Chaos, Wahnsinn, wir werden alle sterben! So oder ähnlich fühlt man sich, wenn man die jüngsten Nachrichten über PGP liest. Und wieder einmal werden Klickraten über Inhalte, Quantität über Qualität gestellt. Hört das denn niemals auf?
Angreifer können unter Umständen bestimmte Funktionen der betroffenen Programme ausnutzen, um abgefangene, verschlüsselte E-Mails trotz aller Sicherheitsvorkehrungen mitzulesen.
Ich möchte dabei besonders den Teil “unter Umständen bestimmte Funktionen” hervorheben. Das ist wohl so auch richtig. Daraus aber die Empfehlung abzuleiten “deaktivieren Sie PGP” (lt. dem oben verlinkten Artikel die Empfehlung von Sebastian Schinzel, Professor für Computersicherheit an der Fachhochschule Münster) ist meiner Meinung nach eine völlig überzogene Reaktion. Es ist so, als ob ich sagen würde: „Wenn Ihre Haustür Sie nicht zu 100 % schützt, lassen Sie sie besser gleich offen.“
Laut dem Heise-Verlag besteht das Problem im automatischen Nachladen externer Daten nach der Entschlüsselung. Es ist also nicht PGP selbst, das vermeintlich kaputt ist, sondern die Art, wie das eMail-Programm mit der bereits ordnungsgemäß entschlüsselten Nachricht umgeht.
Wer damit leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Das ist eine erheblich sachlichere Empfehlung, die dem konkreten Problem Rechnung trägt.
Ich hatte oft vergleichbare Diskussionen im Bekanntenkreis über abschließbare Fenstergriffe. Die Argumentation war in der Regel “wer da reinkommen will, kommt auch rein”. Wenn ich sie dann mit demselben Argument auffordere, ihr Auto oder ihre Haustür nicht abzuschließen, halten sie das für absurd, denn dann kann da ja jeder rein. Das Problem besteht vielleicht darin, sich völlig sicher zu fühlen, denn das ist streng genommen fast nie berechtigt.
Meine Empfehlung daher: Nutzen Sie PGP und ähnliche Methoden, wann immer es geht, aber seien Sie trotzdem wachsam! Fehler gibt es überall, aber nur weil mir ein Dieb das Portemonnaie klauen könnte, verstreue ich meine Geldscheine doch nicht freiwillig in der Fußgängerzone.
Interessant könnte auch der Zeitpunkt der Veröffentlichung sein, nämlich kurz vor dem Auslaufen der Übergangsfrist der DSGVO-Einführung am 25.5.2018. Aber vielleicht ist das auch nur Zufall, siehe das Interview mit dem Chefentwickler von Enigmail. Auch Fabian Scherschels Kommentar auf heise.de spricht mir aus der Seele:
Nicht die E-Mail-Verschlüsselung ist kaputt, sondern die Art, wie wir mit solchen Enthüllungen umgehen.
[Verschwörungstheorie] Oder ist die genannte überreagierende Empfehlung, alles abzuschalten, am Ende vielleicht Teil des Konzepts? Die Menschen von funktionierender Verschlüsselung abzuhalten? [/Verschwörungstheorie]
Na gut, eines stimmt: Wir werden alle sterben. Irgendwann. Aber das hat dann sicher nichts mit PGP zu tun :-)
1 Kommentar
Ja da geb ich dir recht.. aber ob das durchdringt ist fraglich. Die Nutzer wissen wie man den PC einschaltet, die Mails aufruft und das wars aber auch schon. Aber mal sehen vielleicht fällt die Saat ja auf fruchtbaren Boden.