Sicherheit ist ein Kontinuum

Dieser Text erscheint in der Reihe
"Lieber Spontan schreiben als grüblen, verschieben und sein lassen".

Es scheint mir wichtig, gerade im Hinblick auf die zur Zeit erhöhte Aufmerksamkeit auf das Thema, darüber zu reden welche Sicherheit wir eigentlich erreichen können und wollen. Ich habe für mich drei Stufen gebildet die ich je nach Anspruch, Daten und Möglichkeiten anwenden möchte.
Weil das Thema gerade für Laien a) schwer zu Verstehen und b) notwendig zu Vermitteln ist möchte ich mit einer abstrakten Beschreibung beginnen.

Die vier Hoffmann'schen Stufen der Sicherheit

1. Eine E-Mail zu schreiben ist, wie eine Postkarte zu verwenden
2. Die nächste Stufe ist, die Postkarte in einen Briefumschlag zu stecken oder einen Brief zu schreiben. Das verhindert das automatisierte abfotografieren des Inhalts. Natürlich kann weiterhin die Absenderadresse automatisch erfasst werden und es ist ein leichtes für die böse Eve die Nachricht aus dem Umschlag heraus zu holen, nur geht es eben nicht mehr automatisch.
3. Wenn ich mehr Sicherheit möchte packe ich die Nachricht in einen versiegelten Umschlag (hier hinkt die Analogie, weil ich keine technische Möglichkeit kenne ein physisches Objekt endgültig nur authorisierten Personen zugänglich zu machen).
4. Als letzten Schritt für höchstvertrauliche Korrespondenz sichere ich den gesamten Prozess vom Schreiben der Postkarte bis zum Lesen ab. Das heißt ich vernichte die Schreibunterlage und den Stift um keine Rückschlüsse auf den Inhalt zu ermöglichen, ich schreibe in einem schallgeschützten Raum und versichere mich, dass mich niemand irgendwie dabei beobachtet und versichere mich, dass meine Kommunikationspartnerin ebenso vorgeht.

Bekannt ist, dass viele Leute gegen die Stufe 3 wittern weil sie nur Stufe 4 für ausreichend halten. Ich dagegen schlage vor, immer mindestens Stufe 2 zu verwenden weil es ein Anfang ist und nach dem 20/80-Prinzip schon ein deutlicher Sicherheitsgewinn.

Die Konkrete technische Interpretation am Beispiel Mail-Versand

Konkret auf das Beispiel E-Mail-Kommunikation bezogen bedeutet die Stufen:

1. Ich schreibe eine E-Mail
2. Ich schreibe eine E-Mail und verschlüssle symmetrisch oder mit einem ungeprüften Schlüssel oder sonst wie nur grundlegend
3. Ich schreibe eine E-Mail mit einem geprüften, regelmäßig gewechselten, mit einem sicheren Passwort gesicherten Schlüssel.
4. Ich schreibe eine E-Mail auf einem Rechner ohne Netzanschluss und Festplatte, betrieben mit OpenSourceSoftware gebootet von einem Live-System, dessen Integrität ich via Hash gesichert habe und verschicke den verschlüsselten Text dann von einem anderen Rechner.

Für die allermeisten Personen und Anlässe würde Stufe 4 einen nicht angemessenen Aufwand bedeuten und wäre schlicht nicht realisierbar (für manches aber doch). Mir ist aber wichtig, dass nur, weil wir nicht Stufe 4 realisieren, desshalb Stufe 3 und 2 noch lange nicht schlecht sind. Wenn wir alle anfangen würden unsere E-Mail-Kommunikation mit AES (einem symmetrischen Verschlüsselungsalgorithmus) und dem Absendedatum als Passwort zu verschlüsseln müssten Geheimdienste und andere Datenausspäher reagieren um ihre Wortlisten zu weiterhin pflegen zu können und das allgemeine statistische Rauschen des weltweiten Mailverkehrs zu bestimmen. Und wie viel leichter wäre es, von diesem Verfahren aus langsam mehr Sicherheit zu etablieren.

Es ist ebenfalls kein Sicherheitsverlust auf einem Android-Telefon ungeprüfte GPG-Schlüssel zu verwenden sondern oft ein Gewinn gegenüber dem Status Quo (wenn dieser immer noch auf Stufe 1 liegt).

Fazit

Wir sollten damit anfangen, all denen, die sich dafür interessieren einfache Werkzeuge in die Hand zu drücken. Es hilft deutlich mehr, wenn wir 20 Personen erklärt haben wie sie mit einfachsten Methoden Mails verschlüsseln, als fünf Personen wie GPG in allen Feinheiten funktioniert.

Eventuell brauchen wir eine Enigmail-Simple-Version (das GPG-Plugin von Thunderbird). Die hängt einfach an jede Mail den Public Key an. Die setzt standardmäßig kein Passwort für den GPG-Key. Die schaut vor jedem Mailversand nach, ob es auf den bekannten Key-Servern einen aktuellen Schlüssel für die Empfängerin gibt und verwendet den einfach. Die fragt nicht ob S/MIME oder inline, ob Anhang ja oder nein, ob Empfänger im BCC-Feld ein Problem sind. Die Verschlüsselt einfach nur. Und wenn der Gegenüber nicht verschlüsselt hängt sie ganz unaufdringlich einen kleinen Erklär-Text an die Mail. Von da aus das Niveau hochzuschrauben wäre schließlich immer noch einfach. Sicherheit ist kein entweder/oder, Sicherheit ist ein Kontinuum.