25. Juni 2014 Hang zum Leichtsinn

Führende Politiker diskutieren momentan kontrovers, ob E-Mail-Anbieter in Zukunft dazu verpflichtet werden sollen, Ende-zu-Ende-Verschlüsselung anzubieten. Währenddessen hinken mittelständische deutsche Firmen im Bereich E-Mail-Sicherheit immer noch weit hinterher und gehen hohe Risiken ein.

Letzte Woche erst hat das Bundesministerium für Verbraucherschutz scheinbar einen großen Schritt hin zu mehr Sicherheit im Netz getan. Man wollte alle E-Mail-Anbieter dazu verpflichten, Mails in Zukunft Ende-zu-Ende zu verschlüsseln, das Ganze sollte sogar in EU-Richtlinien verankert werden. Am Montag dann das Veto von Bundesinnenminister Thomas de Maizière: Er will den Datenschutz in Deutschland zwar stärken, „aber das können und wollen wir nicht staatlich verordnen“. Damit ist die Verschlüsselungspflicht wohl erst mal vom Tisch. Ein interessanter Aspekt am Vorstoß der Verbraucherzentrale: Die Anbieter sollen grundsätzlich alle Mails verschlüsseln, der User kann die Einstellungen jedoch manuell zurückschrauben. Anwender sollen also mehr oder minder zu ihrem Glück gezwungen werden, der Gewissheit alles für den Schutz der eigenen Privatsphäre getan zu haben. Denn effektivere Maßnahmen als die Ende-zu-Ende-Verschlüsselung existieren momentan nicht. Bei diesem Verfahren werden Text und Daten vor dem Versenden verschlüsselt, bleiben auch während der kritischsten Phase – der Ablage auf dem Server – verschlüsselt und werden dann vom Empfänger mithilfe eines „Keys“ wieder in Klartext umgewandelt. Dass man Privatpersonen zur Sicherheit verdonnern muss, wirkt symptomatisch für den Status Quo der Bevölkerung. Zwar ist durch den NSA-Skandal Jedermann über PRISM und Co informiert, aber die Bereitschaft sich selbst für die eigene Privatsphäre einzusetzen stagniert.      

Der Vorstoß durch die Verbraucherzentrale wirkt sinnvoll, auch wenn noch keine Details über die genaue Handhabung bekannt sind. Offensichtlich denken einige Politiker langsam um, erkennen den Wert von Datensicherheit – oder zumindest wie öffentlichkeitswirksam es sein kann, sich dafür auszusprechen. Möglicherweise hat auch öffentlicher Druck durch Fachverbände wie den Chaos Computer Club (CCC) eine Rolle gespielt. Der hatte sich kurz zuvor in einer Stellungnahme für „Sicherheitssysteme mit Ende-zu-Ende-Verschlüsselung als Standard“ ausgesprochen. Schon vergangenes Jahr kämpften die Nerd-Vorreiter gegen Scheinsicherheit im Mail-Verkehr. Große Anbieter wie die Telekom oder Gmx hatten sich mit dem Slogan „E-Mail made in Germany“ selbst ein vermeintliches Prädikat verpasst, das Sicherheit suggerieren sollte. Tatsächlich war die Aktion allerdings nur ein als Revolution getarnter Marketing-Gag, denn die so wichtige verschlüsselte Ablage der Daten wurde keineswegs gewährleistet. Man hat den Nutzern also falsche Tatsachen vorgespielt, der CCC geißelte die PR-Aktion als „Sommermärchen“. Seine Mitglieder empfehlen eine  Verschlüsselung mithilfe der Programme PGP  oder S/MIME.

Gängige Verschlüsselungstechnik für Laien zu komplex

Diese Empfehlung mag zwar gut gemeint sein, mit der Realität hat sie leider wenig zu tun. Denn obwohl beide Verfahren ein hohes Maß an Sicherheit garantieren, sind sie für Laien zu kompliziert zu handhaben. Wer nicht mit der Materie vertraut ist, wird frustriert aufgeben. Diese Lösungen sind für die breite Masse schlicht nicht praktikabel. Die Äußerungen von Ex-Innenminister Friedrich, jeder solle sich selbst um die Verschlüsselung der eigenen Daten kümmern, wirken unter Berücksichtigung dieses Aspekts noch unpassender. Der Grund für die Sicherheitsmüdigkeit der Bürger ist also offensichtlich. So weit, so gut, schließlich ist man für die eigene Privatsphäre ja selbst verantwortlich. Sicher, durch die unverschlüsselte Kommunikation gibt man in der Regel auch Informationen über den Bekanntenkreis preis.

Wirklich wichtig wird das Thema Privatsphäre erst, wenn es die eigenen vier Wände verlässt und sich am Arbeitsplatz zum Begriff Unternehmenssicherheit wandelt. Jede Firma versendet sensible Daten, die gilt es vor neugierigen Blicken abzuschirmen. Während die persönliche Privatsphäre zwar kostbar ist, macht sich der Verlust von wichtigen Informationen in der Wirtschaft in der Regel tatsächlich finanziell bemerkbar, die Zukunft eines kompletten Unternehmens kann von den getroffenen Sicherheitsvorkehrungen abhängen. Dass deshalb in Zeiten grassierender Wirtschaftsspionage und zunehmenden Digitalisierungsgrad in Deutschland mehr denn je getan wird, um das eigene Unternehmen vor Cyberkriminalität zu schützen, ist jedoch ein Trugschluss. So hat eine aktuelle Studie der Initiative „Deutschland sicher im Netz“ zu Tage gefördert, dass das Bewusstsein für IT-Sicherheit in mittelständischen und kleinen Unternehmen sinkt – und das schon seit drei Jahren.

E-Mail-Kommunikation als wunder Punkt

Dabei entpuppte sich der Versand und Empfang von E-Mails als wunder Punkt. Internetsicherheit, Datensicherung und -entsorgung bereiten kaum noch Schwierigkeiten, fast alle Firmen (93-98 %) überzeugten in diesen Bereichen. Virenscanner und andere herkömmliche Schutzmechanismen sind mittlerweile nicht mehr wegzudenken, der Zugang zum Internet wird überwacht. Die Kommunikation via E-Mail kann dagegen nur bei 43 Prozent der befragten Unternehmen als sicher angesehen werden – ein Rückgang um sieben Prozent im Vergleich zum Vorjahr. Über die Hälfte der Unternehmen versenden ihre Mails im Umkehrschluss ohne jegliche Sicherheitsmaßnahmen – ein erschreckend hoher Wert, vor allem wenn man bedenkt, dass der E-Mail-Verkehr im gleichen Zeitraum um zehn Prozent zugenommen hat.

Da könnte man schnell auf die Idee kommen, die Zahlen dadurch zu erklären, dass schlicht weniger sensible und unternehmenskritische Daten versendet werden, doch das Gegenteil ist der Fall. Egal ob Geschäftsbriefe, Verträge, Verfahrensdokumentationen oder Präsentationen – in allen Bereichen ist ein deutlicher Zuwachs zu verzeichnen. Warum der Sicherheitsaspekt im Mailbereich derart vernachlässigt wird, ist nicht bekannt. Möglicherweise scheuen kleinere Unternehmen die Kosten und den Aufwand spezieller Verschlüsselungssoftware. Dabei gibt es mittlerweile Lösungen, die im Gegensatz zu PGP und S/Mime einfach zu handhaben sind, an die Bedürfnisse der jeweiligen Firmen angepasst werden können und gleichzeitig eine Ende-zu-Ende-Verschlüsselung bieten. Der Trend in diesem Bereich geht zu Lösungen, die sich in bestehende E-Mail-Programme wie Outlook integrieren lassen und dadurch leicht zu bedienen sind.

Ein weiterer Trend bei mittelständischen Firmen ist die Nutzung von Cloud Computing, beinahe jedes vierte der befragten Unternehmen (23 %) nutzt Cloud-Anwendungen. Alarmierend hierbei: Siebzig Prozent der Cloud-Nutzer sind mit den Sicherheitsanforderungen und rechtlichen Rahmenbedingungen nur teilweise oder gar nicht vertraut. Insgesamt bleibt die Erkenntnis, dass im Bereich Internetsicherheit eine große Diskrepanz zwischen Denken und Handeln besteht, denn dem Großteil der Entscheider dürfte das hohe Gefahrenpotential durchaus bewusst sein.

zurück