Sicherheit? Mit Sicherheit?

Deutschland soll nach dem Wunsch von Politikern Verschlüsselungsweltmeister werden. Aber momentan scheitert das an einem relativ einfachen Problem.

Der Satz in der Digitalen Agenda der Bundesregierung vom 20. August 2014 lässt keine Missverständnisse zu: „Wir wollen Verschlüsselungs-Standort Nr. 1 auf der Welt werden. Dazu soll die Verschlüsselung von privater Kommunikation in der Breite zum Standard werden.“ steht dort. Dies setzt Bürgern, Politikern und Unternehmern ein gleichermaßen hohes wie schwieriges Ziel. Denn verschlüsselte Kommunikation wird in Deutschland nur in sehr geringen Maß genutzt. Man geht – grob geschätzt – davon aus, dass lediglich zwischen einem und fünf Prozent der E-Mailnutzer in Deutschland ihre E-Mails verschlüsseln. Hauptgrund dafür ist der hohe Aufwand, den Nutzerinnen und Nutzer betreiben müssen.

Aber worin besteht die Schwierigkeit, gut benutzbare und sichere Lösungen für die elektronische Kommunikation bereitzustellen? Ein zentrales Problem an dieser Stelle ist, dass sichere elektronische Anwendungen aufgrund ihrer Komplexität häufig von Sicherheitsexperten und Fachjuristen gestaltet werden, die wenig Blick für die Benutzbarkeit ihrer Lösungen besitzen bzw. die von einem ähnlich hohen Stand an IT-Kompetenz ausgehen, wie sie selbst sie besitzen.

So kommen Regelungen wie das Signaturgesetz zustande, das an Nutzerinnen und Nutzer zusätzliche Anforderungen im Bereich Hardware (Signaturkarte, Lesegeräte o.ä.) stellt, und dadurch den Einsatz von Verschlüsselungstechnologie für die Nutzerinnen und Nutzer erschwert. Die Initiative Deutschland sicher im Netz des Bundesministeriums des Innern (DSiN) attestiert der IT-Sicherheitswirtschaft nach wie vor Nachholbedarf.

Wie aber können Verschlüsselungstechnologien für Nutzerinnen und Nutzer zugänglicher werden?
Ein erster Schritt ist die allgemeine Erhöhung von Sicherheit in den Diensten wie beispielsweise die standardmäßige Verschlüsselung der Kommunikation zwischen Server und Client. Hier kann der Aufwand, Kommunikation „abzugreifen“ schon deutlich reduziert werden, indem Verschlüsselung standardmäßig eingeschaltet ist und nicht erst durch den Nutzer konfiguriert werden muss.

Ein weiterer Schritt wäre es, die Anzahl der Interaktionen, die für eine Verschlüsselung erforderlich sind, zu reduzieren. Häufig müssen erst kompliziert „Extensions“ installiert und eingerichtet werden. Zusätzlich muss dann noch jede einzelne versandte Mail verschlüsselt werden bzw. falls beim Gegenüber keine Verschlüsselung verfügbar ist, eine separate Interaktion durchgeführt werden, in der darauf hingewiesen wird, dass die Nachricht lediglich signiert, nicht aber verschlüsselt übertragen wird. Die vielen kleinteiligen Interaktionen machen für Nutzerinnen und Nutzer die Verschlüsselung von Nachrichten deutlich aufwändiger.

Zuletzt ist auch die angewandte Fachterminologie häufig für Endanwender nur schwer nachvollziehbar. Hier wäre ein deutlich stärkerer Fokus auf den tatsächlich angebotenen Dienst sinnvoller als auf die sicherheitsspezifischen Terminologien und Abläufe.

Insgesamt zeigt sich, dass speziell in der IT-Sicherheitscommunity das Thema Nutzerzentrierung noch ausbaufähig ist. Die vergangenen zwei Jahre haben jedoch erkennen lassen, dass dies möglich ist, und dass benutzbare IT-Sicherheitslösungen insbesondere im mobilen Bereich immer erfolgreicher zum Einsatz kommen. 

20.01.15