4.2 Die eingesetzte Technologie sollte nutzerfreundlich sein

Für das Vertrauen in digitale Kommunikation ist es damit nicht ausreichend, dass die eingesetzten Kommunikationsmittel sicher sind. Vielmehr müssen sie auch nutzerfreundlich sein. Denn werden Kommunikationsmittel, obgleich sicher, mangels Nutzerfreundlichkeit nicht angenommen, können sie das Sicherheitsniveau vertraulicher digitaler Kommunikation nicht steigern. Der Sicherheitsaspekt solcher Technologien läuft leer, wenn Nutzer auf leichter zu handhabende, dabei aber unsicherere Kommunikationswege zurückgreifen. Deshalb ist es entscheidend, dass Sicherheit nicht auf Kosten der Nutzerfreundlichkeit erreicht wird. Beide Aspekte müssen vielmehr, soweit möglich, stets als Einheit gedacht und entsprechend zusammengebracht werden.

Wie beschrieben, ist die offene E-Mail, deren Inhalt lediglich mittels einer Transportverschlüsselung bei der Übermittlung zwischen Client und Server und zwischen den Servern der beteiligten Dienstleister vor dem Zugriff unbefugter Dritter geschützt ist, nicht als besonders sicher anzusehen. Ihr großer Vorteil besteht jedoch darin, dass sie sehr einfach zu nutzen und in den vergangenen zwei Jahrzehnten vor allem zum absoluten Standard digitaler Kommunikation geworden ist. Das bedeutet, dass sich jede Lösung, die ein höheres Sicherheitsniveau gewährleisten soll, an dem Bedienkomfort der E-Mail orientieren muss, um Nutzer dauerhaft überzeugen zu können. In dieser Hinsicht stehen Messenger-Dienste wie WhatsApp, Threema und Co. der E-Mail in Hinblick auf die bloße Bedienbarkeit in nichts nach. Um diese Anwendungen zu nutzen, ist kein weiteres technisches Verständnis vonnöten. Es handelt sich um geschlossene Systeme – sie sind nicht untereinander und insbesondere auch nicht mit E-Mail-Diensten kompatibel. Die Verwendung von Messenger-Diensten erhöht somit die Anzahl von Kommunikationskanälen, was im Zweifel dazu führen kann, dass der Nutzer die Übersicht verliert. Zudem eignen sich die gängigen Dienste nur schlecht für die Übermittlung von Dokumenten in Form von Anhängen und sind damit oft nicht für die Kommunikation zwischen Behörde und Bürger bzw. Unternehmen und Kunde zu gebrauchen. Ein wesentlicher Grund für diesen Umstand ist darin zu finden, dass sie, anders als E-Mail-Dienste, vor allem dazu dienen, synchrone Kommunikation wie beispielsweise das Chatten zu ermöglichen. Sie sind konzeptionell damit Varianten der Sprachkommunikation, wie vor allem dem Telefongespräch, enger verwandt als asynchronen Kommunikationsmitteln, wie z. B. der Briefpost.

Dies ist bei De-Mail-Diensten und beim E-Postbrief anders. Diese Anwendungen sind gerade darauf ausgelegt, auch Dokumente mit sensiblen Inhalten sicher zu übermitteln, und sind zudem eher als Pendant zur klassischen, analogen Kommunikation mittels Brief konzipiert. Es handelt sich bei ihnen um geschlossene Systeme, die dadurch zwar eine gesteigerte Absicherung bei hoher Benutzerfreundlichkeit aufweisen können, in Konsequenz aber nicht mit anderen digitalen Kommunikationsmitteln kompatibel sind.1 Einige Faktoren bei der Nutzung sind für ein höheres Schutzniveau notwendig, erfordern allerdings im Vorfeld einen höheren Aufwand seitens des Nutzers. So ist für die erstmalige Registrierung eines De-Mail-Kontos erforderlich, dass sich der Nutzer beim Anbieter identifizieren lässt, beispielsweise indem er seinen Personalausweis vorlegt. Zieht er um und bekommt so eine neue Meldeadresse, muss er sich erneut registrieren. Um sich anschließend sicher bei seinem Konto anzumelden – was für die meisten De-Mail-Dienstleistungen Voraussetzung ist –, sind zwei voneinander unabhängige Sicherungsmittel erforderlich, also beispielsweise die Eingabe eines Passwortes und die Nutzung der eID-Funktion des elektronischen Personalausweises.2

Auch die Registrierung zum E-Postbrief erfordert anfänglich einen gewissen Aufwand für den Nutzer: So muss zunächst der Ausweis bei einer Postfiliale vorgelegt werden. Daneben wird der Hauptwohnsitz des Nutzers durch eine Kombination einer „Handy- TAN“, die per Mobiltelefon übermittelt wird, und einer „AdressTAN“, die per Brief zugestellt wird und anschließend im Webportal des E-Postbriefes eingegeben wird, bestätigt. Dieses Verfahren ist etwas zeitaufwendiger als die im Vergleich schnelle Registrierung eines neuen Kontos bei einem normalen E-Mail-Dienstleister, für die Sicherstellung einer eindeutigen Identifikation des E-Postbrief-Kontoinhabers und zur Vermeidung von Sicherheitsbrüchen im Anmeldeprozess aber notwendig.

Die Anmeldung beim Webportal des E-Postbrief- Dienstes ist für gewöhnlich mit einem einfachen, selbst gewählten Passwort zu erledigen. Soweit zusätzlich eine Zwei-Faktor-Anmeldung beispielsweise mittels einer auf das Mobiltelefon gesendeten TAN angeboten wird, ist diese zusätzliche Sicherheitsstufe jedenfalls optional und steht damit zur Disposition des Nutzers. Dieser kann selbst entscheiden, ob er ein wenig Bedienkomfort aufgeben will, um den Schutz seines E-Postbrief-Kontos zu erhöhen.

„Verschlüsselungen in der digitalen Kommunikation müssen sich zunächst in der Nutzer-Community durchsetzen. Obwohl bereits Angebote existieren, die der Nutzer relativ einfach umsetzen kann, ist dies noch nicht der Fall.“
Matthias Gärtner, Pressesprecher beim Bundesamt für Sicherheit und Informationstechnik, Konsultation

Wünscht der Nutzer eines normalen E-MailDienstes, dass seine Nachrichten mittels Ende-zu- Ende-Verschlüsselung gegen den Zugriff unbefugter Dritter abgesichert sind – wie beispielsweise durch Verwendung von OpenPGP oder S/MIME –, so ist seine Mitwirkung vonnöten, was bei der bloßen Transportverschlüsselung nicht der Fall ist.3 Das Problem ist hierbei allerdings, dass der Einsatz der genannten Verschlüsselungstechnologien bislang kaum laientauglich ist. Neuere Browser-Plug-ins wie beispielsweise Mailvelope sind zwar benutzerfreundlicher, stehen bislang aber nur für wenige E-Mail-Dienste zur Verfügung.4 Darüber hinaus besteht bei dieser asymmetrischen Verschlüsselungsmethode5 die zusätzliche Gefahr, dass der Nutzer seinen privaten, geheimen Schlüssel vergisst. Ist dies geschehen und hat der Nutzer nicht die Vorsichtsmaßnahme der Anfertigung einer Sicherheitskopie des betreffenden Zertifikats ergriffen, so hat er keinen Zugriff mehr auf die verschlüsselten Informationen. Angesichts der Vielzahl an Passwörtern für webbasierte Dienste und andere Anwendungen, die sich Nutzer digitaler Technologien heutzutage merken müssen, sind es viele Menschen gewohnt, ein vergessenes Passwort zurücksetzen zu lassen und mithilfe des eigenen E-Mail-Accounts ein neues zu generieren. Dies ist bei dieser Art der Verschlüsselung jedoch gerade nicht möglich. Ist der Schlüssel verloren, so sind es auch die verschlüsselten Informationen.6

Angesichts der aufgeführten Probleme im Hinblick auf die Nutzerfreundlichkeit besonders sicherer digitaler Kommunikationsmittel versuchen Anbieter wie ProtonMail, einen Kompromiss anzubieten.7 Die Dienste geben es jedenfalls zum Ziel aus, die oben beschriebenen Sicherungsmaßnahmen wie Ende-zu-Ende-Verschlüsselung und die verschlüsselte Ablage der Nachrichten im Postfach des Nutzers mit einer einfachen Handhabbarkeit zum Ausgleich zu bringen und dabei gleichzeitig mit anderen E-Mail-Anwendungen kompatibel zu bleiben.

Die Benutzerfreundlichkeit von Portallösungen hängt stark von der konkreten Ausgestaltung des jeweiligen Portals ab. Wird Zwei-Faktor-Authentifizierung eingesetzt, mag diese zwar etwas umständlich sein, ist generell aber intuitiv und damit einfach zu bedienen. Umstände bereiten Portallösungen weniger aufgrund ihrer Ausgestaltung, sondern weil sie zu einem Paradigmenwechsel führen. Hier findet ein Übergang von einer Bring- zur Holschuld bei der Kommunikation mit Behörden und Unternehmen statt. Anders ausgedrückt: Statt die jeweilige Information direkt übermittelt zu bekommen – wie bei E-Mail oder Messengern –, muss der Nutzer sie sich bei der Kommunikation über Online-Postfächer aktiv beschaffen. Dies hat mehrere Auswirkungen auf den Nutzer. Zum einen trägt er, indem ihm eine erhöhte Mitwirkungspflicht übertragen wird, eine größere Verantwortung. Für den Zugang der Information ist nunmehr nicht mehr nur der Sender, sondern auch der Empfänger verantwortlich. Dies kann vor allem dann problematisch werden, wenn Portallösungen von einer Vielzahl wichtiger Kommunikatoren eingesetzt werden. Denn die Portale sind per se nicht miteinander verbunden, sondern jedes Unternehmen, jede Behörde verwendet ein eigenes System, für das man jeweils einen eigenen Zugang benötigt. Eine Vielzahl voneinander isolierter Portale von Behörden, Banken, Versicherungen etc. dauerhaft im Blick zu halten, für alle Zugänge Login-Daten zu erzeugen und zu merken usw., kann den Nutzer schnell überfordern. Gerade die dadurch steigende Anzahl von Passwörtern für die verschiedenen Portale macht diese Verfahren nicht nur nutzerunfreundlich, sondern stellt potenziell sogar ein Sicherheitsrisiko dar. Denn Nutzer werden versucht sein, die Passwörter entweder an einem unsicheren Ort abzulegen (etwa als Textdokument auf der Festplatte) oder stets das gleiche, leicht zu merkende Passwort zu verwenden. Bei einem Hackerangriff auf einen der Dienste, bei dem es zum Diebstahl von Kundendaten inklusive Passwörtern kommt, würden so alle Logins, die mit diesem Passwort gesichert wurden, gleichzeitig kompromittiert, sofern der Dienst die Passwörter nicht ausreichend gesichert hat.8

Um diese Unübersichtlichkeit zu vermeiden, könnte es sich anbieten, einzelne Portale zusammenzuführen bzw. zu zentralisieren. So gibt es beispielsweise Anwendungen, mit der sich mehrere Konten bei verschiedenen Banken verwalten lassen.9 Als Vorbild für ein solches zentralisiertes Portal bietet sich auch ein Blick nach Estland10 an. Hat man sich mit seinem elektronischen Personalausweis oder über sein Bankkonto bei dem estnischen E-Government-Portal angemeldet, kann man nicht nur Behördengänge erledigen, sondern auch seine eigenen Gesundheitsdaten an Ärzte übermitteln oder private Geschäfte erledigen.11 Dabei sollte zugleich aber natürlich nicht vergessen werden, dass eine solche Zentralisierung auch Risiken birgt. Denn wird dieser eine Zugang kompromittiert, sind auf einen Schlag wiederum alle sensiblen Daten und Inhalte gleichzeitig gefährdet. Auch hierbei muss daher sorgfältig zwischen Nutzerfreundlichkeit und Sicherheit abgewogen werden.

Der vorausgegangene Abschnitt hat gezeigt, dass eine technische und organisatorische Absicherung für sich genommen nicht ausreichend ist, um digitale Kommunikation mit sensiblen Inhalten tatsächlich zu schützen. Denn die Motivationen und das daraus resultierende Verhalten der Nutzer sollten nicht unterschätzt werden. Nur wenn sich die eingesetzte Technologie auch hinreichend intuitiv und einfach bedienen lässt, wird sie genutzt werden. Darüber hinaus erscheint es notwendig, dass die Nutzer sich über die eingesetzten Sicherungsmaßnahmen beim jeweiligen Dienst im Klaren sind und sich hierauf verlassen können. Auch das Wissen um Sicherheitstechnologien erhöht das Bewusstsein für den Schutz sensibler Daten und kann auf diese Weise mit dazu beitragen, dass Nutzer geneigt sind, sich für Anbieter zu entscheiden, die auf höhere Sicherheitsstandards setzen.

  1. Da es sich beim E-Postbrief um einen hybriden Dienst handelt, folgt aus diesem Umstand allerdings nicht, dass die Nachricht den Empfänger nicht erreicht, sollte dieser selbst kein Nutzer des Dienstes sein; vielmehr wird die Nachricht in diesem Fall ausgedruckt, kuvertiert, frankiert und an den Empfänger per Postbote ausgeliefert, siehe https://www.epost.de/privatkunden/brief-und-fax/briefe-online-versenden.html. []
  2. Vgl. Wikipedia, De-Mail, https://de.wikipedia.org/wiki/De-Mail#De-Mail-Nutzerkonten_und_-Adressen. []
  3. Heckmann, S. 68. []
  4. Michael Herfert, Annika Selzer und Ulrich Waldmann, Laientaugliche Schlüsselgenerierung für die Ende-zu-Ende-Verschlüsselung, DuD 2016, S. 290, 291. []
  5. Zur Erläuterung des Begriffs „asymmetrische Verschlüsselungsmethode“ siehe den Annex. []
  6. Heckmann, S. 68. []
  7. https://protonmail.com; nach Aussage des Unternehmens hatte ProtonMail Anfang 2017 über zwei Millionen Nutzer, siehe https://protonmail.com/blog/tor-encrypted-email/. Alternativen zu ProtonMail sind beispielsweise unseen.is (https://unseen.is/), Tutanota (https://tutanota.com/#!home) oder ScryptMail (https://scryptmail.com/login), die nach ähnlichen Prinzipien funktionieren. []
  8. Dieses Resultat wird im Falle einer Zwei-Faktor-Anmeldung selbstverständlich verhindert; zudem kann (und sollte) der Diensteanbieter natürlich Vorkehrungen treffen, um die Passwörter der Nutzer sicher zu speichern, z. B. durch die Erzeugung sogenannter salted hashes, vgl. Wikipedia, Salt (Kryptologie), https://de.wikipedia.org/wiki/Salt_(Kryptologie). []
  9. Ein Beispiel für eine solche Smartphone-App ist Centralway Numbrs, die allerdings wegen Sicherheitsrisiken in der Kritik stand; vgl. Christian Siedenbiedel, Die neuen Apps fürs Online-Banking, FAZ.net, 12. Mai 2014, http://www.faz.net/aktuell/finanzen/meine-finanzen/sparen-und-geld-anlegen/konten-bei-unterschiedlichen-banken-mit-einer-app-verwalten-das-geht-jetzt-aber-ist-es-auch-sicher-12933595.html. []
  10. Die Vorbildfunktion ist allerdings mit Einschränkungen zu verstehen, da Estland als kleines Land und durch die Chance, nach der Unabhängigkeit die digitale Infrastruktur von Grund auf neu aufzubauen, andere Rahmenbedingungen bei der Digitalisierung als größere Länder mit einer etablierten Infrastruktur hatte. []
  11. Sabine Adler, E-Government macht das Leben leichter, Deutschlandfunk, 24. Mai 2016, http://www.deutschlandfunk.de/estland-e-government-macht-das-leben-leichter.1766.de.html?dram:article_id=355026. []