Thought Leadership
Der Hack von Microsofts Exchange zeigt einmal mehr auf, wie angreifbar unsere digitale Kommunikation sein kann. Dabei wäre der Vorfall mit einer konsequenten Verschlüsselung nur halb so schlimm – oft nutzen Unternehmen diese allerdings nicht.
Statt jedoch bei der Notwendigkeit einer Ende-zu-Ende-Verschlüsselung und ihrem Fehlen im E-Mail-Verkehr anzusetzen, kommt einmal mehr der Abgesang der E-Mail auf den Tisch: eine seltsame Stilblüte.
Weltweit gibt es aufgrund des hohen Verbreitungsgrades von Microsoft Exchange wohl kaum ein Land, in dem kein Unternehmen von der Schwachstelle betroffen war. Und so warnen die nationalen Behörden unisono vor den Gefahren durch die Schwachstelle. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gab zum Beispiel eine Cyber-Sicherheitswarnung heraus, die der Bedrohungslage mit „4 / Rot“ die höchste Warnstufe verlieh und sie als „extrem kritisch“ bezeichnete.
Eine Befürchtung im Zuge des Exchange-Hacks bestand darin, dass die Angreifer Zugriff auf die E-Mails erhalten könnten, die auf dem Exchange-Server On-Premises unverschlüsselt liegen. Da die E-Mail-Kommunikation in Unternehmen weit verbreitet ist und viele der Nachrichten dann samt Anhängen auf den Servern verbleiben, dürften Cyberkriminelle darunter viele wertvolle Informationen finden. Diese Situation kennen viele IT-Sicherheitsexperten schon lange. Der Journalist Sebastian Grüner vertritt auf golem.de deshalb die Meinung, dass es Zeit wäre, die Kommunikation auf Messenger- und Kollaborationssysteme zu verlagern, die Ende zu Ende verschlüsselt sind. Ohne E-Mail wäre der Exchange-Hack nicht passiert, also Schluss mit E-Mail – diese Forderung zielt völlig daneben.
Schwieriger Wechsel wegen mangelnder Business-Eignung
Auch im Social-Media-Zeitalter werden laut Statista weltweit noch 306,4 Milliarden E-Mail-Nachrichten pro Tag geschrieben. Zum Vergleich: WhatsApp kommt auf 100 Milliarden, wobei diese Nachrichten überwiegend einen privaten Austausch abbilden. Und genau das ist einer der Knackpunkte: Im geschäftlichen Kontext wird vorwiegend E-Mail genutzt, denn bei der Kommunikation per Messenger fehlen gewisse Voraussetzungen, die für Unternehmen entscheidend sind. Dazu gehören die Archivierung, um die gesetzlich vorgeschriebenen Aufbewahrungsfristen von Geschäftsunterlagen einzuhalten, Möglichkeiten der strukturierten Ablage und Untersuchung der Kommunikation sowie die Beweiskraft elektronischer Nachrichten. Die Deutsche Bank verbannte 2017 sämtliche Messenger-Dienste von geschäftlich genutzten Handys. Hintergrund waren Compliance-Überlegungen im Zusammenhang mit der Archivierung und der Druck von Aufsichtsbehörden.
Darüber hinaus verkennt die Forderung nach einem Wechsel des Kommunikationskanals den entscheidenden Vorteil der E-Mail: Fast alle Unternehmen sowie Privatanwender sind per E-Mail zu erreichen, und das weltweit. Neben WhatsApp gibt es viele andere Dienste, über die sich die Messenger-Kommunikation heute verteilt. Sich mit allen Geschäftspartnern auf den Wechsel zum gleichen vertrauenswürdigen Business Messenger zu einigen, der nutzerfreundlich Ende-zu-Ende verschlüsselt, ist unrealistisch, zumal keiner der bestehenden Dienste Interesse hat, seine Nutzer einzubüßen.
Sicherheitsaffine Anwender konnten diese Erfahrung in den letzten Monaten angesichts der Aktualisierung der Nutzungsbedingungen von WhatsApp machen. Sie mussten meist feststellen, wie schwierig es ist, alle Teilnehmer der Sportvereins-, Kindergarten- oder Schul-Chatgruppe zum Wechsel auf den gleichen alternativen Messenger wie Signal, Threema oder Telegram zu bewegen.
Der problematische Generalschlüssel
Zusätzlich gibt es regelmäßig Vorstöße aus der Politik – zuletzt mit einer EU-Resolution vom 14. Dezember 2020 – zur Überwachung und Aufklärung bei schweren Verbrechen einen „Generalschlüssel“ für Messenger bereitzuhalten. Mit diesem sollen Polizei und Nachrichtendienste unter bestimmten Bedingungen Zugriff auf den Inhalt der Nachrichten erlangen können. Die Folgen wären für Messenger-Nutzer fatal: Sollte der Generalschlüssel einmal kompromittiert werden, käme das einem kryptografischen GAU gleich. Mit einem Schlag erhielte der Angreifer Zugang zu sämtlichen Inhalten. Ein staatlicher Ausnahme-Zugang würde die Verschlüsselung und den Schutz der Privatsphäre grundsätzlich schwächen, in der letzten Konsequenz wären auch Staats- und Geschäftsgeheimnisse nicht mehr sicher. Das Vertrauen, für das die Verschlüsselung sorgt, darf nicht so einfach aufs Spiel gesetzt werden.
