Original-URL des Artikels: https://www.golem.de/news/e-mail-verschluesselung-eu-kommission-hat-angst-vor-verschluesseltem-spam-1606-121638.html    Veröffentlicht: 22.06.2016 12:04    Kurz-URL: https://glm.io/121638

E-Mail-Verschlüsselung

EU-Kommission hat Angst vor verschlüsseltem Spam

PGP ist sicher, aber in der Handhabung oft kompliziert, gerade in größeren Unternehmen. Die EU-Kommission will die Technik in einem Pilotprojekt für alle Mitarbeiter einführen. Eine Angst geht dabei um: die vor verschlüsselten Spammails.

Die Parlamentarier in Brüssel müssen wohl selbst gemerkt haben, dass es so nicht weitergehen kann mit der (nicht vorhandenen) E-Mail-Verschlüsselung in ihrem Hause. Die Abgeordneten baten die EU-Kommission schließlich herauszufinden, welche technischen Lösungen wohl am besten gegen Bedrohungen wie Massenüberwachung und gezielte Cyberspionage geeignet seien.

In einer Studie, welche die EU-Kommission bei der IT-Beratungsfirma Everis in Auftrag gegeben hat und die Golem.de exklusiv vorliegt, schlagen die Autoren ein S/MIME-basiertes Zertifikatesystem vor, bei dem die teilnehmenden Institutionen jeweils ihre eigene Public-Key-Infrastruktur (PKI) unterhalten. Quelloffene oder freie Software scheint bei diesen Plänen aber ebenso wenig eine Rolle zu spielen wie die Möglichkeit für normale Bürger, sich vertraulich an ihre gewählten Politiker zu wenden. Letzteres soll aus Schutz vor "verschlüsseltem Spam" sogar explizit ausgeschlossen werden.

Geheime öffentliche Schlüssel

"Die Institutionen werden mit Spam geflutet", sagt uns ein hochrangiger Beamter aus der IT-Abteilung der EU-Kommission. Wären die öffentlichen Schlüssel der Mitarbeiter wirklich öffentlich, böte dies ein "zusätzliches Angriffsszenario für gezielte Phishing-Attacken". Mit Malware verseuchte E-Mails könnten sich dank Verschlüsselung an den serverseitigen Filtern vorbeischleichen. Die E-Mail-Adressen der Beamten sind nach dem Muster vorname.nachname@ec.europa.eu in Kombination mit dem öffentlichen Mitarbeiterverzeichnis tatsächlich einfach zu erraten.

Wir fragen beim Computer Emergency Response Team der EU nach, was man dort über die Gefahren durch verschlüsselten Spam weiß. Auch die Mitarbeiterinnen und Mitarbeiter des Cert-EU sind per verschlüsselter E-Mail zu erreichen, sowohl OpenPGP als auch S/MIME werden unterstützt. Von verschlüsseltem Spam habe man aber noch nie gehört, versichert der stellvertretende Direktor. Zwar könne man sich theoretisch durch Malware verseuchte Mails vorstellen, in der Praxis sei das aber kein Problem.

Vielleicht hat das Cert-EU nicht genügend Praxiserfahrung, denken wir und suchen weiter: Anruf bei Access Now, einer globalen Nichtregierungsorganisation, die für den digitalen Schutz von Dissidenten und Journalisten kämpft. Access Now unterhält weltweit acht Büros, unter anderem in Hotspots wie Tunesien und den Philippinen. Jeder Mitarbeiter, einschließlich Praktikanten, hat einen PGP-Schlüssel. Die öffentlichen Schlüssel sind jeweils auf der Webseite und meist auch auf einschlägigen Keyservern zu finden.

Obwohl man Access Now durchaus als wertvolles Hackerziel sehen kann, ist auch hier noch nicht eine einzige verschlüsselte Spam-Mail eingegangen, versichert uns der Chief Technologist und IT-Sicherheitsexperte der Organisation. "Es ist viel wahrscheinlicher, dass Spam in unverschlüsselter Form mithilfe anderer Strategien durch die Spamfilter rutscht." Die IT-Verantwortlichen einer großen Organisation wie den EU-Institutionen sollten sich sowieso nicht einfach nur auf die serverseitigen Filtersysteme verlassen. "Die effektivste Verteidigung gegen bösartige E-Mails ist die Schulung der Mitarbeiter verbunden mit guter Endgerätesicherheit, vernünftig konfigurierter Firewalls und überwachter Host Intrusion Detection Systeme." In so einem Setup ließe sich E-Mail-Verschlüsselung als Teil der Verteidigung gegen bösartige E-Mails nutzen, anstatt diese als Angriffsvektor fürchten zu müssen.

E-Mail-Verschlüsselung für alle EU-Institutionen bereits 2017?

Ginge es nach der Kommissionsstudie, erhielte jeder EU-Beamte und jede Parlamentsabgeordnete sowie deren Mitarbeiter jeweils zwei S/MIME-Zertifikate, eines zum Verschlüsseln und eines zum Signieren. Beide würden von der Certificate Authority (CA) ihrer jeweiligen Institution, also zum Beispiel des Parlaments, signiert.

Diese Zertifikate sollen dann - zum Schutz vor besagtem Spam - lediglich innerhalb der EU-Institutionen verteilt, nicht aber öffentlich gemacht werden. Selbstsignierte S/MIME-Zertifikate, wie sie bei Privatpersonen häufiger zum Einsatz kommen, sollen zudem "niemals akzeptiert werden".

Key-Escrow wird Pflicht - und ist sinnvoll

Großen Wert legen die Autoren der Studie auch auf ein funktionierendes Key Escrow und Zertifikatearchiv, das "dringend empfohlen" wird. Damit kann sichergestellt werden, dass verschlüsselte E-Mails auch dann noch von den EU-Institutionen geöffnet werden können, wenn die entsprechende Mitarbeiterin dort nicht mehr arbeitet oder ein Abgeordneter sein Passwort vergisst.

Langfristig sollen auf diese Weise nicht nur die drei Hauptinstitutionen der EU, also EU-Kommission, Europäisches Parlament und Rat der EU, mit S/MIME ausgestattet werden, sondern auch alle rund 60 Unterorganisationen und nachgeordnete Behörden. Insgesamt wären das Zertifikate für über 55.000 Mitarbeiter. Nach einer Testphase, die bereits diesen Sommer beginnen soll, könnte die Verteilung dann Anfang 2017 starten.

EU-Kommission benutzt S/MIME schon lange ...

Praktischerweise hat die EU-Kommission - anders als das Europäische Parlament - S/MIME bereits seit Jahren am Laufen. Jeder interessierte Mitarbeiter der Behörde kann sowohl mit seinem Bürorechner als auch mobil verschlüsselt per E-Mail kommunizieren. Das ist auch sinnvoll: Insbesondere die Abteilungen für Handels- und Wettbewerbspolitik behandeln zum Teil extrem heikle Dossiers wie zum Beispiel die milliardenschweren Antidumping-Untersuchungen gegen China oder Fälle illegaler Preisabsprachen amerikanischer Großkonzerne.

Über die kommissionseigene Zertifizierungsstelle namens Commissign CA können Kommissionsmitarbeiter ihr eigenes S/MIME-Zertifikat beantragen und einrichten lassen. Dieses lässt sich dann leicht in das unter Windows 7 laufende Microsoft Outlook der Kommissions-PCs importieren. Für mobiles Mailen haben die EU-Beamten sogar eine BYOD-Option: Auf Anfrage installiert die Kommission auf den Mitarbeitergeräten das Mobile-Device-Management-Tool MobileIron der gleichnamigen Firma aus Kalifornien. Außerdem steht für die E-Mail-Verschlüsselung Symantecs Touchdown-Anwendung zur Verfügung.

Verschlüsseln, ja - aber nicht für geheime Dokumente

Skurril wirkt dabei, dass die Nutzerrichtlinien der EU-Kommission den S/MIME-verschlüsselten Versand von als vertraulich eingestuften Dokumenten explizit verbieten. Die IT-Verantwortlichen scheinen ihrer eigenen Technik nicht so recht zu trauen. Auch die Everis-Studie unterstreicht gleich zu Beginn, dass das Ziel des Projekts lediglich der Versand "vertraulicher, aber unklassifizierter Informationen" sei. Der Austausch von Dokumenten der Klassifizierungen "Restricted", "Confidential", "Secret" und "Top Secret" bleibt also voraussichtlich auch in Zukunft außen vor.

Das System scheint in der Kommission dennoch ganz gut anzukommen. Mitarbeiter bestätigen uns anonym die regelmäßige Nutzung im Alltag. Internen Dokumenten zufolge waren bereits 2007 rund 9.500 S/MIME-Zertifikate an Kommissionsmitarbeiter ausgestellt. Aktuellere Zahlen gibt es nicht.

Probleme für Normalbürger

Bei unseren Tests bestätigt sich allerdings schnell die niedrige Priorität, mit der die EU-Kommission die Kommunikation mit normalen Bürgern behandelt. Die Zertifikate der Behörde sind ausschließlich von der hauseigenen Commissign signiert, nicht aber von einer global anerkannten CA. Jedes externe E-Mail-Programm schlägt also Alarm und der wohlwollende Absender muss der CA zuerst blind das Vertrauen aussprechen. Damit sind Man-in-the-Middle-Angriffen Tür und Tor geöffnet, denn Fingerprints zur Verifikation der Echtheit der Zertifikate sucht man auf der Webseite der EU-Kommission vergeblich.

Zwar konnten wir mit zwei Kommissionsbeamten letztendlich erfolgreich verschlüsselt mailen, es besteht aber ein weiteres erhebliches Problem für die Kommunikation mit der Außenwelt. Was die Everis-Studie empfiehlt, ist schon heute in der EU-Kommission gängige Praxis: Die Möglichkeit, mit den Beamten vertraulich elektronisch zu kommunizieren, wird vor der Öffentlichkeit weitgehend geheim gehalten. Weder stehen die öffentlichen Zertifikate im öffentlichen Mitarbeiterverzeichnis zum Herunterladen bereit, noch findet sich auf den Webseiten der EU auch nur ein Hinweis auf deren Existenz.

Für die Beamten der EU-Kommission mag das vielleicht ein akzeptables Szenario darstellen. Welcher normale Bürger schreibt schon eine Mail an die Kommission? Für Parlamentsabgeordnete, die auf den regelmäßigen Austausch mit ihrem Wahlkreis und ihren Wählern angewiesen sind, dürfte das schwerer zu schlucken sein. Eine E-Mail-Verschlüsselung, die Bürger oder Whistleblower verwenden können, um ihre gewählten Abgeordneten zu kontaktieren, scheint bei den IT-Verantwortlichen in Brüssel leider keine hohe Priorität zu genießen.

Jan Weisensee arbeitet als freier Journalist und Experte für EU-Politik in Brüssel. Zuvor war er über fünf Jahre als Politik- und Kommunikationsberater für diverse Lobbying-Firmen tätig. Auf Twitter ist er als @ilumium zu finden.



In einem Pilotprojekt mit Narando vertonen wir in den kommenden Wochen zwei bis drei Golem.de-Artikel pro Woche. Die Texte werden nicht von Robotern, sondern von professionellen Sprechern vorgelesen. Über Feedback unserer Zuhörer freuen wir uns - im Forum oder an redaktion@golem.de.  (jaw)


Verwandte Artikel:
Officesuite: Libreoffice 6.0 bringt PGP-Signaturen und bessere Formulare   
(31.01.2018, https://glm.io/132504 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Mobilfunk: 5G-Frequenzen in EU ab 2020 für bis zu 20 Jahre verfügbar   
(03.03.2018, https://glm.io/133126 )
Zertifizierungsstelle: Ungewisse Zukunft für Cacert   
(25.03.2014, https://glm.io/105359 )
Politik: EU könnte Drohnenflug mit VR-Headset einschränken   
(27.02.2018, https://glm.io/133016 )

© 1997–2019 Golem.de, https://www.golem.de/