Die richtige Kombination gesucht
Unternehmen haben ein Interesse daran, ihre Daten und Kommunikationswege zu schützen. Nur sind die gängigen Methoden für sie meist zu kompliziert, wie die Praxis zeigt. Einen möglichen Ausweg bietet eine neue Software.
Wettbewerbsvorteile oder Wissensvorsprünge können für Unternehmen überlebenswichtig sein. Kein Wunder, dass sie sich vor Industriespionage fürchten und versuchen, sich davor zu schützen. Besonders jetzt nach den Enthüllungen Edward Snowdens rund um die NSA und in einer Zeit, in der wir grösstenteils auf elektronischem Wege kommunizieren, hat das Thema bei Unternehmen nochmals an Bedeutung gewonnen. Mike Janke, CEO von Silent Circle, einem Unternehmen, das Apps für verschlüsselte Kommunikation anbietet, weiss, wie gefragt verschlüsselte Kommunikation derzeit ist. Bis vor etwa einem Jahr bot das Unternehmen mit Hauptsitz in Genf einen verschlüsselten E-Mail- Dienst namens Silent Mail an. "Wir waren so beliebt, dass Regierungen, Menschenrechtsorganisationen und sogar der Dalai Lama unseren Service nutzten", erklärte Janke im Live-Interview in der Netzwoche-Ausgabe 14/2014.
Doch nachdem der verschlüsselte E-Mail-Dienst Lavabit von Ladar Levison von den US-Behörden dazu gezwungen worden war, Daten herauszugeben, weil auch Snowden diesen Dienst genutzt hatte, wussten die Gründer von Silent Circle, dass auch ihnen früher oder später dasselbe Schicksal blühen würde. "Also reagierten wir proaktiv und stellten den Service ein, weil wir wussten, dass es zu gefährlich war, den Dienst weiter zu betreiben", so Janke. Inzwischen bietet das Unternehmen zwei Apps zur verschlüsselten Kommunikation sowie ein verschlüsseltes Telefonbuch an. Janke zufolge arbeitet das Unternehmen zudem an einem Peer-to-Peer-E-Mail Service namens Dark Mail, der die alte E-Mail-Architektur, bei der Metadaten unverschlüsselt mitgeschickt werden, ersetzen soll. "Er wird aussehen wie E-Mail und funktionieren wie eine E-Mail, aber ohne Metadata-Leak", verspricht Janke. Das Team von Dark Mail besteht laut der Projekt-Website aus dem Lavabit-Gründer Ladar Levison sowie den drei Silent-Circle-Gründern Mike Janke, Jon Callas und Phil Zimmermann. Letzterer ist der Erfinder der proprietären Verschlüsselungssoftware "Pretty Good Privacy", kurz PGP, die heute nicht mehr gepflegt wird.
Kein Kinderspiel
PGP, beziehungsweise das heute gängige Format OpenPGP, ist so etwas wie ein Standard für Unternehmen, die ihre E-Mails verschlüsseln und sich nicht auf eine geschlossene Lösung beschränken wollen. Dies war auch der Fall bei Lars Meier (Name geändert), einem Unternehmer, der mit zwei seiner Kunden verschlüsselte E-Mails austauscht, weil diese es so wünschen. Allerdings äussert sich Meier kritisch gegenüber der Open- Source-Variante GnuPG oder kurz GPG. Inzwischen funktioniere zwar alles, aber er habe am Anfang viele Probleme gehabt, erzählt er. Meier nutzt GnuPG über die Erweiterung Enigmail in Thunderbird, dem E-Mail-Client von Mozilla. Diese Kombination eignet sich nach Meiers Erfahrungen nur für kundige Anwender: "Das Hauptproblem ist, dass man als Nutzer viele Einstellungsmöglichkeiten hat. Und wir haben viel Zeit damit verbracht, alles richtig einzustellen."
Bei manchen Problemen habe es Jahre gedauert, bis sie die Lösung gefunden hätten. Und dies, obwohl sich Meier nach eigenen Angaben mit Kryptografie und asymmetrischer Verschlüsselung auskennt. Eines der Probleme, mit denen er und seine Kunden zu kämpfen hatten, waren Mailanhänge. "Oft zeigte es deren Dateiendung nicht an, sodass wir einander immer den Dateityp mitteilen mussten, damit wir den Anhang überhaupt öffnen konnten." Er habe unzählige Bedienungsanleitungen durchgelesen, aber meist hätten diese nicht seine Probleme beschrieben. Also konnte er nur raten und ausprobieren. Am schlimmsten seien die Probleme zudem, wenn man als Thunderbird-Benutzer mit "Fremd-Partnern", also Outlook- oder Mac-Usern verschlüsselte E-Mails austauschen wolle. Dennoch will Meier nicht gegen GPG argumentieren. "Ich will nicht das Produkt schlechtmachen. Wenn es mal läuft, ist es okay. Aber bis dahin ist es ein steiniger Weg."
E-Mails und Chats verschlüsselt
Auch das Berner Softwareunternehmen Puzzle ITC weiss um die Schwierigkeiten bei der Verschlüsselung von E-Mails. Die Mitarbeiter verschlüsseln einen Teil ihrer E-Mails. Der Umgang mit der Open-Source-Variante von PGP, GPG, sei für Anfänger erst mal herausfordernd, weil sie zuerst das Prinzip des Public-/Private-Key-Verfahrens verstehen müssten, erklärt Martin Gafner, Verkaufsleiter und Mitglied der Geschäftsleitung bei Puzzle. Zudem sei GPG grundsätzlich ein Kommandozeilen-Tool und daher gerade auch für Anfänger nicht leicht zu bedienen. Auch Fortgeschrittene müssten für Tasks, die sie nicht täglich ausüben, immer mal wieder das Manual hervornehmen.
Dennoch war die Einführung vor ein paar Jahren bei Puzzle nicht so schwierig wie bei Meier: "Als wir die Software einführten, waren viele der Mitarbeiter schon damit vertraut. An einem Workshop haben wir alle Mitarbeiter ausgebildet, unsere Schlüssel erzeugt sowie gegenseitig unterzeichnet", erklärt Gafner weiter. Neue Mitarbeiter erstellten ihre Schlüssel während der Einführungsschulung. Puzzle verschlüsselt nur die E-Mails, die sensitive Daten enthalten, wie zum Beispiel Passwörter und Lohnauszüge. "Jeder Mitarbeiter entscheidet selbst, ob er seine E-Mails verschlüsselt oder nicht. Da wir aber mit GPG über eine Methode zur Verschlüsselung von E-Mails verfügen, entscheiden sich Mitarbeiter automatisch zur Verschlüsselung, wenn sie sensitive Inhalte versenden", so Gafner. Laut Gafner wird in der Open-Source-Szene viel Wert auf Security gelegt. Krypto-Verfahren und Methoden wie GPG, SSL und Secure Shell würden an jeder Ecke eingesetzt. Zudem dienten diese Methoden auch zur Identifikation von Personen.
Ein gutes Beispiel dafür ist laut Gafner die Open-Source-Distribution Debian. "Da stützt sich die ganze Organisation auf den sogenannten Webof-Trust mit GPGKeys. Will ein Entwickler beim Projekt mitarbeiten, muss er sich zuerst bewerben und bewähren. Hält er alle Regeln ein, wird er in den Kreis der Debian-Entwickler aufgenommen." Dazu werde sein öffentlicher Schlüssel dem Schlüsselring der Debian-Entwickler hinzugefügt. Erst dann habe er die Möglichkeit, eigene Pakete ins Debian-Repository hinaufzuladen. "So ist sichergestellt, dass nicht einfach irgendwer irgendwelchen Code, vielleicht sogar schädlichen Code, in die Distribution einfliessen lassen kann", so Gafner. Für interne Chats nutzt das Unternehmen Jabber beziehungsweise den XMPP-Standard. Dabei werden die Verbindungen via SSL verschlüsselt. Damit Puzzle den Chat unter eigener Kontrolle hat, ist der Jabber-Server nicht mit anderen Servern in einem Netzwerk verbunden. Für die Telefonie nutzen die Mitarbeiter hauptsächlich ihre Handys. Die Festnetznummern sind aber über IP-Telefonie mit SIP (Session Initiation Protocol) erschlossen. Mit Kunden hat Puzzle laut Gafner nur wenig verschlüsselten E-Mail-Verkehr. "Wir verschlüsseln unsere E-Mails vor allem intern. Manche Mitarbeiter signieren aber E-Mails, die sie an Kunden verschicken."
Ziel: Einfacher verschlüsseln
Volker Birk, ein Sicherheitsspezialist aus Winterthur und Mitglied des Chaos Computer Clubs, hat die Problematik der schwierigen Verschlüsselung erkannt. Er arbeitet daher an einer Software namens Pretty Easy Privacy (PEP), die mithilfe von offenen Verschlüsselungsverfahren E-Mails verschlüsselt (siehe Interview rechts). Birk, der derzeit ein Pilotprojekt mit drei Unternehmen durchführt, erhält nach eigenen Angaben viel positiven Rücklauf von Firmen, die sich beispielsweise Sorgen wegen Industriespionage machen. "Das Thema bewegt die Unternehmen, das steht fest. Sie wünschen sich eine sichere Kommunikation, und es gibt auch viele Lösungen, aber die sind einfach nicht praktikabel", so Birk. Denn bei diesen Lösungen müssen die Unternehmen die Kryptografie selbst einrichten und konfigurieren.
Inzwischen hat Birk zusammen mit seinen Partnern die PEP Security SA in Luxemburg gegründet, um Unternehmenskunden zu bedienen. Zu seinen Partnern gehört unter anderem Leon Schuhmacher, der früher bei Novartis als CIO tätig war. "Wir planen, PEP für jegliche Software einzusetzen, die die Leute nutzen, um zu kommunizieren." Zudem will er PEP als App für mobile Geräte anbieten und damit etwas leisten, was es bisher nicht gibt: "Die Nachrichten der verschiedenen Messenger sollen alle in einer App ankommen." Momentan sei es geplant, fünf verschiedene Messenger zu unterstützen. "Wir wollen damit auch der sogenannten App-Falle entgegenwirken. Wenn ich beispielsweise Apps wie Threema, Telegram oder Textsecure nutze, bin ich darauf angewiesen, dass auch meine Kontakte diese Messenger-App nutzen, sonst bringt sie mir wenig." Bleibt zu hoffen, dass Birk mit seinem Projekt Erfolg hat. Es wäre eine Chance, das Thema Sicherheit in der Kommunikation wieder salonfähig zu machen. Der Bedarf wäre zumindest vorhanden.
Hinweis: Lesen Sie auch das Interview mit Volker Birk zum vorliegenden Artikel.
Die Begriffe kurz erklärt:
- PGP ("Pretty Good Privacy") Nicht mehr gepflegte proprietäre Software von Phil Zimmermann
- GNU Privacy Guard / GnuPG / GPG Open-Source-Variante von PGP (Software)
- OpenPGP Kryptografie-Standard
- PEP ("Pretty Easy Privacy") Neue Lösung von Volker Birk
- Asymmetrisches Kryptosystem: Beim asymmetrisches Kryptosystem beziehungsweise dem Public-/Private-Key-Verfahren braucht es im Gegensatz zum symmetrischen Kryptosystem keinen gemeinsamen geheimen Schlüssel. Stattdessen wird ein Schlüsselpaar eingesetzt, das aus einem privaten und einem öffentlichen Schlüssel besteht. Mit dem öffentlichen Schlüssel werden Nachrichten an einen Empfänger verschlüsselt, dieser kann die entsprechende Nachricht mit seinem privaten Schlüssel wieder entschlüsseln und lesen.