taz.de -- Verschlüsselung im Alltag: „Der Mehrgewinn ist vielen nicht klar“

Verschlüsselung ist oft von „Geeks für Geeks“ konzipiert und für Laien schwer zu verstehen. Dabei wären auch einfache Lösungen möglich.
Bild: Physischer Schutz ist viel einfacher

BERLIN taz | Wie kann man es Schnüfflern möglichst schwer machen, Nutzerdaten systematisch abzufangen? Wie kann Verschlüsselung unter große Teile der Bevölkerung gebracht werden? Bei einer Diskussion mit Edward Snowden auf dem SXSW-Festival ging es genau darum. Verschlüsselte Kommunikation sei noch viel zu wenig verbreitet, so die Meinung der drei Diskutanten. Und ihre Erklärung: Viel zu häufig sei die entsprechende Software „von Geeks für Geeks“.

Als eines der sichersten Systeme, Kommunikation zu verschlüsseln, gilt die Ende-zu-Ende-Methode. Bei dieser Methode können nur die Nutzer auf ihren Geräten die Daten einsehen – auf dem Übertragungsweg bleiben sie codiert. Bisher bieten aber nur wenige Unternehmen eine Ende-zu-Ende-Verschlüsselung an. In der Regel wird nur der Weg vom Nutzer zum Server gesichert. Einserseits, weil die Technik aufwändig ist, andererseits, weil der Dienst so an Nutzerfreundlichkeit einbüßt. Manche Anbieter haben aber auch ein wirtschaftliches Interesse an der Einsehbarkeit der Daten – beispielsweise, um personalisierte Werbung zu zeigen.

Wer dennoch sicher kommunizieren möchte, der muss sich entschlossen mit Technik auseinandersetzen. Manch ein Nutzer verzweifelt daran, [1][sich ein PGP-Schlüsselpaar („Pretty Good Privacy“) zu erstellen,] um verschlüsselte Mails auszutauschen. Diese Prozedur ist für viele zu komplex und schreckt sie ab.

„Den meisten Laien ist der Mehrgewinn von Ende-zu-Ende-Verschlüsselung nicht klar“, meint Melanie Volkamer von der TU Darmstadt. Sie forscht zur Benutzbarkeit von IT-Sicherheitslösungen. [2][Selbst Nutzer, die sehr ambitioniert seien, hätten Schwierigkeiten, die Technik nachzuvollziehen.] Das Problem sei, so sagt die Forscherin, dass Informatiker bisher versuchten, Sicherheitslücken zu schließen, ohne die Endbenutzer zu berücksichtigen.

Sicherheit im Hintergrund

Jörn Müller-Quade, Professor für Kryptographie vom Karlsruher Institut für Technologie, ist zuversichtlich, dass schon bald sichere, aber auch benutzerfreundliche Systeme entwickelt werden könnten: „Technisch wäre es kein Problem, all die komplizierten Dinge im Hintergrund ablaufen zu lassen.“ So könnten Verschlüsselungstools auf den Geräten vorinstalliert sein. Sie könnten verwendet werden, wenn der kontaktierte Nutzer diese ebenfalls hat.

„Das Problem ist also kein technisches, sondern ein Problem des Marktes, der Standardisierung und der Regelungen“, sagt Müller-Quade. Trotzdem würden die Produkte aber auch in Zukunft Hintertürchen enthalten, glaubt er. „Diese Möglichkeit der Überwachung ist viel zu wertvoll.“ Ob sich Sicherheit allgemein durchsetze, hängt seiner Meinung nach aber auch damit zusammen, ob man bereit sei, dafür Geld auszugeben. Außerdem müsse man sich wohl in seinem Komfort einschränken. „Eine einfachere Handhabung bedeutet normalerweise weniger Einstellmöglichkeiten.“

Auch Christian Grothoff von der TU München ist überzeugt, dass technisch schon jetzt viel mehr möglich ist. Er ist der Leiter einer Nachwuchsgruppe „Sichere dezentrale Netzwerke“. Allerdings stelle sich die Frage, wer ein Interesse daran habe, diesen technischen Stand auch in die Realität umzusetzen. „Es gibt verschiedene Gruppierungen, die es dem Nutzer schwermachen wollen, geheim zu kommunizieren. Dazu gehören auch Regierungen und Industrie.“

In seinem Projekt entwickelt Grothoff ein Programm, das dem Nutzer nach der Installation einen QR-Code ausgibt. Diesen kann er mit Freunden oder Kollegen teilen. Er weist ihn als spezifische Person aus. Der Kommunikationspartner kann den Code dann beispielsweise via Webcam einscannen und so verschlüsselt kommunizieren.

Einfach mal verbieten

Dass es auch heute schon möglich ist, Sicherheit und Benutzerfreundlichkeit zu kombinieren – und zusätzlich noch ein eigenes Image damit zu kreieren – zeigen Nachrichten-Apps wie Threema oder Textsecure. Sie verschlüsseln die Nachrichten ihrer Nutzer mit der Ende-zu-Ende-Methode. Der Wechsel großer Userzahlen zu solchen Produkten könnte die Anbieter ähnlicher Dienste unter Druck setzen, auch ihre Sicherheitsstrategie zu überdenken.

Die Wissenschaftler sind überzeugt, dass auch erhöhte Investitionen in die Forschung notwendig seien, um übergreifende IT-Sicherheitslösungen zu entwickeln. Grothoff kritisiert, es sei erstaunlich schwer, für die Forschung zu sicherer Kommunikation Geld zu bekommen. „Ich muss davon ausgehen, dass dieses Problem gar nicht als so dringlich angesehen wird, wie man es aufgrund der öffentlichen Diskussion möglicherweise erwarten würde“, sagt er.

Eine vieldiskutierte Frage ist auch, wer jetzt Verantwortung übernehmen muss, damit es vorangeht – ob sich der Einzelne mehr schützen muss, sozusagen in Eigenregie, oder ob es Aufgabe des Staates ist, seine Bürger zu schützen. Müller-Quade sieht das Parlament in einer entscheidenden Rolle: „Der Staat kann Gesetze erlassen, die Hintertürchen in Softwareprodukten ähnlich bestraft, wie Fahrlässigkeit im Fahrzeugbau.“

20 Mar 2014

LINKS

[1] http://www.pgpi.org/
[2] /E-Book...selung/!127716/

AUTOREN

Seibert

TAGS

Schwerpunkt Überwachung
Verschlüsselung
Datensicherheit
Verschlüsselung
Microsoft
Verschlüsselung
Heartbleed
NSA
Huawei
Schwerpunkt Überwachung
Handy
Google
Datenschutz

ARTIKEL ZUM THEMA

Verschlüsselung für Android und iOS: Pssst, streng geheim

Smartphones und Verschlüsselung sind längst keine Gegensätze mehr. Nun gibt es die erste Open-Source-App, die Android und iOS verbindet.

Sicheres Mailen bei Google und Yahoo: Verschlüsseln für Millionen

Die US-Konzerne arbeiten an einer Möglichkeit zur Verschlüsselung von E-Mails. Damit würden sie einen Teil ihres Geschäftsmodells auf Spiel setzen.

Nutzerdaten bei Microsoft: Noch kein Zugriff für Behörden

Ein Gericht in den USA bestätigt, dass Microsoft Kundendaten von irischen Servern US-Ermittlern übergeben müsse. Der Vollzug ist jedoch ausgesetzt.

Mehr Verschlüsselung im Netz: Datenskandal zeigt Wirkung

Nach der massenhaften Überwachung nimmt die Verschlüsselung von Daten im Internet zu. Die Banken haben aber noch Nachholbedarf.

Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler

Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert wird.

Überwachung durch die NSA: Noch 90 Tage Spitzelei

US-Präsident Obama will die Sammlung von Telefondaten durch die NSA beenden. Ein entsprechender Gesetzentwurf werde vorbereitet.

NSA auch in China aktiv: Auch Huawei bespitzelt

Der US-Geheimdienst NSA soll Chinas Telekomfirma Huawei umfassend ausspioniert haben. Der zweitgrößte Netzwerkausstatter der Welt kontert.

Kameraüberwachung im Alltag: Kaugummi auf der Linse

Sind Menschen, die ihre Kamera auf dem Laptop abkleben, paranoid? Wie wehrt man sich gegen allzu wissbegierige Apps? Eine Handreichung.

Datensicherheit auf dem Handy: Ein Schloss fürs Smartphone

Es tut sich was auf dem Markt der verschlüsselten mobilen Telefonie. Doch nicht nur die Preis-, auch die Qualitätsunterschiede sind groß.

Suchfunktion bei Google: Meinten Sie vielleicht verschlüsselt?

Nach dem NSA-Skandal breitet sich Verschlüsselung im Netz aus. Google ist jetzt dazu übergegangen, weltweit die Milliarden Suchanfragen seiner Nutzer zu schützen.

Kommunikation mit Datenschutz: Schlüsseldienst für jede Nachricht

Sichere E-Mail-Betreiber wie Posteo bekommen Konkurrenz von Mailbox.org. Die Nachfrage nach Diensten mit gutem Datenschutzniveau steigt.