De Maizière lobt Ende-zu-Ende-Verschlüsselung – zu Recht?

Thomas Maizière lobt Ende-zu-Ende-VerschlüsselungEnde-zu-Ende-Verschlüsselung bekommt nach langjähriger Existenz im Untergrund endlich ein Sternchen: Die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“, die unter anderem Bundesinnenminister Thomas de Maizière unterzeichnete, will Deutschland zum „Verschlüsselungs-Standort Nummer 1“ machen. Deshalb lobt de Maizière jetzt die Ende-zu.Ende-Verschlüsselung (Public Key), die bereits seit den 70er Jahren bekannt ist und von IT-Sicherheitsfachleuten seit damals auch eingesetzt wird. Das ist gut so! Nur gibt es noch einiges zu beachten, wenn man über die Wahrung der Privatsphäre diskutiert.

Kompliziertes Schlüsselmanagement

Das Unternehmen 1&1 hatte zum Beispiel Mitte August dieses Jahres Pretty Good Privacy (PGP) als Methode zur Ende-zu´-Ende-Verschlüsselung für Kunden von GMX und Web.de  implementiert. PGP ist ein Programm, um Daten zu verschlüsseln und zu unterschreiben. Nachrichten an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann ausschließlich mittels seines privaten Schlüssels entschlüsselt werden. Diese Verfahren werden auch asymmetrische Verfahren genannt, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden. Sie können allerdings ein kompliziertes Schlüsselmanagement nach sich ziehen, das gerade für Unternehmen einen großen Verwaltungsaufwand bedeutet.

Eine erste Bilanz von 1&1 klingt jedoch positiv, wahrscheinlich deshalb, weil hauptsächlich private Nutzer die beiden eMail-Dienste verwenden: 250.000 Nutzer haben seit August einen PGP-Schlüssel über die Dienste-Portale erstellt, heißt es. Im gleichen Zeitraum sei die Anzahl der international verteilten PGP-Schlüssel nach der Statistik von Sks-Keyservers.net lediglich um rund 90.000 gewachsen. Die starke Vereinfachung zur Nutzung von PGP hätte, so die Angabe des Unternehmens, „eine deutliche Wirkung gezeigt“. Ob das Verfahren sich auch so vereinfachen lässt, dass sich für mittlere bis größere Unternehmen der Aufwand hinsichtlich des Schlüsselmanagements im Rahmen hält, muss erst noch herausgefunden werden.

Verbindungsdaten nicht geschützt

Ein zentraler Punkt, den De Maiziére vergessen hat zu erwähnen, ist, dass auch bei der Ende-zu-Ende-Verschlüsselung immer noch ein winziger Teil der Daten unverschlüsselt vorhanden sein muss, um sie überhaupt verarbeiten zu können: die Verbindungsdaten. Denn sie sagen den Servern erst, wohin die verschlüsselten Dateien geschickt werden müssen. Das bedeutet, dass sich mithilfe von Korrelationsprogrammen schnell herausfinden lässt, wer mit wem wann und wie viel kommuniziert. Was Verbindungsdaten alles verraten, hat im Mai 2015 selbst Forscher an der Stanford Universität überrascht.

De Maizière, die deutsche Bundesregierung und Geheimdienste stört dieses „winzige“ Detail nicht wirklich. Denn es ermöglicht die Vorratsdatenspeicherung. Der Bundesrat stimmte ja gerade erst dem Gesetzesentwurf zur Vorratsdatenspeicherung zu. Wenn Bundespräsident Joachim Gauck diesen Entwurf absegnet, dann werden unter anderem Rufnummern und IP-Adressen zehn Wochen lang gespeichert, Standortdaten von Mobildiensten vier Wochen lang. Von der Vorratsdatenspeicherung sind in diesem Gesetzesentwurf ausdrücklich die Inhalte von eMails ausgeschlossen. Genau die Inhalte, die von der Ende-zu-Ende-Verschlüsselung geschützt werden.