idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Der Zugang zu geeigneten Schlüsseln, zu den zugehörigen Sicherheits-Zertifikaten und zu einfach zu bedienenden Werkzeugen ist nach Ansicht des Präsidiumsarbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) Voraussetzung für eine breite Akzeptanz von Verschlüsselungslösungen. Neben einfach zu bedienenden technischen Lösungen ist eine Kampagne nötig, um eine großflächige Einführung entsprechender Verschlüsselungsverfahren zu befördern. Eine flächendeckende Verschlüsselung verbessert nicht nur die Privatsphäre jedes Einzelnen, sondern verhindert auch Spionage bei unseren Wirtschaftsunternehmen.
Ziel muss eine technische Lösung sein, die von Jedermann ohne großen Aufwand und ohne Kosten verwendet werden kann, um mit Kommunikationspartnern Ende-zu-Ende verschlüsselte E-Mail auszutauschen.
Der Arbeitskreis begrüßt ausdrücklich die Initiative der Bundesregierung, im Forschungsrahmenprogramm für IT-Sicherheit auch die Verschlüsselungstechnik zu fördern.
Allerdings sieht er mit Sorge, dass die derzeit verfügbaren Lösungen für eine Ende-zu-Ende-Verschlüsselung von E-Mail erhebliche Mängel aufweisen, die ihre Nutzung durch weniger techniknahe Personen effektiv verhindern. Inkompatibilitäten, unvollständige und wenig intuitive Bedienoberflächen und hoher Aufwand bei der Schlüsselerzeugung und ‐verteilung erfordern derzeit für ihre Benutzung einen erheblichen Einarbeitungsaufwand und komplizierte Bedienvorgänge.
„Wir appellieren deshalb an die Bundesregierung, im vorgesehenen Forschungsrahmenprogramm für IT-Sicherheit Mittel für eine Weiterentwicklung der Software für eine einfache, kostenlose und von allen Benutzern verwendbare Ende-zu-Ende-Verschlüsselung von E-Mail bereitzustellen“, sagte Prof. Dr. Hartmut Pohl, Sprecher des GI-Arbeitskreises „Datenschutz und IT-Sicherheit“. Die Bundesregierung, staatliche Stellen oder Stiftungen seien hier deshalb die richtigen Ansprechpartner, da Privatunternehmen für die Etablierung von Infrastruktur-Lösungen typischerweise keine Geschäftsmodelle finden. Dabei ist insbesondere auf folgende Aspekte zu achten:
- Die Software ist vollständig unter Open-Source-Lizenz zu halten, um eine unabhängige Kontrolle der Qualität und insbesondere der Sicherheitsqualität (keine Hintertüren!) zu ermöglichen. Nur so lässt sich das notwendige Vertrauen in diese Verschlüsselungskomponente sicherstellen. Die eingesetzten kryptographischen Verfahren müssen dem jeweils aktuellen Stand der Technik entsprechen und eine hohe Qualität besitzen. Dies gilt insbesondere für die eingesetzten Zufallszahlengeneratoren.
- Es sind Ressourcen bereitzustellen, um regelmäßige Überprüfungen des Quellcodes durchzuführen und zu veröffentlichen, beispielsweise durch das BSI in Kooperation mit einer Hochschule. Nur so kann Vertrauen geschaffen und aufrecht erhalten werden, dass es keine versteckten Hintertüren gibt.
- Es ist sicherzustellen, dass die beiden Standardverfahren S/MIME (gemäß RFC 2311-2315) und OpenPGP (RFC 2440, 3156, 4880) von den gängigen E-Mail-Systemen auf allen Betriebssystemen für PCs und Smartphones unterstützt werden. Dabei sind die Komponenten so zu entwickeln und zu pflegen, dass sie einfach und konsistent (interoperabel) genutzt werden können. Zu unterstützen sind dabei sowohl die verbreitetsten E-Mail-Clients als auch Browser-basierte E-Mail.
- Die Erzeugung und Verteilung von Schlüsseln muss für die Benutzer einfach und konsistent möglich sein. Dabei ist eine adäquate Vertrauenswürdigkeit der öffentlich verfügbaren Schlüssel durch einfache Bereitstellung geeigneter Zertifikate zu gewährleisten. Auffinden und Abruf der öffentlichen Schlüssel von Kommunikationspartnern muss automatisch und für den Benutzer transparent erfolgen und sollte nach Möglichkeit auf schon vorhandenen Infrastrukturkomponenten wie DNS basieren und, wo vorhanden, Zugriff auf existierende Zertifikatsspeicher (Schlüsselserver, PKI) erlauben.
- Optimal wäre eine 1-Klick-Installation aus dem Mailclient heraus, so dass ein neuer Benutzer sofort eine sichere Verschlüsselung hat, die trotzdem bei Bedarf und auch nachvollziehbar im Anschluss jeden Schritt erläutern kann.
- Es sind Komponenten zu entwickeln, die einen einfachen und gesicherten Austausch öffentlicher Schlüssel / Zertifikate zwischen unterschiedlichen Geräten (z.B. zwischen PCs mit verschiedenen Betriebssystemen und zwischen PCs und Mobilgeräten) ermöglichen. Für Endgeräte ohne gesicherten Schlüsselspeicher ist die Möglichkeit der gesicherten Ablage privater Schlüssel im Netz zu vorzusehen.
- Hersteller anderer gesicherter E-Mail-Systeme wie etwa E-Post und De-Mail sind dazu zu motivieren, ihre Produkte so zu erweitern, dass sie sowohl mit S/MIME als auch mit OpenPGP interoperabel werden und eine schon vorhandene lokale Nutzung von S/MIME und/oder OpenPGP möglichst nahtlos integrieren.
Vorarbeiten und native Erweiterungen sind in Deutschland schon vorhanden und müssten in einem Gesamtprojekt von kompetenter Hand zusammengeführt und nachhaltig unterstützt werden. Auch die Erfahrungen aus europäischen Großunternehmen, die ihre E-Mail-Infrastruktur schon hochautomatisiert und bedienbar gestaltet haben, sollten hier einfließen.
Die Gesellschaft für Informatik e.V. (GI) ist eine gemeinnützige Fachgesellschaft zur Förderung der Informatik in all ihren Aspekten und Belangen. Gegründet im Jahr 1969 ist die GI mit ihren heute rund 20.000 Mitgliedern die größte Vertretung von Informatikerinnen und Informatikern im deutschsprachigen Raum. Die Mitglieder der GI kommen aus Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Lehre und Forschung.
Bei Veröffentlichung Belegexemplar erbeten. Vielen Dank!
Cornelia Winter
--------------------------------------------
Stellvertreterin des Geschäftsführers
Gesellschaft für Informatik e.V. (GI)
Wissenschaftszentrum
Ahrstr. 45
53175 Bonn
Tel.: +49 (0)228/302-145 / Fax: +49 (0)228/302-167
E-Mail: gs@gi.de / WWW: http://www.gi.de
----------------------------
Cornelia Winter
Tel.: +49 (0)228/302-147 / E-Mail: cornelia.winter@gi.de
--------------------------------------------
Criteria of this press release:
Business and commerce, Journalists, Scientists and scholars
Economics / business administration, Information technology, Law, Social studies
transregional, national
Miscellaneous scientific news/publications, Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
