Internet-Sicherheit: Mal etwas Positives (mit Nachtrag)

Vor drei Jahren, im Sommer 2013, veränderte sich das Weltbild einiger Internet-Nutzer. Edward Snowden, ein nach Russland sich absetzender früherer Auftragnehmer der National Security Agency (NSA) der USA, hatte an einigen Grundfesten gerüttelt. Den Begriff Internet verband man nicht länger mit freundlichen Nerds, enthusiastischen Predigern und dezent im Hintergrund wachenden Behörden. Jeder dachte fortan an Schlapphüte und Gangster, die sich dort ihr Stelldichein gäben.

Plötzlich war Sicherheit im Netz ein Superthema, das nicht nur einzelne Spezialisten in großen Firmen beschäftigte. Jedermann und jede Frau seien betroffen, vor allem aber Teenager, Schul- und sogar Kleinkinder. Verschlüsselung aller Texte und E-Mails galt als das Allheilmittel. Dass es hierfür keine ordentlichen Lösungen gab, die auch von Privatpersonen nutzbar waren, machte einige Kollegen – um nicht zu sagen, die ganze Fachwelt  ̶  sehr besorgt. Die Gesellschaft für Informatik (GI) machte sich zum Sprachrohr der Enttäuschten und half zumindest bei der Aufklärung. Ich habe darüber ausführlich in diesem Blog berichtet. Ich zitierte damals meinen Kollegen Rudolf Bayer aus München wie folgt:

Die Einrichtung von E-Mail-Verschlüsselung ist derzeit sehr umständlich. Sie wird in der Praxis deshalb kaum eingesetzt, weder im Privaten noch in der Wirtschaft. Ich sehe für die Informatik eine große Herausforderung darin, diese Situation zu ändern und unterbreite konstruktive Vorschläge. … Das Abhören des E-Mail-Verkehrs ist kein Big Data Problem, sondern überraschend Small Data.… Die Einrichtung von E-Mail-Verschlüsselung muss so einfach werden wie die Installation einer App auf einem Smartphone!

Rudolf Bayers Klage scheint Gehör gefunden zu haben. Nach drei langen Jahren tat sich endlich etwas. Drei Jahre – so werden Sie sagen  ̶  sind ja im Internet eine Ewigkeit. Schließlich hat eine mit öffentlichen Mitteln geförderte Forschungseinrichtung sich des Problems, das Rudolf Bayer und viele andere Fachleute so erregte, angenommen. In diesen Wochen wurde von dem Fraunhofer-Institut für sichere Informationstechnik (SIT) in Darmstadt endlich eine App frei ins Netz gestellt. Hurra! Bezeichnend ist, dass offensichtlich private Investoren hierfür bisher keinen Bedarf sahen. Das möge verstehen, wer will. Ich jedenfalls hätte selbst als Rentner sogar 10 Euro pro Monat bezahlt.

Auf die Verfügbarkeit der App wurde ich am Dienstag dieser Woche (2.8.2016) von Simone Rehm, der früheren GI-Vizepräsidentin, aufmerksam gemacht. Hier Ihre Mail:

Liebe GI-Mitstreiter, nachdem im September 2014 [beim GI-Fellow-Treffen in Stuttgart] das Thema „laientaugliche Ende-zu-Ende Verschlüsselung“ tot zu sein schien, hat sich nun erfreulicherweise etwas getan: In unserer [Stuttgarter] GI-Regionalgruppe gab es heute Abend einen hervorragend und topaktuellen Vortrag zum Thema Volksverschlüsselung von Dipl.-Inf. Michael Herfert (Leiter Cloud Computing and Identity & Privacy, Fraunhofer-Institut for Secure Information Technology, Darmstadt). Der Referent hat sehr kompetent und anschaulich über die Volksverschlüsselung berichtet, eine Initiative des Fraunhofer-Instituts in Darmstadt kombiniert mit einer App, die vor wenigen Wochen „live“ ging und nach meinem Verständnis alle unsere Erwartungen von damals erfüllt. Hier der Link zum Nachlesen.

Der Link führt zu mehr Information und zur Download-Möglichkeit der App. Es gibt sie für IOS- und Android-Systeme. Ich selbst hatte sie innerhalb einer knappen Stunde am Laufen. Für den Zugang benutze ich mein T-Online-Konto, über das ich seit Jahren meine E-Mails empfange und versende. Für den Fall, dass Sie kein Konto bei der Telekom haben, gibt es andere Möglichkeiten.

Ein Kollege bezweifelte, dass der Name Volksverschlüsselung gut gewählt sei. ‚Ich musste erst mal an Negatives wie Volksverdummung oder Volkswagen [!] denken‘ meinte er. Ich entgegnete: ‚Der Name störte mich kaum. Hauptsache, es tut jemand etwas, anstatt immer nur zu reden. Jetzt sollte man testen, ob sich damit eines der 'größten Probleme des Internets' wirklich löst.`

Es muss sich herausstellen, ob dieses kostenloses Angebot angenommen wird, vor allem von den Leuten, die bisher den (Internet-) Weltuntergang befürchteten. Technisch gesehen erscheint die App alle Anforderungen zu erfüllen. Ich hoffe natürlich, dass der Sponsor des Projekts, sei es der Staat oder ein nicht genannter Internet-Provider, keinerlei Auflagen mit der Finanzierung verknüpft hatte, oder dass nicht clevere Hacker die FhG unterwandern oder überlisten werden. Letzte Sicherheiten – das hören wir ja immer wieder  ̶  kann niemand geben. Die lange Entwicklungsdauer deutet daraufhin, dass hier keine ‚agilen‘ Methoden zur Anwendung kamen. Sorgfalt und penible Arbeitsweise ermöglichen zwar ein hoch qualitatives Produkt, sie garantieren es jedoch noch nicht.

Vor drei Jahren hatte ich – von Rudolf Bayer beraten – schon einmal eine Lösung implementiert. Sie kostete mich einigen Aufwand. Nicht nur lief die kostenlose Lizenz nach einem Jahr ab, ich hatte kaum Kollegen in meinem Bekanntenkreis gefunden, die mir verschlüsselte Mails schickten. Ob es dieses Mal anders sein wird? Noch habe ich meine Zweifel. Vielleicht ist die Verschlüsselung nicht die allseits erhoffte Lösung des Vertrauensproblems. Genau deshalb werbe ich für diesen zweiten Versuch. Gerne würde ich auch über diesbezügliche Erfahrungen meiner Leserinnen und Leser in diesem Blog berichten.

Nachtrag vom 10.8.2016

Michael Herfert ist Leiter des Projekts Volksverschlüsselung beim FhG-SIT in Darmstadt. Gestern gab er mir in einem Telefonat einige Informationen zum Projekt. Das Projekt wurde im Herbst 2013 als internes Projekt des Instituts gestartet. Einschließlich Werkstudenten arbeiteten nie mehr als 10 Mitarbeiter an der Software. Anlässlich des IT-Gipfel 2015 kam der Kontakt zur Telekom zustande. Man gewann die Telekom dafür, die Server-Software in einem ihrer sicheren Rechenzentren zu betreiben. Seit der Ankündigung der Verfügbarkeit im Sommer 2016 besteht großes Interesse in der Öffentlichkeit. Es ist der derzeitige Plan, die Verschlüsselung für Privatkunden langfristig kostenlos anzubieten. Man hofft kommerzielle Kunden wie zum Beispiel Banken, Versicherungen und andere Unternehmen mit Kontakt zu Privatkunden dafür zu gewinnen, die angebotene kostenlose Verschlüsselung für die Kommunikation mit diesen Kunden zu verwenden. 

Nachtrag vom 29.10.2016

Leider muss ich gestehen, dass es mir trotz intensiver Bemühungen nicht gelungen ist, selbst fachlich interessierte Kolleginnen und Kollegen für einen Test der Volksverschlüsselung zu gewinnen. Eine nur minimale Unterstützung durch den Anbieter war nicht zu erhalten.