E-Mail-Verschlüsselung ist wichtig, aber keiner macht’s. In vielen Fällen ist der Anwender beim Umgang mit Schlüsseln und Zertifikaten schlichtweg überfordert. Nur langsam ändert sich etwas daran.
Das größte Problem in der modernen Kryptologie ist, dass sie zu wenig genutzt wird.
Mit am größten ist die Misere zweifellos in der E-Mail-Verschlüsselung. Dabei entstand der erste Internet-Standard (RFC) zu diesem Thema bereits vor 29 Jahren. Schon Ende der Neunziger-Jahre gab es ein großes Angebot an E-Mail-Verschlüsselungsprogrammen. Im Krypto-Produktüberblick von Bruce Schneier finden sich Dutzende von Produkten dieser Art.
Noch schöner wäre die Sache allerdings, wenn jemand diese Produkte auch tatsächlich nutzen würde. Leider ist das nur allzu selten der Fall.
„E-Mail-Verschlüsselung ist wie Teenagersex“, beklagte sich vor ein paar Jahren der Bundestagsabgeordnete Thomas Jarzombek. „Alle reden darüber und jeder denkt, der andere macht es. Doch tatsächlich machen es die wenigsten und bei denen läuft es auch noch schlecht.“ Man muss ihm leider Recht geben.
Prof. Dr. Norbert Pohlmann vom Institut für Internet-Sicherheit an der Hochschule Westfalen hat bei Untersuchungen festgestellt, dass nur gut 4 Prozent aller E-Mails verschlüsselt sind, obwohl es bei etwa 43 Prozent der verschickten Mitteilungen angebracht wäre.
Gründe für dieses Fiasko gibt es sicherlich mehrere. An dieser Stelle will ich jedoch nur auf einen eingehen: Mit dem Verschlüsseln von E-Mails sind viele Anwender schlichtweg überfordert. Das lässt sich mit Studien gut belegen:
- 1999 erschien die Forschungsarbeit Why Johnny can’t encrypt von Alma Whitten. Darin wird beschrieben, wie Testpersonen eine E-Mail mit PGP 5.0 verschlüsseln sollten – und zu einem großen Teil an dieser Aufgabe scheiterten. Der Name der Studie ist übrigens eine Anspielung auf das Lied Johnny Can’t Read von Don Henley – ein Rock’n-Roll-Titel, dessen Text von einem Analphabeten handelt.
- 2006 erschien Why Johnny Still Can’t Encrypt. Diese Arbeit zeigte, dass noch immer viele Nutzer mit dem Verschlüsseln einer Mail überfordert waren.
- 2015 erschien Why Johnny Still, Still Can’t Encrypt von Scott Ruoti und anderen. Darin ging es um die E-Mail-Verschlüsselungs-Software Mailvelope, die unter anderem von Web.de unterstützt wird. Viele Nutzer kommen damit nicht zurecht.
- Die Veröffentlichung von Why Johnny Still, Still, Still Can’t Encrypt ist vermutlich nur eine Frage der Zeit.
Warum viele Anwender überfordert sind, zeigt beispielsweise die folgende Liste von Dingen, die ein E-Mail-Nutzer tun bzw. verstehen muss (sie stammt teilweise aus dem Vortrag Do You Care If Johnny Can Encrypt? von Prof. Dr. Angela Sasse vom University College London):
- Wurzel-Zertifikat importieren
- privaten Schlüssel generieren
- Zertifikat beantragen
- den Unterschied zwischen digitalen Signaturen und Verschlüsselung kennen
- Warnhinweise verstehen und beachten
- Fehlermeldungen verstehen (Was will uns etwa die folgende Fehlermeldung sagen?)
- digital Signieren
- digitale Zertifikate ins Adressbuch aufnehmen
- den öffentlichen Schlüssel eines anderen herunterladen oder importieren
- die Folgen eines Schlüsselwechsels kennen
- verstehen, was eine Sperrung bedeutet
- Zertifikate und Schlüssel auf eine andere Plattform übertragen
All diese Dinge kommen einem Laien wie ein Buch mit sieben Siegeln vor.
Damit der Anwender nicht komplett überfordert ist, muss eine E-Mail-Verschlüsselungslösung so benutzerfreundlich wie möglich sein. Wie schwierig das zu bewerkstelligen ist, zeigt beispielsweise das Dokument What should be improved in Thunderbird – considering especially the use of S/MIME and PGP/Enigmail. Es hat nicht umsonst 44 Seiten.
Kürzlich hat der erwähnte Bruce Schneier E-Mail als “fundamentally unsecurable” bezeichnet. Das ist zwar etwas übertrieben, doch es zeigt, wo das Problem liegt. E-Mail-Verschlüsselung muss in jedem Fall noch deutlich benutzerfreundlicher werden, und Anwender müssen geschult werden, damit sie wenigsten in etwa verstehen, was passiert.
Dies ist auch eine wichtige Nachricht an die Wissenschaft: Während bisher vor allem Krypto-Verfahren, -Protokolle und dergleichen erforscht wurden, müssen zukünftig die praktischen Aspekte der Kryptografie eine deutlich wichtigere Rolle spielen. Ansonsten wird sich eine alte Weisheit bewahrheiten: “In der Theorie ist Theorie und Praxis dasselbe, in der Praxis sind Theorie und Praxis unterschiedliche Dinge.”
Kommentare (17)