Awareness

Die Volksverschlüsselung – Die Lösung des Sicherheitsproblems?

Aktualisiert am

Der Projektname “Volksverschlüsselung” lässt Raum für Spekulationen. Handelt es sich hier um:

  • Festplattenverschlüsselung?
  • Kommunikationsverschlüsselung?
  • Verschlüsselung des Smartphones?
  • Mail Verschlüsselung?

Aber das ist wohl auch Sinn von diesem Projektnamen. Nun ja, Zweck erfüllt – es wird sich damit beschäftigt. Zumindest tun es die Medien. Aber sollte sich auch “das Volk” damit beschäftigen? Ihm ist ja immerhin der Projektname gewidmet!

Um was geht es, wenn von Volksverschlüsselung die Rede ist?

Es geht um E-Mail Verschlüsselung. Und zwar soll diese Ende-zu-Ende stattfinden. Dabei erfinden die Telekom und das Fraunhofer SIT das Rad nicht neu. Denn technisch funktioniert diese E-Mail Verschlüsselung bereits seit Jahren. Das Projekt widmet sich der Komplexität. Denn diese ist anscheinend zu hoch für das “Volk”, denn es wird kaum verschlüsselt. Deshalb soll die Komplexität reduziert werden. Das erste mal von diesem Projekt habe ich in einem Vortrag an der Westfälischen Hochschule gehört – Im Rahmen des Moduls Grundlagen IT-Sicherheit.

Das klang erstmal ganz spannend und ließ auch etwas Hoffnung aufkommen, dass dem Problem der aufwändigen Email Verschlüsselung bald ein Ende gesetzt wird. Das Problem bei Verschlüsselung ist, dass sie Aufwand bereitet. Mal abgesehen vom Konfigurationsaufwand ist auch der Aufwand gemeint, der anfällt, wenn die Verschlüsselung aktiv ist. Dazu zählt z.B. dass man diese Mails nicht auf dem Smartphone lesen kann. Die notwendige Software zum entschlüsseln der Mails gibt es häufig nur für den Laptop/PC. Das ist natürlich ein großes Manko. Aber die Frage ist.. Gibt es die Volksverschlüsselung nicht für alle Devices? Nein. Es gibt sie nicht für alle Devices! Sie hat aber auch weitere Nachteile!

Ausschließlich Windows, keine Apps für Smartphones

Die Installation der Software ist nur auf folgenden Systemen möglich:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 10

Und das wars. Kein Linux, kein Mac. Aber auch kein Smartphone.

Falls die Volksverschlüsselung auch nur annähernd als erfolgreiches Projekt durchgehen will, müssen Apps für andere Plattformen und Devices schnell kommen. Warum man mit einer Möglichkeit aufschlägt ist mir schleierhaft. Ein so großes Mediales Interesse .. Das kommt kein zweites mal. Interessenten, die dadurch neugierig geworden sind, verlieren das Interesse weil es “nur” eine Windows Applikation gibt. Ob sie jemals wiederkommen um nachzuschauen ob es die App nun für Android, iOS oder MacOS gibt? Ich denke die Wenigsten.

Macht es Sinn die Volksverschlüsselung einzusetzen?

Leider, abgesehen von den nicht verfügbaren Apps, ist es nicht besonders sinnvoll die Volksverschlüsselung einzusetzen. Die Anonymität wird komplett beseitigt. Trotzdem sind die Emails nicht rechtsgültig.

Die Volksverschlüsselung  verschlüsselt nicht nur die Email, sie ordnet auch die Email Adresse der Person zu, die sich mit ihr registriert.  Es wäre also falsch die Volksverschlüsselung als Tool zu bezeichnen. Sie ist eher ein Versuch die Email als neue, vertrauenswürdige Infrastruktur aufzusetzen.

Die Registrierung bei der Volksverschlüsselung ist deshalb nicht mit einem einfachem Benutzernamen & Passwort möglich, sondern nur über:

  • neuen Personalausweis
  • Fachmesse
  • Telekom Festnetzanschluss

Wir können hier also definitiv von einer Ausweispflicht sprechen.

Fazit der Volksverschlüsselung anhand der Fakten

Die Volksverschlüsselung wurde am 29.06. veröffentlicht. Man könnte hier von einer öffentlichen Beta sprechen. Über die Probleme der fehlenden Apps ließe sich auch von absehen. Das größte Problem ist aber die Tatsache, dass das Tool nicht bloß Tool ist. Es deanonymisiert die Email als Kommunikationsmittel! Darüberhinaus gibt es den Quellcode zum aktuellen Zeitpunkt (30.06.2016) nicht einzusehen. Außerdem bestehen noch Unklarheiten über die Lizenz. Das alles würde aber den Rahmen dieses “Teaser” Artikels sprengen. In Zukunft werde ich bestimmt noch öfter darüber schreiben.

Mehr Informationen erhaltet ihr auf Golem und der Webseite des Projektes.

PS. Für Neuheiten, Ergänzungen oder Verbesserungen in diesem Projekt bin ich immer ganz Ohr.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.