IT-Sicherheit — Anspruch und Wirklichkeit

Geschrieben von am .

Wie jeder hinreichend paranoide Computer-Nutzer habe ich Laptop und Backup-Disks verschlüsselt, nutze für jeden Webdienst ein eigenes kryptisches Passwort (und sogar eine eigene E-Mail-Adresse), melde mich auf Servern mit Zertifikat statt Passwort an und ich verschlüssele Mails.

Den Verschlüsselungsstandard für E-Mails PGP gibt es seit 1991, also bereits über 30 Jahre. Seit der Thunderbird E-Mail-Verschlüsselung integriert hat, ist das Schreiben und Lesen von verschüsselten E-Mails so einfach wie das Schreiben und Lesen von unverschlüsselten E-Mails.

Also nutze ich die Verschlüsselung wenn immer möglich, unabhängig vom Inhalt der Mail. Da ist kein Abwägen: Diese Mail ist nicht so wichtig, also schalte ich die Verschlüsselung aus. und Diese Mail ist wichtig, also schalte ich die Verschlüsselung ein. Ich verschlüssele alles. Weil sich das so gehört. Weil sich die Schlapphüte ärgern. Und weil es keine extra Arbeit macht.

Gerade trudelt eine Mail von einem Sicherheits-Menschen ein:

Muss das eigentlich sein, mir […] verschlüsselt zu schicken und mir damit extra Arbeit zu machen?

Eine Behauptung und eine Frage.

  1. … und mir damit extra Arbeit zu machen

    Mit einem halbwegs aktuellen Mail-Programm ist das Lesen verschlüsselter Mails so einfach wie das Lesen unverschlüsselter Mails. Also keine extra Arbeit.

  2. Muss das eigentlich sein, mir […] verschlüsselt zu schicken.

    Wenn der Adressat meiner Mail einen PGP-Key veröffentlich hat, wird die Mail verschlüsselt. Unabhängig vom Inhalt. Ich verschlüssele alles. Weil sich das so gehört. Weil sich die Schlapphüte ärgern. Und weil es keine extra Arbeit ist. Weder für mich noch für den Empfänger.

    Also: ja, das muss sein.

Wenn sogar Sicherheits-Menschen keine verschlüsselte Mails mögen, wie soll ich da normale Menschen von der Nutzung verschlüsselter Mails überzeugen?