eMail-Verschlüsselung

Wie sicher muss Sicherheit sein?

| Autor / Redakteur: Max Sperber / Stephan Augsten

Im Idealfall geschieht die Verschlüsselung einer E-Mail im Hintergrund, ohne dass der Anwender in der Nutzungserfahrung eingeschränkt wird.
Im Idealfall geschieht die Verschlüsselung einer E-Mail im Hintergrund, ohne dass der Anwender in der Nutzungserfahrung eingeschränkt wird. (Bild: Archiv)

Bundesinnenminister Thomas de Maizière (CDU) spricht sich für einen differenzierteren Umgang mit dem Begriff Sicherheit in der IT aus. Ist dieser Vorstoß sinnvoll, birgt er mehr Risiken als potenziellen Nutzen? Die aktuelle Entwicklung im Bereich eMail-Verschlüsselung deutet jedenfalls auf eine andere Entwicklung hin.

„Dass ein Panzer sicherer ist als ein Cabrio, das wissen wir. Dass wir ein Tagebuch anders verschließen als einen Einkaufszettel, wissen wir auch. Hier können wir mit einem gestuften Sicherheitsbegriff umgehen.“ Mit dieser Analogie leitete Thomas de Maizière seinen Vorstoß ein, man solle im Zusammenhang mit Cybersicherheit nicht nur zwischen unsicher und sicher unterscheiden. Vielmehr bedarf es seiner Meinung nach einer Abstufung im Wirkungsgrad.

Ein differenzierterer Umgang mit der Thematik biete Chancen, das Vertrauen auf Kundenseite zu stärken, so der Minister auf einer Veranstaltung zum Thema IT-Sicherheit in Darmstadt, auf der auch Bundesforschungsministerin Johanna Wanka (CDU) vertreten war. Denkt man die Forderung des Unionspolitikers weiter, stellt sich die Frage: Wie sicher muss IT-Sicherheit eigentlich sein?

Ende-zu-Ende-Verschlüsselung ist Pflicht

Das Problemfeld eMail-Verschlüsselung war in Darmstadt eines der bestimmenden Themen. Das geeignete Sicherheitsniveau bei verschlüsselten eMails hängt im Wesentlichen davon ab, ob die Nachricht im geschäftlichen, oder im privaten Bereich versendet wird und wie sensibel der Inhalt ist.

Naturgemäß existieren deutlich mehr Lösungen für den professionellen Gebrauch, da die eMail mit großem Abstand das am häufigsten genutzte Kommunikationsmittel in Unternehmen darstellt. Ob man seine privaten eMails verschlüsseln will, muss ohnehin jeder selbst für sich entscheiden.

Das Hauptargument de Maizières für eine Abstufung des Sicherheitsbegriffs lautet, dass man im Sektor IT-Security nie hundertprozentige Sicherheit garantieren kann, was absolut richtig ist. Was eMail-Verschlüsselung angeht, lässt sich aber festhalten: Eine vertrauenswürdige Lösung muss zwingend Ende-zu-Ende-Verschlüsselung bieten (E2E).

In Kombination mit ausreichender Schlüssellänge bei den verwendeten Kryptoverfahren – die meisten setzen hier auf den Advanced Encryption Standard mit 256 Bit und RSA-Verschlüsselung mit 4096 Bit – bietet diese Form der Verschlüsselung zuverlässigen Schutz vor ungewollten Zugriffen.

Dabei werden sowohl der Inhalt einer Nachricht als auch angehängte Dateien schon vor dem Transfer auf dem Gerät des Senders verschlüsselt und erst beim Empfänger wieder in Klartext umgewandelt und liegen somit nicht unverschlüsselt auf dem Server vor. Selbst mit modernen Supercomputern würde das Umwandeln in Klartext Jahrzehnte dauern.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43586543 / System & Services)