E-Mail-Verschlüsselung ist wichtig, aber keiner macht’s. In vielen Fällen ist der Anwender beim Umgang mit Schlüsseln und Zertifikaten schlichtweg überfordert. Nur langsam ändert sich etwas daran.

Das größte Problem in der modernen Kryptologie ist, dass sie zu wenig genutzt wird.

Mit am größten ist die Misere zweifellos in der E-Mail-Verschlüsselung. Dabei entstand der erste Internet-Standard (RFC) zu diesem Thema bereits vor 29 Jahren. Schon Ende der Neunziger-Jahre gab es ein großes Angebot an E-Mail-Verschlüsselungsprogrammen. Im Krypto-Produktüberblick von Bruce Schneier finden sich Dutzende von Produkten dieser Art.

Schneier-2

Noch schöner wäre die Sache allerdings, wenn jemand diese Produkte auch tatsächlich nutzen würde. Leider ist das nur allzu selten der Fall.

„E-Mail-Verschlüsselung ist wie Teenagersex“, beklagte sich vor ein paar Jahren der Bundestagsabgeordnete Thomas Jarzombek. „Alle reden darüber und jeder denkt, der andere macht es. Doch tatsächlich machen es die wenigsten und bei denen läuft es auch noch schlecht.“ Man muss ihm leider Recht geben.

Prof. Dr. Norbert Pohlmann vom Institut für Internet-Sicherheit an der Hochschule Westfalen hat bei Untersuchungen festgestellt, dass nur gut 4 Prozent aller E-Mails verschlüsselt sind, obwohl es bei etwa 43 Prozent der verschickten Mitteilungen angebracht wäre.

Gründe für dieses Fiasko gibt es sicherlich mehrere. An dieser Stelle will ich jedoch nur auf einen eingehen: Mit dem Verschlüsseln von E-Mails sind viele Anwender schlichtweg überfordert. Das lässt sich mit Studien gut belegen:

  • 1999 erschien die Forschungsarbeit Why Johnny can’t encrypt von Alma Whitten. Darin wird beschrieben, wie Testpersonen eine E-Mail mit PGP 5.0 verschlüsseln sollten – und zu einem großen Teil an dieser Aufgabe scheiterten. Der Name der Studie ist übrigens eine Anspielung auf das Lied Johnny Can’t Read von Don Henley – ein Rock’n-Roll-Titel, dessen Text von einem Analphabeten handelt.
  • 2006 erschien Why Johnny Still Can’t Encrypt. Diese Arbeit zeigte, dass noch immer viele Nutzer mit dem Verschlüsseln einer Mail überfordert waren.
  • 2015 erschien Why Johnny Still, Still Can’t Encrypt von Scott Ruoti und anderen. Darin ging es um die E-Mail-Verschlüsselungs-Software Mailvelope, die unter anderem von Web.de unterstützt wird. Viele Nutzer kommen damit nicht zurecht.
  • Die Veröffentlichung von Why Johnny Still, Still, Still Can’t Encrypt ist vermutlich nur eine Frage der Zeit.

Warum viele Anwender überfordert sind, zeigt beispielsweise die folgende Liste von Dingen, die ein E-Mail-Nutzer tun bzw. verstehen muss (sie stammt teilweise aus dem Vortrag Do You Care If Johnny Can Encrypt? von Prof. Dr. Angela Sasse vom University College London):

  • Wurzel-Zertifikat importieren
  • privaten Schlüssel generieren
  • Zertifikat beantragen
  • den Unterschied zwischen digitalen Signaturen und Verschlüsselung kennen
  • Warnhinweise verstehen und beachten
  • Fehlermeldungen verstehen (Was will uns etwa die folgende Fehlermeldung sagen?)

Mailvelope-Fehler

  • digital Signieren
  • digitale Zertifikate ins Adressbuch aufnehmen
  • den öffentlichen Schlüssel eines anderen herunterladen oder importieren
  • die Folgen eines Schlüsselwechsels kennen
  • verstehen, was eine Sperrung bedeutet
  • Zertifikate und Schlüssel auf eine andere Plattform übertragen

All diese Dinge kommen einem Laien wie ein Buch mit sieben Siegeln vor.

Damit der Anwender nicht komplett überfordert ist, muss eine E-Mail-Verschlüsselungslösung so benutzerfreundlich wie möglich sein. Wie schwierig das zu bewerkstelligen ist, zeigt beispielsweise das Dokument What should be improved in Thunderbird – considering especially the use of S/MIME and PGP/Enigmail. Es hat nicht umsonst 44 Seiten.

Enigmail-Bugs

Kürzlich hat der erwähnte Bruce Schneier E-Mail als “fundamentally unsecurable” bezeichnet. Das ist zwar etwas übertrieben, doch es zeigt, wo das Problem liegt. E-Mail-Verschlüsselung muss in jedem Fall noch deutlich benutzerfreundlicher werden, und Anwender müssen geschult werden, damit sie wenigsten in etwa verstehen, was passiert.

Dies ist auch eine wichtige Nachricht an die Wissenschaft: Während bisher vor allem Krypto-Verfahren, -Protokolle und dergleichen erforscht wurden, müssen zukünftig die praktischen Aspekte der Kryptografie eine deutlich wichtigere Rolle spielen. Ansonsten wird sich eine alte Weisheit bewahrheiten: “In der Theorie ist Theorie und Praxis dasselbe, in der Praxis sind Theorie und Praxis unterschiedliche Dinge.”

Zum Schluss noch ein Aufruf: Wer im Umgang mit E-Mail-Verschlüsselung seltsame Dinge, obskure Fehlermeldungen oder kurioses Anwenderverhalten erlebt hat, möge sich bitte melden. Entsprechende Geschichten kann ich dann vielleicht in Blog-Artikel oder Vorträge einfließen lassen.

Zum Weiterlesen: Die Grundlagenkrise der Kryptografie – Teil 1

Kommentare (17)

  1. #1 Richard SantaColoma
    https://proto57.wordpress.com/
    4. Mai 2016

    I would personally not use encryption for several other reasons: First, I would assume that there are ways, other than cracking, to find out what I wrote: Such as key logging or other; secondly, I do assume that anything I write, in cipher or not, can easily be read by law enforcement, or any nepharious entity so inclined, by warrant… or not; thirdly, any recipient who can read what I write, as intended, cannot be stopped from sharing my email with anyone else anyway… trusting that not to happen would be the greatest problem, IMO.

    I treat emails as I would a post card or letter: I simply don’t write anything personally incriminating into emails… or nothing, at least, that could not be explained without incurring a jail sentence or public humiliation, or both.

  2. #2 Peter G. Bouillon
    Lüdinghausen
    4. Mai 2016

    Johnny kann seiner Papierpost ja auch nicht verschlüsseln. Er gibt sich damit zufrieden, seine Klartext-Briefe in einen unversiegelten Papierumschlag zu wickeln, der jederzeit mit einem Messer aufgeschlitzt und nach dem unbefugten Lesen durch einen anderen Papierumschlag ersetzt werden kann, ohne dass es auffällt. Mit dieser Technologie verschickt er Verträge, Rechnungen, Mahnungen und Liebesschwüre. Und Johnny GmbH & Co. KG tut das auch. Herr Dr. med. Johnny verschickt mit dieser Technologie oft sogar Röntgenaufnahmen und ärztliche Diagnosen.

  3. #3 der__trainer
    4. Mai 2016

    Warum klappt die Einführung von Ende-zu-Ende-Verschlüsselung bei Whatsapp im Vergleich dazu für den Anwender so einfach?
    Klar haben wir dort ein geschlossenes Ökosystem, aber die grundsätzlichen Probleme sind doch vergleichbar..?

  4. #4 Sebastian Doering
    Winden
    4. Mai 2016

    Vor ca. 15 Jahren habe ich meine ersten Versuche mit PGP gemacht. Dies war damals schon relativ einfach für einen IT Affinien Menschen. Die tatsächliche Nutzung scheiterte einfach daran, dass die Gegenstellen schlichtweg überfordert waren die Sinnhaftigkeit einzusehen von der Einrichtung mal zu schweigen. Die wenigsten Menschen wissen, dass EMails quasi nur Postkarten sind. Aber vielleicht habe ich auch eine falsche Erwartungshaltung, wenn es immer noch Menschen gibt, die sich wundern warum “das Fußpedal” (die Maus) auf dem Tisch liegen geblieben ist.

  5. #5 Svechak
    4. Mai 2016

    Warum gibt es eigentlich zwei Email-Verschlüsselungs-Formate (PGP und SMIME) und warum muss mich das als Benutzer interessieren?

  6. #6 Fred
    4. Mai 2016

    Es gibt einige kleinere kostenlose web email provider aus Deutschland, die S/MIME kostenlos anbieten. Den Namen schreibe ich lieber nicht, sonst wird diese Nachricht wegen Werbung zensiert und gelöscht.
    Da muß der User nicht viel können, einfach den Haken bei e-mail verschlüsseln und oder e-mail signieren setzen.
    Das geht total einfach. Das Problem ist, über 99,9% der emails werden ohne einen public key gesendet, also kann die Verschlüsselung auch nicht funktionieren.
    Meiner Meinung nach eher ein Henne/Ei Problem.

    Zu kompliziert ist es auf keinen Fall, wenn die User in der Lage sind auf ihrem Smart-Dings eine SMS und eine Whats-App Nachricht einzutippen, dann könnten sie auch Nachrichten verschlüsselt senden, wenn sie es wollen.

  7. #7 alex
    4. Mai 2016

    @Fred:
    Naja, Ende-zu-Ende-Verschlüsselung ist bei einem Webmailer ziemlich problematisch. Effektiv bleibt da nur eine einfache Transportverschlüsselung übrig, und die kann man auch erreichen ohne dass der Nutzer irgendwas dafür tun muss.

  8. #8 schlappohr
    4. Mai 2016

    Ich glaube, die Gründe für die mangelnde Akzeptanz sind etwas komplizierter. Die umständliche Verschlüsselungssoftware ist sicher ein Problem, aber es gibt noch ein weiteres: Die Aussage “Ich hab doch nichts zu verbergen, ich schreib doch nichts verbotenes, das kann jeder wissen”. Das ist natürlich sehr leichtsinning. Ich persönlich habe etwas zu verbergen, nämlich _alles_. Jedes noch so unwichtige Detail aus meinem Privatleben ist mir wertvoll genug, um es vor der NSA oder anderen Man-in-the-middle-Banditen zu verbergen. Der Grund ist der, das ich es einfach nicht _will_, und dieser Grund ist absolut ausreichend, um jede Email zu verschlüsseln.
    Trotzdem mache ich das nicht, sondern ich verschlüssele nur die wirklich relevanten Mails. Warum? Folgende Überlegung. Ich kann meiner Frau eine Mail schreiben “Schatz, ich ich muss eine Stunde länger arbeiten, wartet nicht mit dem Essen”. Diese Mail hat keinen sicherheitsrelevanten Inhalt, aber ich könnte sie verschlüsseln. Ich könnte meine Frau auch anrufen, und dann könnte ich die Nachricht nicht verschlüsseln. Oder Ihre einen Notizzettel schreiben, auch den könnte ich nicht ohne erheblichen Aufwand verschlüsseln. Oder ich könnte es ihr persönlich sagen, und wüsste nicht, ob jemand zuhört.
    Wenn wir also *jede* Email verschlüsseln, müssten wie konsequenterweise auch jede andere Art der Kommunikation verschlüsseln. Mit den heutigen technischen Möglichkeiten kann *jede* Art von Kommunikation ausgeschnüffelt werden.
    Wir können diesen Gedanken noch weiter spinnen. Kommunikation bedeutet Aussenden und Empfangen von Informationen. Um eine Information auszusenden, muss ich aber nicht sprechen oder schreiben. Ich sende mit jeder Handlung eine Information aus. Wenn ich mich ins Auto setze und nachhause fahre, wird mich vermutlich irgendjemand dabei beobachten. Ich *kann* diese Information nicht verbergen oder verschlüsseln. Wir müssten uns also streng voneinander abschotten, alles im dunklen und verborgenen tun, auf allen Kanälen nur verschlüsselt kommunizieren. Ich gebe zu, dass ich mir dieses Verhalten nicht aufzwingen lassen will.

    Ein weiterer Aspekt ist die Frage, welche Verschlüsselungsverfahren denn wirklich sicher ist. Oder anders gefragt: Was kann die NSA denn wirklich? Auf diese Frage erhält man meist nur Schulterzucken. Alle relevanten Verschlüsselungsverfahren basieren auf der Annahme, dass der diskrete Logarithmus in einem genügend großen Zahlenkörper nicht mit realistischem Aufwand berechenbar ist. Bewiesen hat das bisher niemand. Warum soll ich also einen erheblichen technischen Aufwand betreiben für eine Verschlüsselung, die möglicherweise vollkommen wirkungslos ist? Insbesondere, da fast alle Verschlüsselungsprogramme und -Verfahren in den USA entwickelt wurden und damit zumindest potenziell unterwandert sind? Dass die NSA TrueCrypt einkassiert hat, kann zwar ein Hinweis auf die Grenzen ihrer Möglichkeiten sein. Genauso könnte es aber ein geschicktes Täuschungsmanöver sein, ebenso wie die manipulierten NIST-Kurven.

  9. #9 Otto
    4. Mai 2016

    Hi,

    Werde PGP oder S/MIME oder sonstigen Käse nie benutzen. Ist scheiss umständlich und keiner benutzt es.
    Und versuchen, PGP wieder ‘attraktiv’ zu machen, ist damit vergleichen, wie wenn im Jahr 2016 die Größen der Musikindustrie ihre Kunden wieder zum CD- oder Kasettenkaufen animieren wollen.
    Oder wie Dieter Bohlen vielleicht sagen würde: “Ne du, find ich megascheisse”

    Gruß,
    Otto Normalnutzer

  10. #10 alex
    4. Mai 2016

    @schlappohr:
    Ist das nicht ein einziges non sequitur?
    Warum muss man alle Kommunikationskanäle exakt gleich behandeln? Als Absender einer Botschaft hat man doch die Möglichkeit, einen dem Inhalt (und dem Empfänger, etc.) angepassten Kanal zu wählen.
    Desweiteren ist es bei elektronischer Kommunikation prinzipiell möglich, Verschlüsselung so unterschwellig einzubauen, dass für den Nutzer kein nennenswerter zusätzlicher Aufwand entsteht (dass das derzeit meist nicht der Fall ist, ist klar). Bei vielen anderen Kommunikationsformen ist das grundsätzlich nicht möglich. Und daher ist es durchaus möglich, dass z.B. Wirtschaftlichkeitsüberlegungen zu unterschiedlichen Ergebnissen führen.
    Und

    Mit den heutigen technischen Möglichkeiten kann *jede* Art von Kommunikation ausgeschnüffelt werden.

    halte ich für ein Scheinargument. Die technischen und organisatorischen Fähigkeiten die nötig sind, um einen auf meinem Küchentisch liegenden Notizzettel auszuschnüffeln, sind ganz andere als die, die nötig sind, um meine unverschlüsselten Mails auszuschnüffeln. Und wenn der Gegner tatsächlich die Möglichkeit hat, jeden solchen Zettel zu lesen ohne dass ich es bemerke, dann bringt E-Mail-Verschlüsselung wirklich nichts; schließlich sollte es dann für ihn nicht mehr allzu schwer sein, den entschlüsselten Klartext vom Bildschirm meines Computers abzulesen.

  11. #11 Robert aus Wien
    4. Mai 2016

    @Schlappohr:
    Wenn wir aber nur die wichtigen Nachrichten verschlüsseln, teilen wir damit NSA & Co. auch gleich mit, welche Nachrichten wichtig waren. Wenn wir dagegen alles verschlüsseln, treiben wir den Aufwand für die Schlapphüte so hoch, daß sie die wichtigen Nachrichten garantiert nicht finden. (Vor allem, wenn das dann jeder macht.)

  12. #12 schorsch
    5. Mai 2016

    Unter Windows ist es kinderleicht, mittels EFS seine Festplatten zu verschlüsseln – und seine Daten damit vollständig zu vernichten! Das ist nicht Sinn und Zweck von EFS – das ist aber das, wofür EFS von unbedarften Anwendern regelmäßig genutzt wird.

    Denn bei EFS wird für die Verschlüsselung – für den Anwender völlig transparent, darum kinderleicht – ein Schlüssel erzeugt und im Windows-Schlüsselspeicher abgelegt. Dieser Schlüsselspeicher ist Bestandteil des installierten Betriebssystems, und wenn dieses – aus welchem Grund auch immer – neu installiert wird oder einfach kaputt geht, ist der Schlüssel futsch, sind die verschlüsselten Festplatten (zumindest bis auf weiteres) für immer unentschlüsselbar. Ein Szenario, welches ich immer wieder erlebe…

    Der entscheidende Faktor bei EFS ist das Schlüsselmanagement. Um diesen Faktor zu beherrschen, muss der Anwender erst einmal wissen, dass die Verschlüsselung zwar an sein Konto gebunden ist, aber nicht an sein Passwort! Er muss wissen, wie er den EFS-Schlüssel aus dem Windows-Schlüsselbund herauskopiert, wie er ihn ordnungsgemäß sichert und wie er nach einer evtl. Neuinstallation den gesicherten Schlüssel wieder einspielt.

    Und schon ist EFS gar nicht mehr so kinderleicht!

    Diese Problematik stellt sich bei E-Mail in weit grösserem Maße. Einfache, für den Anwender transparente Verfahren taugen zunächst einmal notwendigerweise nur und ausschließlich dafür, Mails in bestimmten Einzelfällen temporär vor den Augen Dritter geschützt zu übermitteln. Will man erreichen, dass verschlüsselte Mails dauerhaft vor Dritten geschützt sind, aber auch dauerhaft von Berechtigten lesbar, dann muss eine ganze Menge von Voraussetzungen erfüllt sein.

    Das beginnt mit der Erzeugung des Schlüssels. Es muss sichergestellt sein, dass diese auf einer Hardware geschieht, die ausschließlich unter Kontrolle des Anwenders, also des Schlüsselerzeugers steht. Das ist bei Mobilgeräten wie Smartphones oder Tablets regelmäßig nicht der Fall – diese Geräten stehen mindestens potentiell unter beliebiger Kontrolle des Betriebssystemherstellers (z. B. Google), des Hardwareherstellers (z. B. Samsung) und oft des Providers (z. B. Telekom), über den das Gerät erworben wurde.

    Weiter geht’s mit dem Lagerort des Schlüssels. Um bei der Nutzung von Verschlüsselung nicht auf eine bestimmte Hardware angewiesen zu sein, ist es sinnvoll – und bei angemessener Verfahrensweise durchaus auch hinreichend sicher – den Schlüssel in der Cloud aufzubewahren. Aber das setzt schon wieder voraus, dass der Anwender weiss, wie eine angemessene Verfahrensweise aussieht. Aber auch in der Cloud können Daten verschwinden bzw. sind sie von vorneherein nicht mehr in der Hand des Anwenders, sondern des Cloudanbieters. Daher bedarf es einer lokalen Kopie. Diese transparent zu erzeugen, ist kein Problem. Sie angemessen aufzubewahren setzt aber schon wieder ein entspr. Wissen und aktive Handlungen des Anwenders voraus.

    Verschlüsselte Mails besitzen u. U. eine besondere rechtliche Stellung: Da der Schlüssel eindeutig einer bestimmten Person zugeordnet werden kann, kann auch eine damit verschlüsselte Mail bzw. deren Inhalt einer Person eindeutig zugeordnet werden. Wenn der Schlüssel also in fremde Hände fällt, ist damit ein Mißbrauch möglich, der weit, weit über das unerwünschte Mitlesen von Mails hinaus geht. Man kann jeden zum Terroristen oder zum Kriminellen machen, dessen Schlüssel man gestohlen hat.

    Gut das war jetzt etwas plakativ, aber der Mißbrauch fremder Schlüssel kann für die betroffenen Schlüsseleigner überaus schmerzhafte bis katastrophale Folgen haben. Es muss daher möglich sein, einen Schlüssel jederzeit zurückziehen bzw. für die Verschlüsellung unbrauchbar machen zu können. Da muss der Anwender sich entweder auf eine dritte Person, vergleichbar mit dem Kreditkarten-Sperrnotruf der deutschen Banken, verlassen, oder er muss das Schlüsselmanagement in die eigene Hand nehmen. Und dann ist’s schon wieder vorbei mit Einfachheit und Transparenz…

    Es gibt noch eine Reihe weiterer Gründe, warum E-Mail-Verschlüsselung nicht so einfach ist wie’s Brötchen-Aufbacken oder wie die hier schon erwähnte WhatsApp-Verschlüsselung. Aber ich hab morgen einiges vor, will früh aufstehen und muss daher erstmal abbrechen.

    Daher etwas vorzeitig hier mein Fazit: Die von Klaus genannte Aufzählung lässt sich durch ein entspr. intelligentes Design der Mailprogramme durchaus um einige Punkte abkürzen. Das setzt aber schon wieder voraus, dass alle Mailprogramme auf allen Plattformen ein in dieser Hinsicht identisches Design haben. Denn sonst ist der Anwender schon beim nächsten Geräte- oder Providerwechsel möglicherweise wieder aufgeschmissen.

    Und alle Punkte lassen sich nicht abkürzen. Voraussetzung für eine funktionierende Verschlüsselung wird immer sein, dass sich alle (sic!) Anwender über die grundlegende Funktionalität und Verfahrensweise bewusst sind, dass sie also ein fundiertes Wissen besitzen darüber, was sie da tun. Verschlüsselung ‘aus dem Kaugummiautomaten’ wird es bei Mail nie geben.

  13. #13 Ernie
    7. Mai 2016

    Die Überwacher sind ja vor allem an Metadaten interessiert: wer kommuniziert wann und von wo mit wem. Dagegen hilft Kryptographie leider nicht.

  14. #14 Heinz
    8. Mai 2016

    “2006 erschien Why Johnny Still, Still Can’t Encrypt.”
    Da ist ein “Still,” zu viel.

    BtW: Hast du in der Schlangenölabteilung deines Buches “Kryptografie” derweil auch die “Vollbit Verschlüsselung” vom Kryptochef?
    https://web.archive.org/web/20060720141400/https://www.kryptochef.net/

  15. #16 helmut
    10. Mai 2016

    es ist einfach für viele zu kompliziert, oder sie müssten sich ein paar minuten einlesen etc.
    aber da setzt dann wieder der faulheitstrieb ein. warum es whatsapp klappt? da muss der user nichts machen. (aber es gibt noch genug user dieses dienstes, die keinen plan haben, was oder warum ende-zu-ende verschlüsselung verwendet wird, oder warum man das überhaupt will).

    mehr aufklärung muss her!

  16. #17 Klaus Schmeh
    21. Mai 2016

    Eine interessante Veröffentlichung hierzu in der DuD 5/2016:

    Bernhard Esslinger, Ludger Schmidt, Benjamin Strenge, Arno Wacker: “Unpopuläre E-Mail-Verschlüsselung – Auflösung des Henne-Ei-Problems”

    Inhalt:
    E-Mail-Verschlüsselung könnte längst flächendeckend Verwendung finden. Der Beitrag gibt eine Antwort auf die Frage, warum dies nicht der Fall ist – und macht Vorschläge, was getan werden sollte, um dies zu ändern.