Zusammenfassung

Der vorliegende Bericht zum Projekt „Vertrauen in digitale Kommunikation“ befasst sich mit der Frage, wie digitale Kommunikationsmittel, die zunehmend den Alltag bestimmen, im Angesicht von immer wieder auftretenden Sicherheitsbrüchen, Datenschutzvorfällen und Überwachungsskandalen so ausgestaltet werden können, dass Nutzerinnen und Nutzer ihnen das notwendige Vertrauen entgegenbringen können.

Das Projekt geht von der Grundannahme aus, dass ein Bedürfnis nach geschützter und damit vertrauenswürdiger Kommunikation in bestimmten Kommunikationsverhältnissen besteht. Doch obwohl digitale Kommunikationsmittel für die meisten heute zur Selbstverständlichkeit geworden sind, legen die Ergebnisse jüngster Befragungen nahe, dass Nutzerinnen und Nutzer mit dem gegenwärtigen Zustand unzufrieden sind, soweit es darum geht, sensible Informationen mit Unternehmen oder Behörden auf elektronischem Wege auszutauschen. Es fehlt bei vielen an Vertrauen, dass die übermittelten und im Netz gespeicherten persönlichen Informationen ausreichend vor Missbrauch geschützt sind.

Vertrauen in solche Kommunikationsvorgänge erfüllt eine ganz entscheidende Funktion. Sie liegt darin, dass die mitteilende Person mit hinreichender Sicherheit voraussagen kann, was mit den übermittelten Daten und Informationen geschieht und ob und inwieweit sie vor dem Zugriff durch Akteure, die nicht unmittelbar an dem Vorgang beteiligt sind und die nicht legitimiert sind oder die die mitteilende Person nicht legitimiert hat, geschützt sind.

Die Erwartungen der Nutzerinnen und Nutzer in vertrauenswürdige Kommunikation lassen sich wie folgt zusammenfassen:

  • Die Daten und Informationen, die sie übermitteln, müssen so weit geschützt sein, dass sie nicht in die Hände Krimineller oder generell unbefugter Dritter geraten;
  • die Daten und Informationen dürfen von den Informationsempfängern nicht zum unmittelbaren Nachteil der Nutzerinnen und Nutzer verwendet werden;
  • einzelne, sensible Informationen dürfen nicht der allgemeinen Öffentlichkeit zugänglich gemacht werden;
  • der Akteur (d.h. die Person bzw. das Unternehmen oder die staatliche Stelle), mit dem kommuniziert wird, muss auch tatsächlich derjenige sein, für den er sich ausgibt;
  • die übermittelten Informationen dürfen nicht verfälscht worden sein;
  • die versandte Nachricht muss tatsächlich und innerhalb kurzer Zeit den Empfänger erreichen.

Phänomene wie steigende Internetkriminalität, Datenlecks bei Unternehmen oder staatliche Überwachungstätigkeit im Netz haben in den vergangenen Jahren zu einer Erosion des Vertrauens in digitale Kommunikation geführt. Zugleich lässt sich jedoch beobachten, dass die meisten Menschen trotz mangelnden Vertrauens weiter ständig digitale Kommunikationsmittel für jede Art der Kommunikation, mit sensiblen Inhalten oder ohne, nutzen. Das deutet darauf hin, dass entweder Gleichgültigkeit oder Fatalismus vorherrscht. Umfrageergebnisse zeigen allerdings nichtsdestotrotz, dass der Wunsch nach vertrauenswürdigen digitalen Kommunikationsmitteln weithin besteht.

Grundsätze für sichere digitale Kommunikation

1. Digitale Kommunikation mit sensiblen Inhalten sollte sicher und verlässlich sein.

Nur wenn ein Kommunikationsmittel als sicher und verlässlich angesehen ist, wird es auch dazu genutzt werden, um bedeutsame oder sensible Informationen zu übermitteln. In diesem Sinne ist das Mittel in erster Linie dann als sicher anzusehen, wenn die Inhalte der Kommunikation nur von denjenigen Akteuren eingesehen werden können, die dazu berechtigt sind, die Inhalte nicht verändert oder kompromittiert werden können und für den Empfänger der übermittelten Information gewährleistet ist, dass sie tatsächlich von dem Akteur stammt, von der sie zu stammen scheint. Verlässlich ist ein Kommunikationsmittel unter anderem dann, wenn die gesendete Nachricht tatsächlich den Empfänger erreicht. Um die so definierte Sicherheit und Verlässlichkeit digitaler Kommunikation zu erreichen, sollten Maßnahmen umgesetzt werden, die rechtliche, technische und organisatorische Aspekte miteinander verbinden.

2. Die eingesetzte Technologie sollte nutzerfreundlich sein.

Digitale Kommunikationsmittel müssen auch nutzerfreundlich sein. Denn werden Kommunikationsmittel, obgleich sicher, mangels Nutzerfreundlichkeit nicht angenommen, können sie das Sicherheitsniveau vertraulicher digitaler Kommunikation nicht steigern. Der Sicherheitsaspekt läuft leer, wenn Nutzer auf leichter zu handhabende, dabei aber unsicherere Kommunikationswege zurückgreifen. Deshalb ist es entscheidend, dass Sicherheit nicht auf Kosten der Nutzerfreundlichkeit erreicht wird. Beide Aspekte müssen vielmehr stets als Einheit gedacht und entsprechend zusammen realisiert werden.

3. Dem Nutzer gegenüber sollte der gewährleistete Sicherheitsstandard kommuniziert werden.

Transparenz fördert das Vertrauen in digitale Kommunikation. Wenn der Nutzer leicht erkennen kann, welches Sicherheitsniveau beim jeweiligen Kommunikationsvorgang gewährleistet ist, so ist es ihm besser möglich, abzuschätzen, welches Risiko er eingeht, wenn ihn betreffende sensible Informationen auf digitalem Wege übermittelt werden. Vertrauensfördernde Maßnahmen bieten sich hier insbesondere in Form der Vergabe und Veröffentlichung von anerkannten Gütesiegeln und Zertifikaten an. Die für die Vergabe zuständige Prüfinstanz muss unabhängig sein und selbst offene und transparente Prüfstandards zugrunde legen.

4. Dem Nutzer sollten alternative – auch analoge – Kommunikationsmittel angeboten werden.

Solange nicht sämtliche Nutzer mit sicheren digitalen Kommunikationsmitteln umgehen können, muss gerade in bedeutenden Kommunikationsverhältnissen darauf geachtet werden, dass bis auf Weiteres Alternativen angeboten werden. Das bedeutet, dass sowohl staatliche Stellen als auch privatwirtschaftliche Unternehmen den Bürgern und Kunden neben dem digitalen Weg stets auch alternative, analoge Kommunikationsmittel anbieten sollten, wenn es um den Versand sensibler Inhalte geht.

5. Die Wahl des Kommunikationsmittels sollte für den Nutzer nicht mit unmittelbaren Mehrkosten verbunden sein bzw. in dieser Hinsicht nicht zwischen analoger und digitaler Kommunikation unterscheiden.

Die wünschenswerte Förderung digitaler Kommunikationsmittel darf nicht mit unmittelbaren Mehrkosten für den Nutzer verbunden sein. Das bedeutet einerseits, dass digitale Angebote nicht kostenpflichtig sein sollten, wenn die entsprechenden analogen Kommunikationswege (bislang) kostenfrei waren. Umgekehrt sollte eine analoge Alternative nicht plötzlich mit finanziellem Aufwand verknüpft sein, wenn sie vor Einführung des digitalen Kommunikationsmittels den Nutzer nichts gekostet hatte. Nutzer haben nur dann tatsächlich Wahlfreiheit des Kommunikationsmittels, wenn keine der Optionen in Bezug auf die Kosten diskriminiert.

Auf die so formulierten fünf Grundsätze für sichere digitale Kommunikation folgt abschließend die Frage, wie diese in die Praxis übertragen werden können. Zu fordern ist in diesem Sinne eine konzertierte Anstrengung von Staat, Wirtschaft und zivilgesellschaftlichen Akteuren mit dem Ziel, die folgenden fünf auf den Grundsätzen aufbauenden Maßnahmen umzusetzen:

  • Erhöhung des Sicherheitsniveaus durch Implementierung von Security by Design seitens der Dienstleister im Sinne der jeweils aktuellen Verschlüsselungstechnologien;
  • nutzerfreundliches, intuitiv zu handhabendes Design für Sicherheitslösungen;
  • Sicherstellung einer diskriminierungsfreien Wahlmöglichkeit zwischen analoger und digitaler Kommunikation;
  • Schaffung von Bündelungsmöglichkeiten für digitale Kommunikation mit sensiblen Inhalten, z. B. in Form eines geeigneten Standards zur Sicherstellung von Interoperabilität sowie von Portalen, die diesen Standard umsetzen;
  • Auszeichnung teilnehmender Unternehmen durch Siegel oder Zertifikate, die es ermöglichen, dass die Erfüllung der entsprechenden Kriterien als Wettbewerbsvorteil wirkt.