Volksverschlüsselung

Im tiefen Tal der Superbürokraten

Die Verschlüsselung für alle ist da und sie ist so, wie viele es befürchtet hatten: Zu bürokratisch, um erfolgreich zu sein.

Die bisherigen digitalen Initiativen aus staatlichen Verwaltungen sind krachend gescheitert. Beispiel elektronischer Personalausweis: Zwar hat inzwischen gut jeder Zweite so ein Ding, doch die Digitalfunktionen werden kaum genutzt. Auch De-Mail ist kein Erfolg. Mehr als drei Jahre nach Einführung ist noch keine kritische Masse an Anwendern entstanden, sodass sich die Anmeldung auch kaum lohnt.

Ende-zu-Ende-Verschlüsselung für alle

Jetzt also die Volksverschlüsselung. Im Kern handelt es sich dabei um kostenlose Software, die eine Ende-zu-Ende-Verschlüsselung für den Einsatz in beliebigen Mailprogrammen anbietet. Eingesetzt wird das bekannte und als sicher geltende Verfahren S/MIME. Die Betreiber sind das Fraunhofer-Institut für Sichere Informationstechnik SIT als Anbieter der Software und die deutsche Telekom als Infrastruktur-Provider.

Zur Zeit kann die Volksverschlüsselung nur unter Windows eingesetzt werden, Versionen für Android, iOS, Linux und Mac OS sollen folgen. Die Anwendung nimmt ihre Nutzer an die Hand und hilft bei der Authentifizierung, der Erzeugung der Schlüssel und deren Einbettung in das System. Der Schlüssel besteht aus zwei Teilen, einem öffentlichen und einem privaten Teil. Der private Schlüssel bleibt nach Auskunft des Fraunhofer SIT in den Händen des Nutzers, der öffentliche Schlüssel wird auf einem Schlüsselserver im Fraunhofer-Institut gespeichert.

Soweit, so gut. Grundsätzlich klingt das schon mal einfacher als der Umgang mit den bisher bekannten Verschlüsselungslösungen. Denn das Ziel des Fraunhofer SIT war es, sichere Ende-zu-Ende-Verschlüsselung massentauglich zu machen und dafür zu sorgen, dass so gut wie jeder seine E-Mails verschlüsselt. Entsprechend richtet sich das Projekt zunächst auch ausschließlich an Privatleute. Für Unternehmen ist es eher ungeeignet, denn es können keine rechtsverbindlichen Unterschriften (digitale Signaturen) für offizielle Dokumente erstellt werden.

Umständliche persönliche Identifizierung

Doch leider gibt es ein paar Hürden und Nachteile, die einen Erfolg der Volksverschlüsselung fraglich erscheinen lassen. So ist die Authentifizierung einer Person zur Ausstellung der Verschlüsselungszertifikate nur sehr umständlich möglich. Zum einen kann dafür der E-Personalausweis eingesetzt werden, der aber von den meisten Leuten gar nicht genutzt wird.

Andere Möglichkeiten sind der Einsatz des Telekom-Kontos für das Kundencenter oder eine persönliche Registrierung mit dem normalen Ausweis, beispielsweise beim Fraunhofer SIT oder in den Telekom-Shops. Weitere Verfahren wie Postident werden bisher nicht angeboten. Kurz: Es ist gar nicht so einfach, sich überhaupt für die Verschlüsselung zu registrieren - normalerweise ein großes Hindernis für weite Verbreitung.

Darüber hinaus ist die Volksverschlüsselung mit anderen etablierten Verfahren nicht vollständig kompatibel und wird somit zur Insellösung. Da OpenPGP nicht unterstützt wird, können dessen Anwender nicht in den verschlüsselten Mail-Austausch einbezogen werden. Außerdem kritisieren zahlreiche Sicherheitsexperten die S/MIME-Implementation.

Das Fraunhofer SIT nutzt ein selbstsigniertes Root-Zertifikat, das beim Mail-Austausch mit Nutzern anderer S/MIME-Zertifikate als dem der Volksverschlüsselung zu Fehlerwarnungen führen würde. Die Anwender anderer Verschlüsselungsverfahren müssten auf die Volksverschlüsselung umsteigen oder das System parallel benutzen. Eine unrealistisch klingende Annahme, zumal sich lediglich Inländer registrieren dürfen.

Skepsis bei IT-Experten

Außerdem ist es fraglich, ob die Volksverschlüsselung zukunftssicher ist, denn sie unterstützt keine elektronischen Signaturen. Ein rechtsverbindlicher Dokumentenaustausch ist nach wie vor nur mit De-Mail möglich, deren Verschlüsselungsroutinen aber inkompatibel mit der Volksverschlüsselung sind. Auf Deutsch: Doppelt gemoppelt schreckt die Anwender wirksam ab.

Wer sich zudem die Mühe macht, in einschlägigen Entwicklerforen der Volksverschlüsselung hinterher zu recherchieren, stößt auf große Skepsis. So fällt der Einsatz einer eigenen Infrastruktur für die Schlüsselverwaltung auf, obwohl die Telekom dafür ein zertifiziertes Trustcenter betreibt.

Weitere Kritik gilt dem "seltsamen Open-Source-Verständnis" der Betreiber. Denn bisher sind die Quelltexte nicht einsehbar, sodass unabhängigen Sicherheitsexperten die Implementation der Verschlüsselungsverfahren nicht überprüfen können. Und auf darauf kommt es an, denn es gibt viele Möglichkeiten, sichere Verfahren unsicher zu verwirklichen.

Leider kann das zurzeit bei der Volksverschlüsselung niemand nachprüfen, sodass die Skepsis verständlich ist. Zudem ist die Registrierung mittels Identitätsfeststellung eigentlich nicht notwendig, um S/MIME oder OpenPGP zu nutzen. Dabei handelt es sich um eine Hürde, deren Existenz vermutlich nur die Leute im tiefen Tal der Superbürokraten verstehen.

Bildquelle: Thinkstock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok