Tell me why

Als im September 2013 deutlich wurde, in welchem Ausmaß unsere Kommunikation, soweit über elektronische Medien abgewickelt, überwacht wird, habe ich erwartet dass die digitale Gemeinschaft passende Antworten formulieren würde. Als zwei Jahre später immer noch nichts Wesentliches passiert war, habe ich mich entschlossen, selbst ein E-Mail Programm zu schreiben. Als ich mit der Arbeit begann, dachte ich wie die meisten Leute es bis heute tun. Jetzt weiß ich, dass es das geringere Problem ist, dass wir ausspioniert und überwacht werden, zumindest ist dies nur ein Aspekt. Eine Entdeckung, die ich eher aus Versehen machte, die sich aber bestätigt hat, ist die Tatsache, dass ungesicherte E-Mails beliebig gefälscht werden können und der Empfänger dies nur dann bemerken kann, wenn es zu spät ist. Fast jeder denkt, der E-Mail Header (Kopfzeile) wäre eine verlässliche Information, zumindest was Absenderadressen angeht. Arne Schönbohm, der Präsident des BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt sogar, die Header zu prüfen um sich gegen Angriffe zu schützen. Leider ist diese Annahme falsch und immer mehr Personen oder Unternehmen werden in diese gigantische Falle tappen. Heutzutage wissen so wenige Kriminelle davon wie es wenige Experten gibt, die sich mit E-Mail beschäftigen. Die Falle, von der ich rede, wird bereits genutzt, allerdings noch in relativ bescheidenem Umfang. Wir befinden uns am Anfang des Aufschwungs digital organisierter Kriminalität, aber Regierungen scheuen sich davor, Absicherung dagegen, die ist durch Kryptologie möglich, auch nur zu empfehlen. Logisch ist das nicht. Denn wenn E-Mails komplett fälschbar sind, dann ist auch ausspionierte Kommunikation wertlos. Schlimmer noch: Solange der Mythos von der relativen Zuverlässigkeit des E-Mail-Headers gilt, könnten Menschen auf Grund untergeschobener Nachrichten verfolgt werden. Es ist dringend und wird dringender, das E-Mail-System abzusichern. Damit meine ich eine systemische Absicherung. E-Mail ist das meistgenutzte Einfallstor um kriminell aktiv werden zu können. Phishing Attacken (PINs oder Passwörter erschleichen) oder die Platzierung von Trojanern (kleiner Programme, die schädliche Aktivitäten entfalten) sind im Moment die Hauptübel. Aber reicht das nicht schon?

Eine weitgehend flächendeckende kryptologische Absicherung ist nicht sehr aufwendig. Es muss betont werden, dass Kryptologie nicht nur Verschlüsselung von Nachrichten bedeutet, sondern mit ihrer Hilfe Identitäten geprüft werden können. Auch wer "nichts zu verbergen hat", kann dadurch Opfer werden, dass er manipulierte E-Mails nicht rechtzeitig erkennt. Verschlüsselung ist allerdings unabdingbar, sofern im professionellem Rahmen Daten Dritter kommuniziert werden.

Es ist Aufgabe der Softwareentwickler und eine Herausforderung an sie, den Anwendern die Kompliziertheit kryptologischer Systeme so weit zu verbergen, dass sie sich nicht um Einzelheiten kümmern müssen. Es ist notwendig, kryptologische Software weitgehend transparent zu gestalten.

Aber eine andere Berufsgruppe ist ebenso gefordert. Journalisten sollten auf die Gefahren nicht geschlossener Fallen hinweisen und auch auf Lösungsmöglichkeiten.

Zu WiSiKo: WiSiKo soll endlich die gängigen kryptologischen Techniken auf einfache Weise für jeden nutzbar machen. Im Idealfall so, dass Sicherheit nichts als einen Klick mehr bedeutet. Ich glaube, dieses Ziel habe ich erreicht. Ich habe versucht, ein Produkt zu schaffen, das einerseits die Sicherheitstechnik implementiert, andererseits aber keine Abwege verlangt. Damit meine ich, dass integriert verschlüsselt und entschlüsselt wird, unauffällig signiert und kaum je eine Entscheidung von Ihnen verlangt wird. Ich biete transparente, authentische Verfahren.

Die Adressverwaltung ist in WiSiKo kein Anhängsel sondern Kern der E-Mail Organisation. WiSiKo setzt auf Transparenz. Jeder Ihrer Mails wird Ihre elektronische Visitenkarte und Ihr öffentlicher openPGP-Key beigegeben. Nach meiner Überzeugung setzt sich sichere Mail niemals durch, wenn ich es den Korrespondenzpartnern überlasse, sich auf Verfahren und Vorgehen zu einigen. Darum werden jede empfangene elektronische Visitenkarte in die Adressverwaltung und jeder empfangene öffentliche Schlüssel in die elektronischen Schlüsselverwaltung eingepflegt. Wenn es klappt, organisiert sich so die Adress- und Verschlüsselungsinfrastruktur quasi von selbst.