Verschlüsselung und die Folgen aus Prism

Herr Müller-Quade, viele Menschen nutzen E-Mails sowohl privat als auch beruflich für vertrauliche Kommunikation. Dabei haben sie gar keinen Briefumschlag - wer kann denn alles mitlesen, wenn eine Mail verschickt wird?

Da E-Mails im Klartext verschickt werden, kann jeder Netzknoten, über den diese E-Mail verschickt wird, sie auch lesen. Mails gehen aber nicht immer den direkten Weg, sondern laufen auch über andere Länder. Das heißt, auch dort kann ein Angreifer die E-Mail mitlesen. Schützen kann man sich nur mit einer so genannten Ende-zu-Ende-Verschlüsselung. Es sei denn, Sie haben Schadsoftware auf Ihrem Endgerät, dann nützt auch die Transport-Verschlüsselung nichts.

Und wie steht es um die Verschlüsselung der Kommunikation bei Internet- und Smartphone-Diensten wie Skype, Facebook und Whatsapp?

Wenn Sie solche Dienste nutzen, müssen Sie den Anbietern vertrauen. Manchmal wird zwar eine verschlüsselte Verbindung angeboten. Sie schützt vor Angriffen durch Dritte auf dem Weg von Ihnen zum Server des Anbieters - aber nicht vor Geheimdiensten, die die Informationen direkt bei den Anbietern abgreifen können. Verschlüsselte Verbindungen vermeiden aber zahlreiche andere Gefahren.

Worauf muss man achten, wenn man sich mit seinem Passwort in Web-Dienste einloggt, zum Beispiel Freemailer oder Apps auf dem Smartphone?

Passwörter gelten vielen Menschen zwar als Synonym für Sicherheit, tatsächlich bieten sie aber einen schlechten Schutz. In Zukunft wird immer häufiger eine so genannte Zwei-Faktor-Authentifizierung mit Hardware-Token, also zum Beispiel einem USB-Stick mit einer digitalen Signatur darauf, zum Einsatz kommen. Wenn man Passwörter einsetzen muss, sollte man nie dasselbe Passwort bei mehreren Diensten verwenden. Und man sollte Passwörter nur in verschlüsselte Browser-Seiten eingeben, deren Adresse mit "https" beginnt. Für unterschiedliche Passwörter sind Passwort-Verwaltungsprogramme zu empfehlen. Im Zweifelsfall kann man sich seine Passwörter auch an sicherer Stelle aufschreiben - das ist jedenfalls besser als zu leichte Passwörter zu wählen. ("Was ein sicheres Passwort ist" - SPIEGEL Online).

Welche Probleme gibt es speziell in der Wissenschaft bezüglich unverschlüsselter Kommunikation? Gibt es dokumentierte Fälle von Wissenschaftsspionage?

Da ist mir kein Fall bekannt. Ich denke aber, dass es passiert. Forschungsergebnisse sind schließlich die Grundlage für viele Innovationen. Ich vermute, dass jede Wirtschafts- oder Industriespionage auch im Bereich der Forschung ansetzen wird. Belege habe ich dafür aber nicht.

Was erforscht denn das Institut für Kryptographie und Sicherheit (IKS) des Karlsruhe Instituts für Technologie (KIT) in diesem Kontext?

Das IKS beschäftigt sich mit Verfahren der Kryptographie, zum Beispiel mit digitalen Signaturen, Online-Banking und Online-Wahlen. Kryptografische Verfahren müssen alle Arten von Angriffen kategorisch ausschließen. Aber Verschlüsselung hilft eben nicht weiter, wenn das Endgerät korrumpiert ist. Wir erforschen daher insbesondere die Sicherheit der Gesamt-Systeme. Ein Beispiel dafür ist unser Projekt KASTEL.

Was kann nun jeder Einzelne tun, um seine Daten-Sicherheit zu erhöhen? Muss man ein Computer-Nerd sein, um seine Daten zu schützen?

Jeder sollte sich informieren sowie seine Schutz- und Virensoftware aktuell halten. Man kann zur Mail-Verschlüsselung die Software PGP einsetzen. Diese müssen allerdings beide Kommunikationspartner verwenden, damit das funktioniert. Aber irgendwer muss ja anfangen! Ich hoffe, dass die aktuelle Diskussion um Prism und Tempora dazu führt, dass ein Umdenken stattfindet und mehr Menschen Verschlüsselung einsetzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf seiner Webseite "BSI für Bürger" außerdem einige einfache Tipps an.