Volksverschlüsselung muss kommen
Gesellschaft für Informatik unterstützt
Initiative des Fraunhofer SIT zur Volksverschlüsselung und fordert mehr
Anstrengungen seitens der Bundesregierung
Bonn/Berlin, 02. Februar 2017 – Die Gesellschaft
für Informatik e.V. (GI) sieht die vom Fraunhofer-Institut für Sichere
Informationstechnologie (SIT) entwickelte Volksverschlüsselung auf dem
richtigen Weg zur flächendeckend sicheren E-Mail. Mit einer Erweiterung
auf Klasse-1-Zertifikate und mit der Anbindung an eine allgemein
akzeptierte Zertifizierungsstelle könnte dieses Ziel bei entsprechender
Unterstützung durch die Bundesregierung auch zügig erreicht werden.
Prof. Dr. Hannes Federrath, Vizepräsident der
Gesellschaft für Informatik und IT-Sicherheitsexperte von der
Universität Hamburg: „Trotz jahrelanger Bemühungen gibt es immer noch
keine einfache Lösung, mit der sich Nutzer vor der massenhaften
Ausforschung ihrer E-Mail-Nachrichten schützen können. Die bisherigen
Lösungsansätze zur Verschlüsselung des E-Mail-Verkehrs sind entweder
nicht benutzerfreundlich oder es handelt sich um Insellösungen, die
nicht mit dem existierenden E-Mail-System kompatibel sind. Daraus
resultieren erhebliche Eintritts- und Nutzungsbarrieren, die einer
weiten Verbreitung entgegenstehen.
Die Gesellschaft für Informatik begrüßt es daher,
dass inzwischen in mehreren Projekten daran gearbeitet wird, die
Benutzbarkeit der existierenden, wohluntersuchten Techniken zur
Ende-zu-Ende-gesicherten Übertragung von E-Mails zu verbessern.
Aussichtsreich erscheinen insbesondere solche Ansätze, die S/MIME
nutzen, da diese Technik von den gängigen Desktop- und
Smartphone-Betriebssystemen ohne zusätzliche Software unterstützt wird.“
Initiativen wie die vom Fraunhofer SIT entwickelte Volksverschlüsselung (www.volksverschluesselung.de)
sind nach Auffassung der GI wegweisend. Zum einen erzeugen sie
Aufmerksamkeit und tragen zur Verbreitung des Themas bei; zum anderen
verfolgen sie einen nutzerzentrierten Ansatz, der nicht nur
Schlüsselerzeugung und Zertifizierung, sondern auch den
Schlüsselaustausch und die Konfiguration der E-Mail-Programme abdeckt.
Prof. Dr. Hartmut Pohl, Sprecher des
GI-Präsidiumskreises Datenschutz und IT-Sicherheit und Geschäftsführer
der SoftScheck GmbH: „Das aktuelle Konzept der Volksverschlüsselung
weist allerdings einige Verbesserungsmöglichkeiten auf, die nach
Auffassung der Gesellschaft für Informatik einer schnellen Verbreitung
entgegenstehen.
Erstens sieht das Konzept ausschließlich die
Ausstellung von Klasse-3-Zertifikaten vor, bei dem die Nutzer ihre
Identität nachweisen müssen. Dies stellt eine erhebliche
Eintrittsbarriere dar, da der Identitätsnachweis mit einem spürbaren
Aufwand für den Nutzer verbunden ist und nicht vollautomatisch ablaufen
kann. Zudem steht dies einer schnellen und weiten Verbreitung entgegen.
Die GI empfiehlt daher, auch Klasse-1-Zertifikate anzubieten, die sich
lediglich auf die E-Mail-Adresse des Nutzers beziehen und eine
aufwändige persönliche Identifizierung entbehrlich machen.
Zweitens benutzt die im Rahmen der
Volksverschlüsselung betriebene Zertifizierungsstelle derzeit ein
Stammzertifikat, dem die gängigen E-Mail-Programme nicht vertrauen. Dies
reduziert die Interoperabilität mit existierenden S/MIME-Nutzern
erheblich und beinhaltet das Risiko, dass auch die Volksverschlüsselung
zu einer Insellösung ohne weite Verbreitung wird. Die GI empfiehlt
daher, ein Stammzertifikat zu verwenden, das in den gängigen Programmen
bereits hinterlegt ist.“
In jedem Fall geht es letztlich um eine
flächendeckend sichere E-Mail-Kommunikation, ein Ziel, das die
maßgebliche Mitwirkung staatlicher Stellen erfordert. Die
Bundesregierung hat angekündigt, Deutschland zum
„Verschlüsselungsstandort Nr. 1“ zu machen. Die GI ruft die
Bundesregierung auf, dieses Ziel durch Unterstützung von Ansätzen wie
der Volksverschlüsselung nachdrücklich zu befördern.