Trittbrettfahren – Made in Germany
Wie kommt man im Sommerloch in die Schlagzeilen, wenn man eigentlich wenig zu bieten hat? Irgendwie läßt sich doch sicher im Windschatten des “NSA-Skandals” noch etwas für die eigenen Produkte herausschlagen.
Gesagt – getan. Mit ein paar Phrasen über “Sicherheit” und “strenge deutsche Datenschutzstandards” zaubert man den Slogan “E-Mail made in Germany” und verkauft das ganze als innovative Glanzleistung.
Bereits im Jahr 2009 hatte eine größere Gruppe von Sicherheits- und Privacy-Fachleuten Google aufgefordert, TLS-gesicherten Zugang zu seinen Diensten zum Standard zu machen. Insofern ist es sicher zu begrüßen, daß nur vier Jahre später die großen der deutschen IT-Branche nachziehen. Made in Germany.
Allerdings läßt der “Standort Deutschland” das G10-Gesetz genauso außer acht wie die Quellen-TKü. Daneben darf die vermeintliche Re-Territorialisierung des Internet vor allem im europäischen Kontext wundern. Oder wie möchten Sie künftig mit Ihren Freunden innerhalb der EU kommunizieren?
Was ist nun dran an der Initiative?
- TLS-gesicherter Zugang zwischen Kunden und Dienstanbieter
… sollte eigentlich üblich sein und hilft, konsequent angewandt, sowohl gegen unerwünschte Mitleser als auch gegen Umleitungsversuche, sofern Zertifikate geeignet eingesetzt werden.
- TLS-gesicherter SMTP-Verkehr zwischen den beteiligten Mailanbietern
… ist in zwei Varianten umsetzbar, wobei derzeit unklar ist, welche zum Einsatz kommt:
- opportunistisches TLS
Hierbei wird zwischen den Kommunikationspartnern (hier also: sendender und empfangender Mailserver) eine Verschlüsselung der Datenübertragung ausgehandelt, die zwischen den Mailservern unerwünschtes Mitlesen verhindert. “opportunistisch” heißt das Verfahren, weil die Echtheit (Authentizität) der Kommunikationspartner dabei nicht sichergestellt ist. Einem Angreifer bleibt es dabei grundsätzlich möglich, sich als sogenannter “Man in the Middle” in die Kommunikation einzuschalten. Solch ein Angriff ist jedoch aufwendiger als reines Mitlesen. - zertifikatbasiertes TLS
funktioniert wie eben beschrieben, jedoch mit Sicherstellung der Identität beider (bzw. mindestens des empfangenden) Kommunikationspartner, in der Regel über X.509-Zertifikate. Der initiale Aufwand ist entsprechend größer, weil beide Seiten entweder vorab oder durch Rückgriff auf eine Public-Key-Infrastruktur das Zertifikat der jeweils anderen kennen müssen).
- opportunistisches TLS
Bei einem auf drei Parteien ausgelegten “Netz” ist der Extraaufwand für TLS mit X.509-Zertifikaten reichlich überschaubar und entsprechend ist gerade die Erweiterbarkeit der kritische Punkt.
Was bringt die Zukunft?
Von der IETF wurde mit DANE ein Verfahren entwickelt, mit dem Zertifikate recht einfach im Domain Name System (DNS) abgelegt werden können. Damit wird der Schritt vom rein opportunistischen TLS zum zertifikatbasierten TLS deutlich vereinfacht. Allerdings darf es bei dieser schrittweisen (“hop-by-hop”) Absicherung nicht bleiben, denn wirkliche Vertraulichkeit bietet nur eine Ende-zu-Ende-Verschlüsselung, bei der die Endanwender die volle Kontrolle über die Schlüssel behalten. Das bietet leider auch der Ladenhüter De-Mail nicht, der von den drei Hauptprotagonisten bei dieser Gelegenheit mitbeworben wird.
Aus etwas breiterer Perspektive verdeutlicht der aktuelle Vorstoß zudem einen anderen, durchaus nicht unproblematischen Vorgang: die Anziehung der Internetnutzer durch “Walled Gardens”, die mit der Öffnung des Telekommunikationsmarktes im ausgehenden zwanzigsten Jahrhundert eigentlich überwunden werden sollten. ISOC, die Internet Society, steht für ein offenes Internet, das allen Nutzern die freie und sichere Kommunikation ermöglicht – nicht nur denen, die sich an vermeintliche oder tatsächliche Marktführer binden.