle Prüfung der Authentizität und Integrität einer Mail“, gibt Thomas Hemker, Security CTO und Cyber Risk Advisor der Guter Hafen Cyber-Sicherheit, zu bedenken. Doch offensichtlich gehe es in der Praxis eben auch ohne gute Security: „Man könnte den Eindruck haben, dass all das fast keine Rolle mehr spielt. Einige Wenige haben eine hohen Reifegrad und verschlüsseln mehr oder weniger automatisiert zumindest interne Mails, aber die Mehrheit hat dieses Thema wohl abgehakt. Netzwerkbasierte verschlüsselte Kommunikation, zumindest zwischen den Mailservern, ist für viele ein pragmatischer ‚Good-enough‘-Ansatz; und mit der zunehmenden Verbreitung anderer Kollaborations- und Messaginglösungen hat sich das Ganze vielleicht auch in gewisser Weise erledigt.“

Einen Trend zu pragmatischen „Lösungen“ sieht auch Prof. Dr. Rainer W. Gerling, Trainer und Berater für Datenschutz und ITSicherheit sowie Honorarprofessor an der Hochschule München: „Man sieht zunehmend ein Bewusstsein für die Verschlüsselung von personenbezogenen E-Mails. Die häufigste Lösung ist jedoch eine verschlüsselte ZIP- oder Office-Datei – und das Passwort wird in einer zweiten E-Mail nachgereicht.“ Selbst dort, wo Dritte Vorarbeit für echte E-Mail-Sicherheit leisten, zeige sich kein einheitliches Bild: „Das Deutsche Forschungsnetz (DFN) ermöglicht allen Hochschulmitgliedern (Beschäftigten und Studierenden) deutschlandweit die kostenlose Erstellung von Zertifikaten, die in allen Umgebungen (Betriebssysteme, Browser) als vertrauenswürdig gelten. Während einige Hochschulen dies intensiv nutzen, verweigern sich andere komplett.“

Stratos Komotoglou, Business Lead Microsoft 365 Security bei Microsoft Deutschland, beobachtet zwar einen gewissen Zuwachs der Verschlüsselungsbereitschaft bei Unternehmen, dennoch geht es nur langsam voran: „So nutzten im Jahr 2018 laut SicherheitsMonitor Mittelstand (www.sicher-im-netz. de/dsin-praxisreport-2018-mittelstandit- sicherheit) nur 20 % der kleinen und mittleren Unternehmen (KMU) eine digitale Signatur oder verschlüsselten E-Mails mit Anhängen – drei Prozentpunkte mehr als zwei Jahre zuvor. Während es normal ist, ein vertrauliches Dokument per Einschreiben zu versenden, werden dieselben Sicherheitsmaßnahmen häufig nicht beim Versand einer E-Mail getroffen. So haben Angreifer oft leichtes Spiel, E-Mails abzufangen, mitzulesen, Inhalte zu manipulieren oder Malware zu installieren.“

Eine mögliche Erklärung für die geringe Investitionsbereitschaft liefert Stefan Vollmer, CTO der TÜV SÜD Sec-IT: „Wenn man sich die aktuelle Bedrohungslage ansieht, handelt es sich meist um Phishing- E-Mails, die als Türöffner dienen sollen. Hier nutzt eine Verschlüsselung von ausgehenden Nachrichten nichts. Signaturen könnten jedoch dem Nutzer oder einem System ermöglichen, Phishing-E-Mails leichter zu erkennen.“ Das Thema der Verschlüsselung sei jedoch komplexer und: „Zudem lässt sich feststellen, dass es doch eines erheblichen Aufwandes bedarf, um E-Mail-Kommunikation heimlich mitzulesen.“

Dem widerspricht Prof. Norbert Pohlmann vom if(is) – Institut für Internet-Sicherheit der Westfälischen Hochschule, Gelsenkirchen: „Die Möglichkeiten, eine E-Mail unerlaubt abzugreifen, sind sehr hoch – die Umsetzung und Nutzung von Ende-zu-Ende-Verschlüsselung ist viel zu gering. Untersuchungen und Befragungen zeigen, dass zurzeit wahrscheinlich weniger als 5 % der E-Mails verschlüsselt werden – mindesten 40 % der E-Mails werden jedoch in Business-Prozessen verwendet.“ Zwar würden deutlich mehr E-Mails signiert (bes. in der Finanzbranche) als verschlüsselt, aber: „Das Problem dabei ist, dass auch hier weniger als 5 % der Empfänger in der Lage sind, eine Verifi kation der Signatur umzusetzen.“

„Aus unserer Sicht spricht alles dafür E-Mails zu signieren und/ oder diese auch zu verschlüsseln“, betont Patrick Ben Koetter, CEO von sys4 und Leiter der Kompetenzgruppen Abuse und E-Mail im eco – Verband der Internetwirtschaft e. V. „Der Wunsch, diese Möglichkeiten im Alltag zu nutzen, ist auf Nutzerseite groß. Aber die Bereitschaft, die vorhandene Technologie einzusetzen ist gering, denn die Verfahren sind als komplex und kompliziert verschrien.“

Systeme und Hindernisse

„S/MIME scheitert am aufwendigen Verfahren, zertifi ziertes Schlüsselmaterial zu erhalten – dafür bietet es aber eine gute und einfache Integration und Nutzung in den gängigen Mailprogrammen. PGP wiederum verfügt über eine vergleichsweise einfache Möglichkeit, Schlüsselmaterial herzustellen. Allerdings ist der Zertifi zierungsprozess für Normalanwender zu komplex und bietet in der Regel zu viel Raum für Missbrauch.“ Auch wenn gerade erste Anfänge dafür erkennbar würden, existiere für (Open)PGP doch noch keine standardmäßige, gute und einfache Integration in gängige Mailprogramme, bedauert Koetter.

„Ende-zu-Ende-Verschlüsselung bei E-Mails ist faktisch nicht vorhanden,“ klagt Holger von Rhein, Managing Consultant bei HiSolutions: „Mangels intuitiver Verwendung in den gängigsten E-Mail- Anwendungen und des schlechten Rufs – hauptsächlich hinsichtlich Benutzbarkeit, aber auch Sicherheit – findet E2E-Verschlüsselung bei E-Mail faktisch keine Akzeptanz. Zudem scheuen viele Organisationen den Aufwand einer Einführung. Sie fürchten auch den Verlust von Historie (Backup), wenn Schlüsselmaterial verloren geht.“ Zudem werde das Einbinden von Spam- und Viren- Scannern komplizierter.

David Fuhr, Head of Research bei HiSolutions ergänzt: „Das Sicherheitsmodell von S/MIME und PGP beruht darauf, auf alte, unsichere Protokolle (POP, IMAP, SMTP) Sicherheitsfunktionen nachträglich aufzupfropfen. Das fällt uns seit einigen Jahren immer wieder auf die Füße, wenn Schwachstellen an der Nahtstelle entdeckt werden, wie etwa Angriffsmöglichkeiten durch Rich- Content in E-Mails oder Mehrdeutigkeiten bei Signaturerzeugung und -prüfung.“ Gerling sieht in bekannt gewordenen Schwachstellen zudem „eine gute Ausrede, sich nicht mit dem Thema beschäftigen zu müssen“. Außerdem sei die Konkurrenz der beiden bekannten Protokolle nicht hilfreich: „Große Hersteller – etwa Microsoft mit Outlook – setzen auf S/MIME, in der öffentlichen Wahrnehmung wird aber OpenPGP gepusht.“ Dass die freie OpenPGPAnwendung GnuPG ebenfalls auch S/MIME unterstütze, sei vielen nicht bewusst.

Für Markus Hofbauer, Pre- Sales Manager DACH bei Thales Deutschland, ist OpenPGP/GPG indessen keine Alternative, da hierbei eine robuste Trust-Infrastruktur fehle. Doch auch S/MIME treffe in Organisationen auf Probleme: „Da häufi g weder eine etablierte und genutzte Public-Key-Infrastructure (PKI) als Grundvoraussetzung vorhanden ist oder andere Basisschutzmaßnahmen ebenfalls noch nicht umgesetzt sind, werden diese in der Regel priorisiert und S/MIME fällt ‚hinten runter‘.“ Ein weiteres Hindernis seien das Credential-Management und die Verwaltung geheimer Schlüssel der Benutzer: „Üblicherweise speichert man diese auf Smartcards, um sie sicher auf Hardware zu speichern. Im Fall eines Verlusts verliert der Benutzer jedoch auch den Zugang zu seinen verschlüsselten E-Mails, wenn kein Backup der Schlüssel vorhanden ist. Hier ist der Einsatz eines Credential- Management-Systems der beste Anwendungsfall, um diese Prozesse automatisiert abzuwickeln.“

Schlüsselprobleme

Ein anderes technikinhärentes Problem ist für Vollmer der erste große Stolperstein: „Aufgrund der asymmetrischen Verschlüsselung muss vor der ersten geschützten Kommunikation ein Schlüsseltausch stattfi nden – dies stellt den Anwender bereits vor Schwierigkeiten. Bedenkt man zusätzlich, dass es unterschiedliche Verfahren, wie PGP oder S/MIME, gibt, kann aus der sicheren Kommunikation schnell ein Fiasko werden. Wie wir alle wissen, gehen Nutzer immer den Weg des geringsten Widerstandes. Das führt dazu, dass Verschlüsselung nur selten benutzt wird.“

TeleTrusT beklagt nicht zuletzt die fehlende kostengünstige Verfügbarkeit von in Deutschland ausgestellten Zertifi katen. Weitere Hemmnisse seien mangelnde Information und tatsächliche Implementierungen technischer Voraussetzungen: Verfügbare Lösungen seien entweder nicht bekannt oder die Einführung werde als kompliziert angesehen.

Cink hört manche Organisationen nach wie vor über das berühmte Henne-Ei-Problem klagen: „Man würde ja gerne verschlüsselt kommunizieren, aber die Masse der Kommunikationspartner verfügt nicht über entsprechende technische Möglichkeiten.“ Dabei gebe es hierfür mittlerweile durchaus praxistaugliche Verfahren wie geschützte PDF-Container. Auch sei die technische Interoperabilität heute dank der starken Standardisierung von S/MIME kein Problem mehr.

„S/MIME ist in Industrie und Wirtschaft von gewisser Bedeutung, wird aber gleichsam nur in abgegrenzten Szenarien eingesetzt“, schätzt Georg Nestmann, Geschäftsführer von comcrypto: „Für größere Nutzerkreise lehnen Unternehmen Ende-zu-Ende-Verschlüsselung zudem aufgrund der hohen Kosten für S/MIME-Zertifikate und wegen des Administrationsaufwands ab.“ Daher sei auch in Zukunft keine großflächige Anwendung von Ende-zu- Ende-Verschlüsselung zu erwarten.

Umwege wie den Nachrichtenversand und Datenaustausch über Web-Portale, verschlüsselte PDF- oder ZIP-Dateien sieht Nestmann nicht als gangbare Alternative, da sie die Kommunikation durch Passwortmanagement und Systembrüche verzögern: „Mehrere solcher Kommunikations- oder Geschäftsbeziehungen werden schnell unübersichtlich. Die Systembrüche erschweren nicht zuletzt auch Archivierungs-, Compliance- und Security- Pflichten in der Empfänger-IT.“

„Weiche“ Faktoren – Wissen, Wahrnehmung und Unwille

„Die Bereitschaft zum Verschlüsseln ist hoch“, glaubt Uhlemann: „Dem gegenüber stehen jedoch unterschiedliche Implementierungen der Technologien und eine oft schwierig umzusetzende Interoperabilität – zumindest nimmt die Zielgruppe dies so wahr. Zudem erscheinen der Markt und die Informationslage unübersichtlich und komplex.“ Als größtes Hindernis sieht er jedoch einen uneinheitlichen Wissenstand: „Alle Entscheider und Nutzer müssen verstehen können, was Verschlüsselung und digitale Signaturen ausmacht – und auch wie man sie bequem umsetzt, sodass die E-Mails beim richtigen Empfänger ankommen und auch gelesen werden können. Der Wildwuchs an Verschlüsselungsverfahren gepaart mit fehlender oder zu technischer Dokumentation helfen hierbei nicht weiter.“

von Rhein betont: „Eine gute E-Mail-Verschlüsselung basiert auf drei Pfeilern: sicherer Software, Mitarbeiter-Schulung (richtiger Verwendung) und Mitarbeiter-Sensibilisierung (Motivation). Schwächelt nur ein Pfeiler, bricht die ganze Konstruktion zusammen.“

„Ende-zu-Ende-Verschlüsselung existiert seit Jahrzehnten, scheitert jedoch meist an der Usability der eingesetzten Lösungen“, mahnt Dr. Yvonne Bernard, Head of Product Management bei Hornetsecurity: „Es kann von keinem Endanwender erwartet werden, dass er manuelle Aufgaben vornimmt oder Mehraufwand beim Senden oder Empfangen von E-Mails in Kauf nimmt – eine aufwendige Verschlüsselung wird trotz aller Compliance-Richtlinien und -Maßnahmen immer unterwandert werden und sich am Ende nicht durchsetzen.“

Entwicklungen und Auswege

Nur was vollautomatisiert passiert, werde auch genutzt, glaubt Bernard. „Gute Produkte übernehmen die Arbeit vollautomatisiert auf Gateway-Ebene: Der Administrator trägt einmalig die gewünschten Regeln für die Verschlüsselung ein und die Security-Lösung übernimmt Umsetzung und Überwachung – der Endbenutzer arbeitet wie bisher gewohnt und ist automatisch geschützt.“

Auch für Cink sind Gateways ein guter Ansatz, da sie drei wesentliche Risiken eliminieren: „Erstens werden Schlüssel statt individuell vom Nutzer nun zentral auf dem Gateway verwaltet. Dadurch ist die Gefahr verlorener Schlüssel und dadurch unlesbarer E-Mails gebannt. Zweitens können entschlüsselte E-Mails hinter dem Gateway noch zentral nach entsprechenden Policies auf Malware untersucht werden und der Schutz ist nicht mehr vom Aktualisierungsstand am Endpoint abhängig. Drittens erlaubt eine gatewaybasierte E-Mail-Verschlüsselung eine zentrale, revisionssichere E-Mail-Archivierung und stellt sicher, dass archivierte Mails immer lesbar sind.“ Um Risiken durch Cyberkriminalität und Spam zu senken, wäre es wünschenswert, dass kurzfristig sämtliche geschäftliche E-Mail-Korrespondenz verschlüsselt erfolgt: „Hier könnten Unternehmen und Wirtschaftsverbände deutlich mehr Druck ausüben – schließlich würden davon alle erheblich profitieren.“

„Die Technologie selbst ist ausgereift und die User-Experience entwickelt sich ständig“, sagt Vollmer. „Nutzer werden die Verschlüsselung von E-Mails aber nur dann verwenden, wenn sie selbst so gut wie nichts davon merken beziehungsweise keine zusätzlichen Schritte unternehmen müssen – sonst wird sie als Unannehmlichkeit wahrgenommen.“ Ein System öffentlicher Adressenlisten könne hier als zentraler Hebel dienen: „Würden sich E-Mail-Provider zusammenschließen, einen gängigen Standard für die Verschlüsselung implementieren und den Nutzer verifizieren (z. B. mithilfe eines Personalausweises), dann könnten diese Provider untereinander wirklich zuverlässig verifizierte, öffentliche Schlüssel austauschen. Damit wäre die Verschlüsselung des E-Mail-Verkehrs gänzlich ohne das Zutun dieser Nutzer möglich.“

Auch Hofbauer sieht in der Verfügbarkeit von Zertifikaten einen wichtigen Punkt: „Let’s Encrypt hat es geschafft den Anteil von TLS-Verkehr im Internet erheblich zu steigern. Vielleicht schafft es eine ähnliche Initiative, S/MIMEZertifikate für Benutzer auszustellen, um so zumindest den Zugang zu den notwendigen vertrauenswürdigen Zertifikaten bereitzustellen und die Verbreitung der Technik zu fördern. Das wiederum könnte den aktuellen Trend und die Idee von ‚Zero Trust‘ bis zum Benutzer bringen.“

Hemker kann sich vorstellen, „dass zukünftig Cloud-Services, die transparentes Schlüssel- und Zertifikatsmanagement anbieten, nicht nur auf der Infrastructure-asa- Service-(IaaS)-Seite, sondern auch bei den Plattformanbietern (z. B. Azure AD) Anwendung finden und so die Nutzung zumindest in diesen Bereichen stark vereinfachen. Bei der Verfahrensfrage wünsche ich mir eigentlich so etwas wie ‚FIDO für Verschlüsselung‘ (vgl. fidoalliance. org). Wir müssen da wohl völlig neu denken und sollten auch bei der Namensgebung der Standards und Spezifikationen schon die Benutzer im Sinn haben – sowas wie ‚X.509‘ fällt dann als Bezeichnung von vornherein durch.“

Einfacher und breiter verfügbar

„Die Schlüsselgenerierung muss für die Nutzer einfacher werden“, fordert auch Gerling. „Ein paar DSGVO-Bußgelder wegen unverschlüsselter E-Mails würden ebenfalls helfen. Solange es niemanden interessiert, ob eine E-Mail verschlüsselt ist, geschieht nichts.“ Darüber hinaus funktioniere E-Mail-Verschlüsselung derzeit kaum oder gar nicht in den meisten Webmail-Oberflächen (OWA, Roundcube, …) – dabei sei die Webmail-Nutzung erstaunlich weit verbreitet (evtl. wg. BYOD?). Um die aktuelle Situation zu verbessern, müsse daher auch „dringend eine Lösung für das Lesen verschlüsselter E-Mails in Webmail-Oberflächen geschaffen werden“.

„Leider verfügen viele Organisationen nicht über das technische Know-how, um eine End-to-End-Verschlüsselung zu implementieren oder aufrechtzuerhalten. Da eine Vielzahl kostenloser und kostengünstiger E-Mail-Dienste zur Verfügung steht, verlassen sich die einsetzenden Unternehmen zu sehr auf die Anbieter“, konstatiert Wieringa. „Die Schaffung von Rechtsvorschriften durch Initiativen wie die der Europäischen Union kann die breite Übernahme von Standards befördern. Wenn jedoch Cybersicherheits- und Cloud- Provider keine leicht umzusetzenden und erschwinglichen Mittel anbieten, werden solche Maßnahmen für viele Organisationen unerreichbar bleiben.“

Uhlemann sieht Anwender und Anbieter gleichermaßen in der Pflicht: „Es liegt zwar an Entscheidern und Nutzern im Unternehmen, Lösungen um- und einzusetzen – das gilt aber auch für Anbieter: Einerseits müssen Awareness und Benutzbarkeit der Verschlüsselungslösungen weiter verbessert werden. Andererseits sollte diese als Standard und nicht mehr als Option implementiert sein.“

Dem stimmen die TeleTrusTExperten zu: „Bei vielen Anbietern ist Verschlüsselung keine Standardfunktion und auch nicht einfach ‚auswählbar‘ – viele Webmailer scheitern zudem bei der Entschlüsselung verschlüsselter E-Mails. Verschlüsselungstechnologie muss zum implementierten Standard in Cloud- und Webservices werden.“ Auf der anderen Seite müsse man aber auch die Sensibilisierung der Anwender und Verantwortlichen in Unternehmen und Organisationen intensivieren: „Eine damit verbundene Initiative zur Bereitstellung von deutschen Zertifikaten würde dem Thema eine zusätzliche Dynamik verleihen – die breite Einigung auf einen einzigen Standard (S/MIME vs. PGP) würde ebenfalls helfen.“

Von Messengerdiensten lernen

„Woran es mangelt, ist vor allem ein umfassendes Vertrauensnetz. S/MIME ist im Prinzip vergleichbar mit HTTPS: Es braucht eine weltumspannende PKI, um zu funktionieren“, erläutert von Rhein. „Was S/MIME dabei aber fehlt, ist ein Mechanismus zum automatischen Schlüsselaustausch. Im Unterschied dazu hat PGP von Anfang an auf eine PKI verzichten wollen, kommt aber ohne einen (dezentralen) Verzeichnisdienst auch nicht wirklich aus – die Idee eines ,Web of Trust’ kann man insgesamt als weitestgehend gescheitert betrachten.“ Und Fuhr befürchtet: „Es ist anzunehmen, dass das System ‚E-Mail‘ diesen Schritt nicht mehr vollenden kann. Die Lösung dürfte darin bestehen, E-Mail Schritt für Schritt durch andere Kommunikationsplattformen zu ersetzen.“

„Wir haben im Bereich der Chat-Systeme wie WhatsApp oder Telegram gesehen, wie leicht und benutzerfreundlich eine Ende-zu- Ende-Verschlüsselung umgesetzt werden kann. Diese Erwartungshaltung müssen wir jetzt auch bei der E-Mail-Anwendung berücksichtigen“, kommentiert Pohlmann. „Alle Stakeholder müssen zusammen die Ende-zu-Ende-Verschlüsselung bei der E-Mail-Anwendung als Ziel definieren, deren Umsetzung beschließen und dann gemeinsam konsequent umsetzen.“

Zustimmung kommt von Koetter: „Die populären Chat-Programme machen vor, wie Signatur (Identität) und Verschlüsselung einfach und transparent für Endanwender bereitgestellt werden können – sie haben von den Fehlern der Ende-zu-Ende-Verschlüsselung in E-Mails gelernt.“

Ohne Sicherheitskultur gehts nicht

„IT-Administratoren stehen in der Verantwortung, vorhandene Verschlüsselungsmethoden im Unternehmen einzuführen. Doch die sicherste Verschlüsselung kann nicht schützen, wenn sie nicht von den Nutzerinnen und Nutzern verwendet wird“, mahnt Komotoglou. „Aus diesem Grund ist es wichtig, den Fokus auf die Aufklärung und Schulung von Mitarbeitern und Privatanwendern zu legen. Das Ziel sollte sein, ein Bewusstsein für Risiken zu schaffen und eine IT-Sicherheitskultur im Unternehmen und in der Gesellschaft zu entwickeln. Um Ende-zu- Ende-Verschlüsselung und digitale Signaturen bei E-Mails zur gängigen Praxis zu machen, braucht es eine Unternehmenskultur, in der wir uns mit aktuellen Bedrohungen und Gefahren auseinandersetzen und stetig weiterbilden. Zudem sollten Unternehmen eine ganzheitliche Sicherheitsstrategie implementieren, die auch konkrete Regeln zum Verschlüsseln von E-Mails aufstellt. Diese muss neben modernen Sicherheitslösungen auch umfassende Weiterbildungsmaßnahmen für die Beschäftigten umfassen.“

Wieringa unterstreicht: „Organisationen arbeiten bereits jetzt daran, starke Sicherheitskulturen zu schaffen.“ Man sei zwar noch nicht am Ziel, es gebe aber Hoffnung: „Ob Geschäftsführung oder andere Endbenutzer – beide sind sich der tatsächlichen Gefahren und Möglichkeiten, denen sie im Laufe ihres digitalen Lebens ausgesetzt sind, immer noch nicht bewusst. Nur wenn diese Grundlagen der Cybersicherheit erfüllt sind, wird die Technologie einen Durchbruch bei der Einführung und Anwendung erleben. Glücklicherweise sind die Sicherheitsbudgets in den letzten Jahren stetig, wenn auch langsam, angestiegen. Wir werden also einer besseren Zukunft entgegensehen.“

Weniger optimistisch gibt sich Nestmann: „Die Verbreitung von Ende-zu-Ende-Verschlüsselung auf der Nachrichtenebene wird weiterhin stagnieren. In absehbarer Zukunft wird deshalb verstärkt darauf geachtet werden müssen, welche Schutzanforderungen tatsächlich zu erfüllen sind und mit welchen Maßnahmen das minimalinvasiv gelingt.“ Dabei brauche man auch eine realistische Bewertung von Datenschutzpflichten, wie es etwa mit der Feststellung der Datenschutzkonferenz erfolgt sei, dass die Aufgabe des Absenders mit der Zustellung einer E-Mail im Posteingangssystem des Empfängers (MX) endet: „Mit der neu definierten ‚qualifizierten Transportverschlüsselung‘ ist folglich in vielen Fällen ein ausreichendes Schutzniveau realisierbar, ohne sich wie bei einer Ende-zu-Ende-Verschlüsselung mit dem Empfänger abstimmen zu müssen“ (vgl. www.bfdi.bund.de/ DE/Infothek/Orientierungshilfen/ Artikel/OH_Daten-per-E-Mail.pdf).

Grundlegendes Umdenken

„Ich sehe leider keine positive Entwicklung für die Zukunft“, bedauert Esslinger. „Die Probleme und notwendigen Entscheidungen sind eigentlich seit 20 Jahren bekannt. Mittel werden eher für ‚Untersuchungen‘ (Papier) und Prototypen (Forschungsdrittmittel) als für konkrete, nachhaltige und dauerhaft gepflegte Produkte aufgewendet. Man bräuchte Mut zur Investition, die Fehlervermeidungskultur in Bundesbehörden sollte verringert, digitale Souveränität konkret und an vielen Stellen umgesetzt werden.“ Dabei müsse man auch akzeptieren, dass Maßnahmen Geld kosten. Dann könnte man etwa transparent zum „Nudging“ greifen und beispielsweise jedem, der digital und verschlüsselt mit Behörden kommuniziert, eine Steuergutschrift zukommen lassen.

Dazu bräuchten Behörden jedoch den Mut und die Bereitschaft, langfristig zu denken: „Dann könnte der Staat investieren und eine kostenlose Infrastruktur bereitstellen – sichere E-Mail-Produkte auf gebräuchlichen Geräten für alle Bürger (so wie bei der Corona-Warn- App), vertrauenswürdige E-Mail- Zertifikate und eine entsprechende Infrastruktur. Doch dazu müsste man sich von der bisher praktizierten Haltung abwenden, dass Behörden produkt- und herstellerneutral sein sollen. Nach einer fairen Evaluation sollte der Staat auch selbst Produkte erstellen oder in einen Anbieter investieren können, der Lösungen für Deutschland und Europa baut.“ Tun wir das nicht, finanzieren wir weiterhin die großen Player aus dem Ausland – das gelte gleichermaßen für sichere E-Mail wie für Messenger, soziale Medien und Videokonferenz- oder Schul-Software et cetera. „Dass Europa so etwas kann, sieht man an Airbus. Hier entschlossen und mit Macht zu investieren, käme langfristig deutlich billiger als jedes Jahr Lizenzkosten für Produkte zu bezahlen. Ohne Mut und Entscheidungen werden wir aber weder zum ‚Verschlüsselungsstandort Nr. 1‘ noch erreichen wir jemals digitale Souveränität“, mahnt Esslinger.

—-

TeleTrusT-Anbieterverzeichnis IT-Sicherheit: https://www.teletrust.de/anbieterverzeichnis