Aus Sicht des Nutzers ist dies jedoch irrelevant. Wer heute noch keine Mail-Verschlüsselung nutzt, ist dadurch verunsichert. Lohnt sich der Aufwand für Verschlüsselung überhaupt? Dieser ist beträchtlich:
- Entscheidung für ein Verfahren (PGP oder S/MIME)
- Auswahl und Installation eines Produkts (das ist meist leicht – für die gängigen Mail-Programme gibt es Plugins für beide Verfahren)
- Einigung mit jedem Kommunikationspartner auf ein Verfahren und Austausch der Schlüssel (bei PGP) auf vertrauenswürdigem Weg
- Meist geht Mail-Verschlüsselung auch damit einher, dass sich Mails nicht mehr auf allen Endgeräten lesen lassen – insbesondere auf Smartphones
Das Ziel: Jede E-Mail – also nicht nur die besonders schützenswerten – wird ohne zusätzliche Schritte oder Umstände verschlüsselt zum Empfänger übertragen.
Wir – die IT-Branche – müssen uns eingestehen, dass wir das Ziel in den vergangenen 20 Jahren nicht erreicht haben.
Zwar wird inzwischen – TLS sei Dank – zumindest ein Großteil der Verbindungen zwischen den Mail-Servern verschlüsselt und so zumindest dem Abhören „unterwegs“ vorgebeugt. Allerdings liegen die Mails dann auf den Servern wieder unverschlüsselt vor. Und durch die TKÜV hilft Verschlüsselung ja ohnehin nicht als Schutz vor einem Abhören durch den Staat.
Für die durchschnittlich interessante E-Mail mag das akzeptabel sein, die Basis für ein vertrauenswürdiges Medium sieht anders aus. Beispielsweise für einen regierungskritischen Blogger in einem totalitären Staat kann sichere Verschlüsselung über Leben oder Tod entscheiden.
Die Konkurrenz hat nicht geschlafen
Ein Blick auf alternative Kommunikationsdienste verrät: Es geht auch besser. So müssen wir neidlos eingestehen, dass diese deutlich weiter sind. Man höre und staune: Insbesondere WhatsApp (die meisten Nutzer werden die DSGVO auch nach dem 25.5.2018 außen vor lassen) hat dieses Ziel erreicht. Ob die beworbene Verschlüsselung nun vor NSA & Co. schützt oder nicht – hier hat der Nutzer aus dem Stand ein Sicherheits-Niveau mit allen Kommunikationspartnern, welches bei E-Mail nur mit viel Aufwand zu erreichen ist. Und spätestens, wenn man die TKÜV dazu nimmt, ist auch der Fortschritt durch TLS dahin und maximal en par mit WhatsApp.
Nur geträumt?
Bleibt also die Frage: Ist Mail-Verschlüsselung inzwischen nur noch ein Fall für nostalgische Träumer und Sicherheits-Eremiten? Die Hoffnung stirbt bekanntlich zuletzt. Projekte wie pEp geben auch Anlass dazu. Fakt ist allerdings, dass die Bedeutung von E-Mail abnimmt. Kommunikation findet vermehrt über Messenger, Ticket-Tools, Foren etc. statt. Klar ist auch: genauso wie wir heute kein „papierloses Büro“ haben, werden wir in den kommenden Jahrzehnten noch E-Mail verschicken.
Wenn wir es aber nicht schaffen, Mail-Verschlüsselung so einfach und sicher zu machen, dass sie auch wirklich flächendeckend genutzt wird, ist vielleicht auch die Zeit gekommen, sich von der E-Mail als vertrauenswürdigem Medium zu verabschieden.