Verschlüsselung im Alltag: „Der Mehrgewinn ist vielen nicht klar“

BERLIN taz | Wie kann man es Schnüfflern möglichst schwer machen, Nutzerdaten systematisch abzufangen? Wie kann Verschlüsselung unter große Teile der Bevölkerung gebracht werden? Bei einer Diskussion mit Edward Snowden auf dem SXSW-Festival ging es genau darum. Verschlüsselte Kommunikation sei noch viel zu wenig verbreitet, so die Meinung der drei Diskutanten. Und ihre Erklärung: Viel zu häufig sei die entsprechende Software „von Geeks für Geeks“.

Als eines der sichersten Systeme, Kommunikation zu verschlüsseln, gilt die Ende-zu-Ende-Methode. Bei dieser Methode können nur die Nutzer auf ihren Geräten die Daten einsehen – auf dem Übertragungsweg bleiben sie codiert. Bisher bieten aber nur wenige Unternehmen eine Ende-zu-Ende-Verschlüsselung an. In der Regel wird nur der Weg vom Nutzer zum Server gesichert. Einserseits, weil die Technik aufwändig ist, andererseits, weil der Dienst so an Nutzerfreundlichkeit einbüßt. Manche Anbieter haben aber auch ein wirtschaftliches Interesse an der Einsehbarkeit der Daten – beispielsweise, um personalisierte Werbung zu zeigen.

Wer dennoch sicher kommunizieren möchte, der muss sich entschlossen mit Technik auseinandersetzen. Manch ein Nutzer verzweifelt daran, sich ein PGP-Schlüsselpaar („Pretty Good Privacy“) zu erstellen, um verschlüsselte Mails auszutauschen. Diese Prozedur ist für viele zu komplex und schreckt sie ab.

„Den meisten Laien ist der Mehrgewinn von Ende-zu-Ende-Verschlüsselung nicht klar“, meint Melanie Volkamer von der TU Darmstadt. Sie forscht zur Benutzbarkeit von IT-Sicherheitslösungen. Selbst Nutzer, die sehr ambitioniert seien, hätten Schwierigkeiten, die Technik nachzuvollziehen. Das Problem sei, so sagt die Forscherin, dass Informatiker bisher versuchten, Sicherheitslücken zu schließen, ohne die Endbenutzer zu berücksichtigen.

Sicherheit im Hintergrund

Jörn Müller-Quade, Professor für Kryptographie vom Karlsruher Institut für Technologie, ist zuversichtlich, dass schon bald sichere, aber auch benutzerfreundliche Systeme entwickelt werden könnten: „Technisch wäre es kein Problem, all die komplizierten Dinge im Hintergrund ablaufen zu lassen.“ So könnten Verschlüsselungstools auf den Geräten vorinstalliert sein. Sie könnten verwendet werden, wenn der kontaktierte Nutzer diese ebenfalls hat.

„Das Problem ist also kein technisches, sondern ein Problem des Marktes, der Standardisierung und der Regelungen“, sagt Müller-Quade. Trotzdem würden die Produkte aber auch in Zukunft Hintertürchen enthalten, glaubt er. „Diese Möglichkeit der Überwachung ist viel zu wertvoll.“ Ob sich Sicherheit allgemein durchsetze, hängt seiner Meinung nach aber auch damit zusammen, ob man bereit sei, dafür Geld auszugeben. Außerdem müsse man sich wohl in seinem Komfort einschränken. „Eine einfachere Handhabung bedeutet normalerweise weniger Einstellmöglichkeiten.“

Auch Christian Grothoff von der TU München ist überzeugt, dass technisch schon jetzt viel mehr möglich ist. Er ist der Leiter einer Nachwuchsgruppe „Sichere dezentrale Netzwerke“. Allerdings stelle sich die Frage, wer ein Interesse daran habe, diesen technischen Stand auch in die Realität umzusetzen. „Es gibt verschiedene Gruppierungen, die es dem Nutzer schwermachen wollen, geheim zu kommunizieren. Dazu gehören auch Regierungen und Industrie.“

In seinem Projekt entwickelt Grothoff ein Programm, das dem Nutzer nach der Installation einen QR-Code ausgibt. Diesen kann er mit Freunden oder Kollegen teilen. Er weist ihn als spezifische Person aus. Der Kommunikationspartner kann den Code dann beispielsweise via Webcam einscannen und so verschlüsselt kommunizieren.

Einfach mal verbieten

Dass es auch heute schon möglich ist, Sicherheit und Benutzerfreundlichkeit zu kombinieren – und zusätzlich noch ein eigenes Image damit zu kreieren – zeigen Nachrichten-Apps wie Threema oder Textsecure. Sie verschlüsseln die Nachrichten ihrer Nutzer mit der Ende-zu-Ende-Methode. Der Wechsel großer Userzahlen zu solchen Produkten könnte die Anbieter ähnlicher Dienste unter Druck setzen, auch ihre Sicherheitsstrategie zu überdenken.

Die Wissenschaftler sind überzeugt, dass auch erhöhte Investitionen in die Forschung notwendig seien, um übergreifende IT-Sicherheitslösungen zu entwickeln. Grothoff kritisiert, es sei erstaunlich schwer, für die Forschung zu sicherer Kommunikation Geld zu bekommen. „Ich muss davon ausgehen, dass dieses Problem gar nicht als so dringlich angesehen wird, wie man es aufgrund der öffentlichen Diskussion möglicherweise erwarten würde“, sagt er.

Eine vieldiskutierte Frage ist auch, wer jetzt Verantwortung übernehmen muss, damit es vorangeht – ob sich der Einzelne mehr schützen muss, sozusagen in Eigenregie, oder ob es Aufgabe des Staates ist, seine Bürger zu schützen. Müller-Quade sieht das Parlament in einer entscheidenden Rolle: „Der Staat kann Gesetze erlassen, die Hintertürchen in Softwareprodukten ähnlich bestraft, wie Fahrlässigkeit im Fahrzeugbau.“