Blog: Bringt 2015 den Durchbruch für Ende-zu-Ende-Verschlüsselung?

31.03.2015

Mehrere Unternehmen planen 2015 Initiativen zur Verbesserung der Ende-zu-Ende-Verschlüsselung.

Das Bedürfnis nach Schutz der Privatsphäre ist nach einem Jahr mit schwerwiegenden Enthüllungen und Datenschutzverletzungen grösser denn je. Es ist daher nicht verwunderlich, dass Verschlüsselung für viele Unternehmen ganz oben auf der Tagesordnung steht.

Auch verschiedene Service Provider reagieren durch zusätzliche Angebote. Dazu gehören mehrere Grossunternehmen, darunter zwei der weltweit führenden E-Mail-Anbieter. So hat Google letztes Jahr Pläne angekündigt, die Ende-zu-Ende-Verschlüsselung für den Web-Browser Chrome zu ermöglichen.

Unterdessen hat Yahoo! Pläne enthüllt, seinen Nutzern bis Ende 2015 Ende-zu-Ende-Verschlüsselung zu ermöglichen. Darüberhinaus hat Vodafone Deutschland ein „Secure E-Mail“-Produkt für Unternehmenskunden angekündigt, das im Herbst eingeführt werden soll.

Ende-zu-Ende-Verschlüsselung einfacher machen

Im Mittelpunkt all dieser Bemühungen steht das Ziel, E-Mail-Verschlüsselung einfacher zu machen. So schrieb Google bereits letztes Jahr in einem Blog-Beitrag, dass zwar die Möglichkeiten, ein gutes Verschlüsselungsniveau zu erreichen schon seit längerer Zeit vorhanden seien, diese aber aufgrund der Tatsache „dass sie umfangreiches technisches Fachwissen und manuellen Arbeitsaufwand voraussetzen“ nicht eingesetzt würden.

Die neue Lösungsgeneration will dieses Problem beheben, indem der Prozess der E-Mail-Verschlüsselung für den Laien vereinfacht wird. Geplant ist, dass der Nutzer nicht mehr selbst Schlüssel erstellen und verteilen muss, um mit anderen zu kommunizieren, sondern seine Nachrichten mit einem einfachen Mausklick schützen kann.

Alex Stamos, CISO von Yahoo!, äusserte gegenüber AFP: „Jeder, der die Fähigkeit besitzt, eine E-Mail zu schreiben, sollte keine Probleme damit haben, unsere E-Mail-Verschlüsselung zu nutzen.“

Ein wirksamer Schutz?

Um Erfolg zu haben, müssen die Unternehmen die Nutzer überzeugen, die Ende-zu-Ende-Verschlüsselung wirklich anzunehmen. In Anbetracht ihrer grossen Nutzerbasis scheinen Google und Yahoo! dafür gut geeignet.

Positiv ist auch, dass die beiden Unternehmen bei der Entwicklung ihrer Lösungen zusammenarbeiten, um die erforderliche Kompatibilität sicherzustellen. Die Tatsache, dass die Lösungen auf bestehenden offenen Standards aufbauen, sollte ausserdem förderlich für eine breite Nutzung sein.

Allerdings sind noch einige Fragen offen, bevor sich diese Lösungen in der Masse durchsetzen werden. Beispielsweise werden meist nur browser-basierte E-Mail-Anwendungen abgedeckt. Das bedeutet, dass Benutzer von Desktop E-Mail-Clients oder von mobilen Geräten noch keinen Zugang haben, was die Verbreitung vermutlich einschränkt – zumal viele Nutzeraktivitäten immer häufiger auf Smartphones und Tablets stattfinden.

Auch stellt sich die Frage, wie sicher diese Dienste wirklich sein werden. Wären Google und Yahoo! als amerikanische Unternehmen zum Beispiel verpflichtet, der US-Regierung die Schlüssel auszuhändigen, falls diese es verlangt? Vodafone wiederum ist als britisches Unternehmen zwar ausserhalb der Reichweite gesetzlicher Regelungen wie dem Patriot Act, hat laut Medienberichten in der Vergangenheit aber auch schon mit dem britischen Geheimdienst GCHQ kooperiert.

Um die Transparenz der Lösungen zu stärken, müssen die Betreiber sich der Frage stellen, wie sich die Nutzer darauf verlassen können, dass ihre Daten bei der Verwendung der Dienste vollkommen sicher sind.

Andere Lösungen, um E-Mails sicherer zu machen

Während die Anstrengungen der Grossunternehmen, Verschlüsselung voranzutreiben, derzeit am sichtbarsten sind, sind sie bei weitem nicht die einzigen, die ihren Fokus darauf richten.

So trafen sich Anfang 2015 mehrere bekannte Sicherheitsforscher, um die Dark Mail Technical Alliance zu gründen, mit dem Ziel ein neues E-Mail-Protokoll zu entwerfen. Dieses soll eine vollständige Ende-zu-Ende-Verschlüsselung ermöglichen, so dass Dritte nicht mehr als die Grösse einer E-Mail sehen können. Aus heutiger Sicht wäre das ein wesentlicher Schritt vorwärts, da aktuelle Lösungen selbst bei Ende-zu-Ende-Verschlüsselung immer noch Metadaten preisgeben.

Das Dark Mail-Team besteht aus Phil Zimmermann, Jon Callas, Mike Janke und Ladar Levison – bekannt für die Technologien Pretty Good Privacy (PGP), Silent Circle und Lavabit – sehr beeindruckende Referenzen. Allerdings erscheint ihr Projekt in diesem Stadium noch mehr als ehrgeizig.

Um erfolgreich zu sein, braucht es die Unterstützung aller wichtigen Anbieter, wie Microsoft, IBM, Google und Yahoo!. Unterstützen sie das Protokoll nicht, sind die Chancen gering, dass dieses jemals zu einer weitverbreiteten Lösung wird.

Es ist in jedem Fall gut für den Datenschutz, dass immer mehr Unternehmen ihr Augenmerk auf Ende-zu-Ende-Verschlüsselung richten und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessern wollen. Ich verfolge das mit grossem Interesse, um zu sehen, ob eine dieser Lösungen bei den Endanwendern ankommt und E-Mail-Verschlüsselung endlich zum Durchbruch verhilft.


von Marcel Mock, CTO