6. Epilog

Auf die fünf Grundsätze für sichere digitale Kommunikation, die in den vorangegangenen Abschnitten aufgestellt und erläutert wurden, folgt zum Abschluss die Frage nach ihrer Umsetzung, die hier in Form von Forderungen an Wirtschaft und Politik beantwortet wird.

Bislang ist lediglich als theoretische Überlegung erörtert worden, wie das Vertrauen der Nutzerinnen und Nutzer in digitale Kommunikationsmittel, die bei der Übermittlung sensibler Inhalte durch Unternehmen und Verwaltung eingesetzt werden, gestärkt werden kann. Einige dieser Aspekte sind schon durch bereits existierende rechtliche Vorgaben abgedeckt. Wie die Ausführungen aber gezeigt haben, liegt der Fokus der anwendbaren Gesetze vorrangig auf dem Aspekt der Sicherheit der Kommunikation. Hier zeigt sich aber trotz des Rechtsrahmens mitunter noch immer eine beträchtliche Lücke zwischen (rechtlichem) Anspruch und Wirklichkeit. Denn trotz mitunter recht detaillierter Bestimmungen zeigen die in schöner Regelmäßigkeit auftretenden Datenschutzskandale, dass die Sicherheit digitaler Kommunikationsmittel noch immer unzureichend ist.

I. Es ist zunächst zu fordern, dass das Sicherheitsniveau auf Seiten der Dienstleister insgesamt erhöht wird, indem Entwickler verstärkt dazu angehalten werden, auf „Security by Design“ zu setzen. Zumindest was den E-Mail-Verkehr angeht, sollte zum Erreichen dieses Ziels weiter verstärkt auf modernste Verschlüsselungstechnologien und insbesondere auf die flächendeckende Einführung von Ende-zu-Ende-Verschlüsselung gesetzt werden.

Diese Forderung allerdings führt zu dem bereits erörterten Problem, dass bei bislang angebotenen Lösungen Sicherheit zu oft auf Kosten der Nutzerfreundlichkeit erkauft worden ist. Dieser Umstand wiederum hat unmittelbar Auswirkungen auf die Sicherheit selbst. Denn sichere Kommunikationsmittel, die von den designierten Zielgruppen nicht bedient werden können oder durch einfacher benutzbare, aber unsicherere Alternativen ersetzt werden, verfehlen ihre Funktion, da sie letztendlich nicht verwendet werden. Sie werden sich am Markt nicht durchsetzen, sodass der angebotene Sicherheitsstandard wirkungslos bleibt.

„Die Nutzerfreundlichkeit bei verschlüsselter Kommunikation ist extrem wichtig. Dies liegt an einem einfachen Kosten- Nutzen-Modell: Wenn man einmal Ärger mit einer gefälschten E-Mail hat und diesen Ärger mit wenigen Stunden oder Tagen Arbeit auflösen kann, ist es besser, als wenn man sein ganzes Leben lang mit Schwierigkeiten der PGP-Verschlüsselung bei jeder E-Mail-Kommunikation kämpfen muss.“
Prof. Dr. Georg Borges, Lehrstuhl für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht sowie Rechtstheorie, Universität des Saarlandes, Konsultation

II. Die Forderung nach Herstellung von Sicherheit ist stets durch die ebenso gewichtige Forderung danach zu ergänzen, Sicherheitstechnologien so zu implementieren, dass das Endprodukt dennoch stets intuitiv und von durchschnittlich versierten Nutzerinnen und Nutzern einfach zu bedienen ist. Die Aspekte Sicherheit und Nutzerfreundlichkeit bilden ein einheitliches Ganzes.

Darüber hinaus sind die Wünsche der Bürger und Verbraucher, die die angebotenen Dienste digitaler Kommunikation ja schließlich verwenden sollen, ernst zu nehmen. Wie bereits in der Einleitung erwähnt, sprechen sich nicht weniger als 92 Prozent dafür aus, eine Wahlmöglichkeit dahingehend beizubehalten, auf welche Weise ihnen Dokumente mit sensiblen Informationen zugestellt werden.1

III. Von den Dienstleistern ist zu fordern, eine Wahlmöglichkeit zwischen analoger und digitaler Kommunikation aufrechtzuerhalten. Das heißt zudem, dass ökonomische Nichtdiskriminierung zu fordern ist, um das Ziel zu erreichen.

Weiterhin hat die jüngste Befragung gezeigt, dass Nutzerinnen und Nutzer Online-Postfächer zwar als praktisch empfinden und solche Angebote mehrheitlich auch nutzen. Zugleich betrachten sie die Verteilung wichtiger Dokumente auf unterschiedliche Postfächer bei mehreren Anbietern überwiegend als negativ. Ein Drittel fürchtet gar, aufgrund der großen und weiter steigenden Anzahl solcher Portale irgendwann den Überblick zu verlieren.2

IV. Es ist zu fordern, eine technische Lösung zu schaffen, mit der die Online- Postfächer unterschiedlicher Anbieter bzw. Unternehmen zusammengeführt werden können. Solche Bündelungslösungen würden es einerseits unnötig machen, sich eine Vielzahl an Passwörtern merken zu müssen. Vor allem aber würden sie das genannte Problem zunehmender Unübersichtlichkeit beseitigen und könnten – sofern entsprechend gut designt – wie Online-Portale allgemein Nutzerfreundlichkeit gewährleisten.

Für die Schaffung einer solchen technischen Lösung bedarf es einer konzertierten Aktion, an der sich sowohl der Staat als auch Stakeholder aus Zivilgesellschaft (wie z. B. im Bereich von Datenschutz und Internetsicherheit tätige Nichtregierungsorganisationen und unabhängige Beauftragte für Datenschutz) und Wirtschaft (einerseits Unternehmen, die mit ihren Kundinnen und Kunden zunehmend digital kommunizieren, wie Versicherer, Banken, Energieversorger etc.; andererseits Kommunikationsdienstleister wie z. B. E-Mail-Provider) beteiligen sollten.

„Die Anstrengungen, digitale Kommunikation sicherer zu gestalten, müssen stärker gebündelt werden. Das BSI als die nationale Cyber-Sicherheitsbehörde ist dazu im Dialog mit Wirtschaft und Gesellschaft und treibt entsprechende Lösungen zur sicheren Kommunikation im Internet voran, etwa im Bereich der Verschlüsselung.“
Matthias Gärtner, Pressesprecher beim Bundesamt für Sicherheit und Informationstechnik, Konsultation

Eine solche Multi-Stakeholder-Aktion ist insbesondere für die privatwirtschaftlichen Unternehmen mit Kosten verbunden, die sich nicht unmittelbar auszahlen. Solange ihre Kunden die von ihnen angebotenen individuellen Online-Portale nutzen, wie es bislang, wenn auch mit Bauchschmerzen, geschieht, besteht für die Unternehmen eigentlich kein unmittelbarer Anlass, sich an einem solchen Vorhaben mit eigenen Ressourcen zu beteiligen. Ein entsprechender Anreiz könnte allerdings durch Konkurrenzdruck entstehen, wenn es gelänge, einige Unternehmen davon zu überzeugen, dass eine Teilnahme an solchen vereinheitlichten Portalen einen Reputationsgewinn bringen würde, da es dem Kundenwunsch entspricht, über die derzeit bestehende fragmentierte Landschaft Dutzender Online-Postfächer hinwegzukommen. Hier könnte wiederum den angesprochenen Gütesiegeln eine entscheidende Rolle zukommen.

V. Unternehmen, die sich an der technischen Lösung zur Bündelung von Online- Postfächern beteiligen und ihren Dienst entsprechend gestalten, sollten mit einem entsprechenden Siegel ausgezeichnet werden, das den Nutzerinnen und Nutzern diesen Umstand leicht erkennbar kommuniziert.

Anderen Unternehmen, die es dagegen vorziehen, außen vor zu bleiben, könnte dann das Vertrauen der Kunden in die Sicherheit ihrer angebotenen digitalen Kommunikationsmittel abhandenkommen. Das Siegel schafft damit den Anreiz auch für privatwirtschaftliche Akteure, zu dem Gelingen einer sicheren, nutzerfreundlichen digitalen Kommunikation beizutragen.

„Von staatlicher Seite sollten nicht einfach irgendwelche Vorgaben gemacht werden, sondern Sicherheitsstandards oder Gütesiegel müssen mit den Unternehmen zusammen erarbeitet werden.“
Suanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit, Bitkom e.V., Konsultation

Gefordert wird mithin, dass die fünf Grundsätze für sichere digitale Kommunikation mittels der fünf folgenden Maßnahmen umgesetzt werden: (I) Security by Design, (II) Nutzerfreundlichkeit, (III) Wahlmöglichkeit und ökonomische Nichtdiskriminierung, (IV) Schaffung einer technischen Lösung zur Bündelung von Online-Postfächern, (V) Kennzeichnung der teilnehmenden Unternehmen durch Siegel.

  1. Siehe DIVSI, Digitalisierung – Deutsche fordern mehr Sicherheit. Was bedeutet das für Vertrauen und für Kommunikation? Eine Studie von dimap im Auftrag des Deutschen Instituts für Vertrauen und Sicherheit im Internet (DIVSI), Hamburg, August 2017. []
  2. Ebd. []