Schlüsselfertige Mail ohne viel Kryptik

von Jürgen Höfling

Share
20.05.2009

Schlüsselfertige Mail ohne viel Kryptik E-Mail ist in vielen Unternehmen immer noch das wichtigste Instrument zur Prozess-Steuerung. Insofern ist es merkwürdig und bedenklich zugleich, dass dieses Werkzeug oft mehr als fahrlässig verwendet wird. Dabei gibt es heute sichere Lösungen, ohne dass die Nutzer sich mit allzuviel ­mathematischer Kryptik herumschlagen müssen.

(Fortsetzung des Artikels von Seite 7)

Das Nicht-Verschlüsseln von geschäfts­relevanten E-Mails ist als Pflichtver­säumnis der Führungsebene zu bewerten.

Sicher muss nicht jede E-Mail verschlüsselt werden. Aber es gibt in kleinen und großen Unternehmen, Behörden und Privathaushalten viele Inhalte, die aus Gründen der informationellen Selbstbestimmung der Bürgerinnen und Bürger, der öffentlichen Sicherheit oder legitimer wirtschaftlicher Interessen den neugierigen Augen Dritter entzogen werden müssen. Auch ist die Nichtverfälschbarkeit solcher Dokumente die Voraussetzung für ihre Beweiskraft in einem eventuellen Rechtsstreit. Es zeugt deshalb von mangelndem Risikobewusstsein vieler Unternehmen und Behörden, wenn sie nach wie vor die elektronische Post zwar als wichtiges Prozesssteuerungsinstrument einsetzen, diesen Weg aber in sträflicher »Offenheit« gehen. Das ist kein lässlicher Fauxpas, sondern ein gravierender Managementfehler, dessen haftungsrechtliche Konsequenzen hart sein können. Für entsprechende Versäumnisse der Führungsetage gibt es auch keine Ausreden, denn effiziente Lösungen sind in vielen unterschiedlichen Varianten am Markt längst verfügbar. Dass sicherer E-Mail-Verkehr einen gewissen organisatorischen und kostenmäßigen Mehraufwand bedeutet, ist aber klar. Ein paar Klicks mehr werden es schon sein, aber niemand würde doch vertrauliche Papier-Dokumente nur deshalb nicht kuvertieren, weil ihre Verteilung als Flugblatt billiger und einfacher ist. Was bei der gelben Post Umschlag, Absenderangabe und Einschreibe-Quittung darstellen, das sind beim elektronischen Äquivalent Verschlüsselung und elektronische Signatur. Viele Anbieter versuchen die elektronischen Konzepte so intuitiv und einfach zu gestalten, dass sie der Durchschnittsnutzer nicht als mathematisches Rätselwerk wahrnimmt und fürchtet, sondern tatsächlich nur als Umschlag, Absenderangabe und Einschreibe-Quittung. Mittlerweile wird eine Unmenge von technischen Varianten angeboten, um diese Anmutung zu erreichen.

Client- versus Gateway-Lösungen

Das war nicht immer so. Noch vor fünf Jahren war eigentlich Konsens, dass eine sichere Verschlüsselungslösung am einzelnen Arbeitsplatz anzusetzen hatte und sonst nirgends. Letztlich lässt sich ja nur dort entscheiden, was verschlüsselt werden muss und wer das Recht dazu hat; und nur eine Einzelperson kann verlässlich elektronisch signieren, weil nur bei dieser Einzelperson sinnvoller Weise der private Signierschlüssel deponiert werden kann. Die Nachteile dieses Verschlüsselungsansatzes direkt am Arbeitsplatz traten indes schnell zu Tage. Wenn durchgängig verschlüsselt wird, werden Virenschutz und Inhaltsfilter stumpf, die Verantwortung liegt ganz beim einzelnen Mitarbeiter und die Verwaltung solcher Systeme ist ziemlich aufwendig. Ein Ausweg aus dem Dilemma scheint die sogenannte Gateway-Verschlüsselung zu sein. Hier wird die ganze Arbeit zentral auf einem dafür ausgelegten Server gemacht. Praktisch alle Anbieter haben heute diese Variante im Programm, teilweise sogar ausschließlich. Lange Zeit hat das deutsche Bundesamt für die Sicherheit in der Informationstechnik (BSI) clientbasierte Lösungen propagiert, mit dem »institutionellen Segen« für die virtuelle Poststelle des Bunds auf der Basis des Gateway-Produkts Julia (von ICC) ist man vor einigen Jahren dann von den eigenen strengen Vorgaben abgewichen.

PKI-Betrieb bringt Aufwand mit sich

Auch die zentrale Verschlüsselung an einem Gateway erweist sich für viele Anwender als noch zu kompliziert. Man kann zwar Gruppenschlüssel verwalten und auch das Vorhalten von Nachschlüsseln (bei Schlüsselverlust) ist deutlich einfacher zu handhaben als bei clientbasierter Verschlüsselung, der Aufbau selbst erfordert aber – wenn nach den Standards S/MIME oder OpenPGP implementiert wird – sowohl auf Sender- als auch auf Empfängerseite eine vollständige Public-Key-Infrastruktur (PKI), um die erforderlichen Zertifikate ausstellen zu können. Der Betrieb einer solchen Infrastruktur mit seinen Registrierungs-, Sperr- und Sperrprüfungsvorgängen ist aufwendig, daran gibt es nichts zu deuteln. Wenn freilich eine solche PKI einmal vorhanden ist, dann ergeben sich sichere E-Mail-Abläufe fast von selbst und sind für die Nutzer kaum anders in der Hand?habung als die nicht verschlüsselter Mails. »Die ?klassischen Lösungen, also OpenPGP und S/MIME, erfordern einen gewissen Anfangsaufwand, danach findet eine bequeme Form der sicheren Kommunikation statt«, beschreibt Ingo Wachter, Vorstand bei PGP Deutschland, vielleicht ein bisschen zu euphemistisch die Situation.

»PKI-Workarounds«

Euphemistisch nenne ich die Beschreibung deshalb, weil schließlich gerade wegen der Komplexität einer PKI fast alle Hersteller neben S/MIME- und OpenPGP-konformen Gateways auch »PKI-freie«Verfahren anbieten. Diese sind technisch sehr vielgestaltig und haben eigentlich nur das eine gemeinsam, dass sie keine PKI-Architektur benötigen. Entweder bringen sie ein eigenes Schlüsselmanagement mit wie die PXE-Encryption der Cisco-Tochter Ironport oder sie arbeiten mit »PKI-Workarounds«. An der Funktion Kickmail des Berliner Verschlüsselungsspezialisten Zertificon mag das näher erläutert werden: Bei Kickmail wird die elektronische Post als passwort-verschlüsselter Datencontainer dem Empfänger zugestellt, und zwar in Form eines html-Anhangs einer normalen Klartextmail. In dem Container ist die originale, zu schützende Mail enthalten. Wenn der Empfänger auf den Anhang klickt, wird dieser komplett vom Webbrowser des Empfängers zum Secure Messenger (der Entsprechung des S/MIME-Gateways) gesendet. Da auf dem Empfänger-Client keine Entschlüsselungslogik vorhanden ist, beglaubigt sich der Empfänger auf der öffentlichen Webseite mit seinem Kennwort und die an ihn gerichtete Mail wird entschlüsselt. Dazu muss über irgendeinen Kanal (Telefon, brieflich) natürlich ein Kennwort mitgeteilt werden, das dann aus Sicherheitsgründen gleich geändert werden muss.

Java Applets sind nicht unproblematisch

Um eine Entschlüsselung direkt auf einem PKI-losen Empfänger-Arbeitsplatz vornehmen zu können, wird von mehreren Anbietern ein PDF-Anhang als Datencontainer benutzt. Durch ein mitgeliefertes Java-Script-Element im Browser lässt sich der oben für html beschriebene Vorgang auch lokal auf dem PC des Empfängers durchführen. Auch die Lösung von Ironport arbeitet so, allerdings nicht mit PDF, sondern mit einem in Java-Script geschriebenen Key-Server-Applet. Bei Zertificon geschieht die Entschlüsselung auf dem Client in erster Linie mit dem Acrobat Reader, aber ein bisschen Java Script ist wohl auch dabei. Über die Sicherheitsaspekte dieser Ansätze kann man trefflich streiten. Wenn beispielsweise ein Komplettzugriff auf die Festplatte und umfangreiche Ausführungsrechte für das Server-Applet gewährt werden müssen, ist sicher Vorsicht angesagt. Deshalb lassen Sicherheitsmechanismen wie Web-Application Firewalls solche umfassenden Zugriffe überhaupt nicht zu. Für den Fall, dass sie doch erlaubt sein sollen, muss quasi ein »Workaround um den Workaround« herum gefunden werden.

Identitätsbasiertes Verfahren hat Tücken

Unter die Nicht-PKI-Lösungen kann auch das sogenannte identitätsbasierte Verschlüsseln gerechnet werden. Bei diesem wird der öffentliche Schlüssel nicht wie bei traditionellen asymmetrischen Verfahren in Abhängigkeit vom privaten Schlüssel berechnet, sondern ist frei wählbar. Beispielsweise kann die E-Mail-Adresse des Empfängers als öffentlicher Schlüssel ?benutzt werden. Mit Trend Micro versucht jetzt gerade ein potenter Spieler mit einer ausgereiften Version ?dieser Technik, die im Ansatz schon dreißig Jahre alt ist, Marktanteile zu gewinnen. Trend Micro hat das Verfahren, das von der übernommenen Firma Identum stammt, in seine gehostete Interscan-Lösung ?integriert. Die Probleme dieses auf den ersten Blick recht attraktiven Verfahrens treten bei der tatsächlichen Implementierung sehr schnell zutage. De facto wird beim identitätsbasierten Verfahren nämlich die mathematische Grundlage der asymmetrischen Verschlüsselung (Einweg-Funktion zur Berechnung des öffentlichen Schlüssels) auf den Kopf gestellt, sodass ein spezieller Schlüsselserver für die sichere Berechnung der privaten Schlüssel aufgebaut werden muss. Mit einigem Recht sagt deshalb beispielsweise Michael d`Aguiar, Pressesprecher der 1&1-Tochter Web.de: »Zumindest für offene Benutzergruppen ersetzt die identitätsbasierte Verschlüsselung das Problem einer vertrauenswürdigen Verteilung öffentlicher Schlüssel durch ein neues Problem, nämlich die vertrauenswürdige Erzeugung und Verwaltung privater Schlüssel.« Trend Micro ist sich dieses Problems sicher bewusst. Andy Dancer, Director Product Development, propagiert deshalb die identitätsbasierte Verschlüsselung nicht als Allheilmittel, sondern in erster Linie als Lösung für die Kommunikation zwischen den Unternehmen, wobei »Cloud-basierte Schlüsselserver die privaten Schlüssel vertrauenswürdig machen sollen«.

De-Mail schirmt die Technik vom Nutzer ab

»Dem eigentlichen Akzeptanzproblem bei den Nutzern werden sowohl traditionelle PKI-Lösungen als auch identitätsbasierte Lösungen nicht gerecht, da bei beiden Verfahren das Konzept der asymmetrischen Verschlüsslung verstanden werden muss«, resümiert Michael d´Aguiar. Dieses Akzeptanzproblem versucht die De-Mail-Initiative der deutschen Bundesregierung zu lösen (siehe auch Staat&IT, 4/2008, Seite 26ff). »De-Mail soll als (rechts-)sichere elektronische Post auch von Menschen genutzt werden können, die heute nicht fähig oder willens sind, auf Verschlüsselungstechnologien oder elektronische Signaturen zurückzugreifen. Entsprechende Sicherheitsfunktionen sollen deshalb so weit wie möglich durch den Provider abgedeckt werden«, erläutert Dr. Heike Stach, De-Mail-Projektleiterin im Bundesinnenministerium das Konzept. Bei De-Mail soll es verschiedene Sicherheitsstufen geben, eine »normale« mit Passwort und User-ID und solche mit höherer Sicherheit auf der Basis von Zweifaktor-Authentifizierung beziehungsweise Hardware-Modulen für die Schlüsselverwaltung. Die technische Umsetzung obliegt den jeweiligen privaten Dienstleistern, die sich vom BSI für den De-Mail-Dienst zertifizieren lassen müssen (derzeit sind das T-Systems und 1&1, wobei an diesen beiden Schwergewichten natürlich viele IT-Sicherheitsspezialisten als Unterlieferanten hängen).

»Der Bock als Gärtner«

Ob De-Mail breite Akzeptanz finden wird, ist heute ungewiss. Wirtschaftliche Eifersüchteleien und sicherheitstechnische Mäkeleien sind deutlich zu vernehmen. Nicht zu reden von politischen Vorbehalten, weil bei De-Mail nun gerade das Ministerium, das durch anderweitige Online-Aktivitäten (»Bundestrojaner«) das Grundgesetz manchmal interpretatorisch arg strapaziert, als Garant für vertraulich bleibende elektronische Post auftreten will. Dr. Burkhard Wiegel, Geschäftsführer von Zertificon, meint, dass hier »der Bock zum Gärtner gemacht« werde. Im Grunde sind die Voraussetzungen für einen sicheren Postverkehr auf der Basis von Internet-Technologie heute gegeben. De-Mail könnte hier zusätzlichen Schub geben, letztlich sind es aber die Nutzer, die diesen sicheren Verkehr auch wollen müssen. An diesem Willen mangelt es immer wieder. Ein paar zusätzliche Gedanken und Klicks sollte den Nutzern aber eine vertrauenswürdige Mail schon wert sein.