Stand der E-Mail-Verschlüsselung ist desaströs

Nach einer Umfrage im Auftrag der BITKOM (via heise — Befragung: Stand der E-Mail-Verschlüsselung ist desaströs) soll nur jeder 7te Arbeitnehmer (16%) seine e-Mails am Arbeitsplatz verschlüsseln. Meiner Ansicht nach kann an dem Ergebnis oder dessen Darstellung etwas nicht stimmen. Für mich klingt es nicht plausibel, 16% scheinen stark überhöht zu sein.

Das Marktforschungsinstitut Aris hat im Auftrag des BITKOM 1006 Personen ab 14 Jahren in Deutschland befragt, darunter 620 Berufstätige. Die Befragung ist repräsentativ.

620 Beruftätige in 1006 Befragten über 14 Jahren entspricht einer Quote von 61%. Laut statischem Bundesamt haben wir in Deutschland rd. 42 Millionen Erwerbstätige bei knapp 81 Millionen Einwohnern, was einer Quote von knapp 52% entspricht. Das die Erwerbsquote bei der Bitkomumfrage höher liegen muss, ist einleuchtend, da nur Personen ab 14 Jahren befragt wurden. Allerdings habe ich meine Zweifel, ob auch die Alten tatsächlich repräsentativ vertreten sind.

Bei den 16% der Arbeitnehmer, die angeblich ihre berufliche e-Mail wenigstens manchmal verschlüsseln, kann es sich mit hoher Wahrscheinlichkeit nicht um e-Mailverkehr mit Einzelkunden|Privatkunden|Bürgern handeln, sondern der Wert kann eigentlich nur die Kommunikation zwischen Großunternehmen wiederspiegeln. Deutschland ist geprägt von Klein- und mittelständischen Unternehmen und je kleiner ein Laden ist, desto weniger wird verschlüsselt. Handwerksunternehmen die PGP oder S/MIME einsetzen, sind eine ausgesprochen seltene Spezies. Ebenso schlecht bestellt sieht es um das Angebot (von Einsatz wage ich schon gar nicht zu reden) von Verschlüsselung bei Freischaffenden aus. Weder findet man auf deren Webseiten, noch in den e-Mails einen Hinweis (Signatur, ID etc.), welcher die Möglichkeit der e-Mailverschlüsselung auch nur ansatzweise andeutet. Bei Rechtsanwälten hatte ich dies schon hier und dort beklagt. Da Verschlüsselung nicht zum Standard gehört, ist zu erwarten, daß diejeigen, die es anbieten auch entsprechend kommunizieren würden. Politiker nehme ich jetzt mal davon aus, denn die haben Angaben zu ihrem e-Mailschlüssel schon mal mit Hinweis auf Sicherheitsbelange abgelehnt.

Auch meine persönliche Erfahrung zeigt, daß e-Mailverschlüsselung im Kundenverkehr exakt bei 0,0% liegt. Theoretisch könnten alle ausgehenden e-Mails kryptografisch signiert sein (das würde Betrügern das Leben durchaus erschweren), da hierfür nicht die Kooperation des Empfängers notwendig ist, da kein Fremdschlüssel benötigt wird. Ich wickele aus diversen Gründen seit einigen Jahren für mehrere Personen den „bunten“ e-Mailverkehr mit Firmen, Behörden, Anwälten, Ärzten etc. ab. Obwohl alle ausgehenden e-Mails sowohl mit einem individuellen PGP-Schlüssel kryptografisch signiert sind, als auch in der Signatur neben der Anschrift die Angaben zum Schlüssel enthalten sind, erfolgte eine Antwort noch nie signiert oder gar verschlüsselt. Auch enthielt die Signatur nie einen entsprechenden Vermerk. Interessanterweise habe ich auch noch nie die Erfahrung, wie sie in manchen Foren berichtet wird, gemacht, daß signierte e-Mails vom Empfängersystem abgelehnt wurden oder im Spamfilter hängen geblieben sind. Meine e-Mailverlustquote liegt bei 0, irgendetwas muss ich richtig machen.

Hinzu kommen noch die echten Irrläufer (kein Spam!) mit Rechnungen, Angeboten, Korrekturabzügen von Privatpersonen, Kleinunternehmen und Zeitungsverlagen die bei mir eintrudeln. Nirgendwo der kleinste Hinweis auf Verschlüsselung, aber dafür die Kundenkartei im CC.

Bereits im Dezember 2013 berichtete BITKOM von einem Umfrageergebnis, daß 9% der Internetnutzer ihre e-Mail angeblich verschlüsseln. Ich habe nebenbei noch eine kleinere Internetseite mit mehreren hundert Seitenabrufen pro Tag. Von den dort einlaufenden Fragen zum Thema waren in den vergangenen über 10 Jahren nur eine Handvoll verschlüsselt. Zu keiner Zeit überschritt die Anzahl der verschlüsselten e-Mails einen ganzzahligen Prozentwert.

Zugegeben, dies ist eine Einzelerfahrung und der Schluss von Einzelerfahrungen kann sehr schnell zu Fehlannahmen führen, wie das andere größere Thema hier auf dem Blog, die Homöopathie, sehr gut zeigt. Allerdings ist die Verwendung von kryptografischen Techniken zweifelsfrei und direkt nachweisbar. Entweder es wird gemacht oder eben nicht, es gibt einen Schlüssel oder nicht. Verschlüsselung findet einfach nur innerhalb bestimmter, kleinerer Kreise statt. Insofern scheint mir in den Umfragen, als naheliegendste Lösung, die Repräsentativität nicht gegeben zu sein oder aber die Verteilung ist derart schief, daß die Aussage, x% der Befragten setzen Verschlüsselung ein, zwar rein mathematisch korrekt berechnet wurde, aber dennoch zu einem Fehleindruck verleitet. In meinem Umfeld jedenfalls ist es gesichert, daß weder jeder siebente berufliche e-Mailkontakt, noch jeder 9te private Kontakt einen Hinweis auf Verschlüsselung enthält.

Eine andere Möglichkeit könnte noch in der Fragestellung liegen. Haben die Befragten überhaupt verstanden, was mit Verschlüsselung gemint ist? Mir fallen dazu spontan zwei Beispiele ein. Zunächst unsere bundesrepuplikanische Internetbotschafterin Gesche Joost. Als die Gendertante vor einiger Zeit gefragt wurde, ob sie ihre e-Mails verschlüssele, bejahte sie dies mit Hinweis auf die Verwendung eines VPN. Wenn man also von 9-16% Genderfehlqualifizierten in der Bevölkerung ausgeht könnten die Zahlen tatsächlich ermittelt worden sein, nur geht die Aussagekraft, wie die Anzahl verschlüsselter Mails, dann gegen Null, bestätigt aber den desaströsen Stand der e-Mailverschlüsselung nur um so mehr. Das zweite Beispiel ist die derzeitige Werbekampgane im Fernsehen zu „e-Mail made in Germany“ von United Internet mit GMX und Web.DE und T-Online, bei der auch wahrheitswidrig behauptet wird, die e-Mails würden verschlüsselt und niemand könne mitlesen.

Ein Kommentar

  1. […] Auch dieses Mal halte ich die Ergebnisse immer noch für stark überhöht, denn man trifft im üblichen Verkehr außerhalb der Krypto-/IT-szene praktisch nicht auf verschlüsselte Mails, ganz zu schweigen von verschlüsselten Dateien oder Rechnern. Meiner Erfahrung nach, fängt der Einsatz von Verschlüsselung bei e-Mails an und wird erst später auch für Dateien erlernt. Auch im Geschäftsverkehr mit Privatleuten ist keine Ende-zu-Ende-Verschlüsselung gegeben, weder mit PGP, noch mit S/MIME, nicht mal mit signierte Geschäftsmails finden sich. Dabei würden Letzter einige Betrugsversuche (z.B. falsche Rechnungen) umgehend auffliegen lassen. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.