Bitkom-Ergebnisse zum Stand der Verschlüsselung

Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:

Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.

Auch dieses Mal halte ich die Ergebnisse immer noch für stark überhöht, denn man trifft im üblichen Verkehr außerhalb der Krypto-/IT-szene praktisch nicht auf verschlüsselte Mails, ganz zu schweigen von verschlüsselten Dateien oder Rechnern. Meiner Erfahrung nach, fängt der Einsatz von Verschlüsselung bei e-Mails an und wird erst später auch für Dateien erlernt. Auch im Geschäftsverkehr mit Privatleuten ist keine Ende-zu-Ende-Verschlüsselung gegeben, weder mit PGP, noch mit S/MIME, nicht mal mit signierte Geschäftsmails finden sich. Dabei würde Letzteres einige Betrugsversuche (z.B. falsche Rechnungen) umgehend auffliegen lassen.

„Das Interesse an der Verschlüsselung von Daten ist bei den Nutzern nach einem kurzen Hoch nicht weiter gestiegen“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. „Mit der Verschlüsselung von E-Mails und Dateien können sich die Nutzer gut vor dem Missbrauch ihrer persönlichen Daten schützen. Die Anwendung ist aber häufig noch zu kompliziert.“

Eine etwas naïve Einstellung. Die Ende-zu-Ende-Verschlüsselung nützt gegen Überwachung der Inhalte des Kommunikationsverkehrs und bei Beschlagnahmung durch Behörden aller Art, gewährleistet die Privatsphäre aber nur dann, wenn dies beide Partner wollen, was bei Privatpersonen im Normalfall gegeben ist. Der häufigste Mißbrauch privater Daten findet aber bei Unternehmen, u.a. den Mitgliedern des Bitkom, durch Weitergabe der Daten oder durch Schlamperei bei Verwahrung der Daten statt. Dagegen ist die Verschlüsselung der Daten auf dem privaten Rechner durch die Nutzer vollkommen wirkungslos.

Wo sind die Schlüssel?

Nehmen wir einmal an, die Umfrageerhebung und ihre Ergebnisse wären korrekt, dann stellt sich die Frage, wo sich die ganzen dafür notwendigen kryptografischen Zertifikate befinden. Um per e-Mail Ende-zu-Ende verschlüsselt kommunizieren zu können benötigt man den öffentlichen Schlüssel des Kommunikationspartners. Den Fall, daß man auch lokal eine Textadtei verschlüsselt und diese dann als Anhang verschickt, schließe ich hier aus, weil diese Anwendungsform für die Meisten noch komplizierter ist und meiner Meinung nach in freier Wildbahn beim e-Mailverkehr praktisch nicht vorkommt. Den öffentlichen Schlüssel erhält man direkt von seinem Partner oder im Falle von GnuPG (PGP) auch von den öffentlichen Schlüsselservern. Auch die Annahme, daß die Leute ihre Daten auf den Rechnern verschlüsseln, aber ihre e-Mail wann immer möglich im Klartext übertragen halte ich für ausgesprochen weltfremd.

Das Statische Bundesamt gibt für das 1. Quartal 2014 58,6 Millionen Internetnutzer an und die ARD kommt zu vergleichbaren Zahlen. Wenn davon tatsächlich 15% ihren e-Mailverkehr verschlüsselt abwickeln würden, müssten mindestens 8,8 Millionen gültige öffentliche Schlüssel allein in Deutschland verfügbar sein. Auf den weltweit agierenden Schlüsselservern für PGP-Schlüssel hingegen finden sich jedoch keine 4,5 Millionen Schlüssel. Zu berücksichtigen ist dabei, daß dieser Wert kumulativ ist, also aktive, abgelaufene, zurückgezogene etc. Schlüssel enthält, da man von den Servern einmal veröffentlichte Schlüssel nicht mehr entfernen kann und sich diese daher auf diesen über die Jahre ansammeln. Zertifikate für S/MIME treten bei Privatleuten so gut wie überhaupt nicht in Erscheinung und finden sich im Regelfalle nur bei größeren Institutionen oder Firmen.

Hinzu kommt noch ein weiterer Punkt. Genausowenig wie bei stinknormalen Telefonummern gibt es bei kryptografischen Schlüssen einen technisch zwingenden Grund zur Veröffentlichung seines öffentlichen Schlüssels respektive seiner Nummer, aber es ist mehr als nur sinnvoll wenigstens einen Hinweis auf die Möglichkeit verschlüsselt kommunizieren zu können anzubringen und ggf. erst auf Nachfrage den Schlüssel herauszugeben. Diese Hinweise — bspw. die Schlüsselkennung als Signatur unter der Mail, auf Briefbögen, Visitenkarten oder im Profil der Sozialnetzwerke — gibt es ebenfalls nicht in dem notwendigen Umfang. Wie soll man diesen Sachverhalt bewerten? Halten die Deutschen etwa aus Datenschutzgründen nicht nur ihre Schlüssel geheim, sondern verschweigen sogar, daß sie zur e-Mailverschlüsselung in der Lage sind oder gibt es eventuell die 15% Verschlüsselnden gar nicht?

Fazit

Wie schon bei den vorangegangenen Umfragen halte ich auch diesmal das Ergebnis weder aus der Erfahrung heraus, noch an Hand der genannten Zahlen für plausibel. Ich vermute den Fehler immer noch an zwei Stellen:

  1. Fehlende Repräsentativität der Befragten für die Grundgesamtheit der Internetnutzer.
  2. Mißverständnis auf Seiten der Befragten.

    Die Angaben basieren auf einer repräsentativen Umfrage, die Bitkom Research durchgeführt hat. Dabei wurden 1.009 Internetnutzer ab 14 Jahren befragt, die privat einen Computer nutzen. Die Frage lautete: „Welche der folgenden Sicherheitsprogramme oder -dienste nutzen Sie auf Ihrem privaten Computer?“

    Kann es sein, daß Anwender gar nicht wissen welche Programme sie wofür verwenden? Das ist nicht sarkastisch gemeint, sondern entstammt meiner Erfahrung. Es gibt eine erhebliche Anzahl von Benutzern, die surft zwar täglich im Internet, denen sind aber Fragezeichen in die Augen geschrieben wenn man von Internet-Explorer oder Firefox spricht (Typischer Dialogfetzen: … starte jetzt mal Firefox. Was ist das? Das Programm mit dem Du im Internet surfst. Ach, Google. [Anmerkung: Weil Google als Startseite eingestellt ist]). Wenn bei solchen Leuten der e-Mailversand bzw. -abruf auf Transportverschlüsselung (TLS) umgestellt wurde, sind die der Meinung verschlüsselt zu mailen.

Angemerkt sei noch, daß der Bitkom e.V. zwar regelmäßig entsprechende Studien veröffentlicht und sich dann über die geringe Verbreitung von Verschlüsselung beschwert, aber sich auch fragen lassen muss, welche Anstrengungen er zur Behebung dieses Umstandes unternommen hat. Viel scheint es nicht zu sein, denn weder findet sich auf der Webseite zu den Kontakdaten ein Hinweis auf einen kryptografischen Schlüssel (Datenschutz?), noch liefern Anfragen an den PGP-Schlüsselserverpool eine positive Antwort zu bitkom.org, bitkom.de und bitkom-service.de. Das legt den Schluss nahe, daß die Bitkom-Mitarbeiter jedenfalls beruflich nicht gerade zu den Intensivnutzern von Mailverschlüsselung gehören. Aber vielleicht gehören sie ja dafür zu den 15%, die nur auf ihren privaten Rechnern verschlüsseln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert