Kostenlos abonnieren

Werden Sie regelmäßig per E-Mail über neue Ausgaben der campuls informiert. Sie können Ihr kostenloses Abo jederzeit einfach online über den Abmeldelink im Newsletter kündigen.

Weitere Infos zu Datenschutz & Widerrufsrecht finden Sie hier.

Studie am iisys: Warum Emails heute immer noch so unsicher sind…

In einer Studie befasste sich die Forschungsgruppe SNS am Institut für Informationssysteme (iisys) mit einem mittlerweile älteren Kommunikationsmedium: der Email. Es sollte herausgefunden werden, wie anwenderfreundlich bestimmte Apps zur E-Mail-Verschlüsselung auf Smartphones sind und wo die Hürden für eine sichere Verschlüsselung liegen. Wir waren dazu im Gespräch mit Katharina Schiller, Wissenschaftliche Mitarbeiterin am iisys.

Datensicherheit ist gerade bei der Smartphone-Nutzung ein immer wichtiger werdendes Thema – dies gilt insbesondere auch für den E-Mail-Verkehr; Bild: pixabay.de;

Frau Schiller, Ihre Studie „Work in Progress: Can Johnny Encrypt Emails on Smartphones“ hat einen originellen Namen, aber einen ernsten Hintergrund. Was war der Anlass der Untersuchung?

Besonders in Unternehmen ist die E-Mail immer noch der Standard für die Kommunikation. Dabei ist diese gar nicht so sicher, wie man eventuell meint. Im Gegensatz zu modernen Messenger Diensten (z.B. WhatsApp) verfügt sie standardmäßig nicht über eine Ende-zu-Ende-Verschlüsselung. Man kann sich das wie eine Postkarte vorstellen: Bei einem Brief hat man einen Umschlag und nur Absender und Empfänger sind sichtbar, bei der Postkarte aber auch der Inhalt. Deshalb könnte theoretisch jeder auf dem Übermittlungsweg den Inhalt lesen oder sogar verändern.

Welche Wege gibt es denn, um die Datenübertragung sicherer zu machen?

Es gibt zwei bekannte technische Möglichkeiten um E-Mails zu verschlüsseln – S/MIME und PGP. Diese müssen aber manuell eingerichtet werden. Und genau da liegt das Problem. Bereits in den 90er Jahren gab es erste Forschungsarbeiten, die festgestellt haben, dass das für „normale“ E-Mail-Nutzer zu kompliziert ist. Die Systeme funktionieren also, sind aber überhaupt nicht nutzerfreundlich und werden deshalb kaum angewendet. Bis heute gab es dazu immer wieder neue Studien, aber ein wirklicher Erfolg blieb aus.  

Wenn das so ist: Was genau wollten Sie herausfinden?

In den letzten Jahren hat die Nutzung von Smartphones stark zugenommen. Demnach werden auch viele E-Mails auf diesen Geräten empfangen. Es gibt Studien, die besagen, dass fast die Hälfte aller E-Mails auf mobilen Geräten gelesen werden. Unser Ziel war es herauszufinden, ob es Nutzern leichter fällt, E-Mails auf Smartphones zu verschlüsseln, als auf Desktop Geräten.

Bisher gab es keine Studie, die sich mit der Usability von E-Mail-Verschlüsselungs-Apps auf Smartphones beschäftigt hat. Das wollten wir ändern. Die Teilnehmer unserer Studie sollten jeweils auf einem iPhone und einem Android-Smartphone eine verschlüsselte E-Mail senden und eine empfangene E-Mail entschlüsseln, um diese zu lesen.

Wie sind Sie bei der Untersuchung vorgegangen und wie viele Teilnehmer gab es?

Es gab insgesamt elf Teilnehmer. Zunächst haben wir verschiedene Verschlüsselungs-Apps selbst überprüft und getestet. Bereits hier mussten die meisten Apps aufgrund von Fehlern ausgeschlossen werden. Am Ende wurde die Standard Mail App für iOS (mit S/MIME) und für Android die App „FlowCrypt“ (OpenPGP) ausgewählt. Alle Teilnehmenden erhielten eine E-Mail-Adresse und ein Passwort, so dass keine persönlichen Daten verwendet werden mussten.

…und dann?

Zuerst mussten allgemeine Fragen zur Nutzung von Smartphones und E-Mails beantwortet werden. Die Teilnehmerinnen und Teilnehmer sollten dann in die Rolle des „John Doe“ schlüpfen und jeweils drei Aufgaben mit beiden Apps erfüllen – nämlich eine verschlüsselte E-Mail senden, eine verschlüsselte Email erhalten und entschlüsseln und sie sollten zeigen, woran erkannt werden kann, dass eine E-Mail verschlüsselt ist oder nicht. Dabei wurden sie zum „Laut Denken“ aufgefordert. Danach wurde die App gewechselt. Schließlich sollten jeweils zwei standardisierte Fragebogen zur Usability bzw. zur User Experience („System Usability Scale“ und „User Experience Questionnaire Short Version“) beantwortet werden. Am Ende gab es dann noch jeweils ein Interview mit den Beteiligten in Bezug auf das Verständnis, mögliche Verbesserungsvorschläge und ob die Person sich vorstellen könnte, die App zu nutzen.

Katharina Schiller, Wissenschaftliche Mitarbeiterin am Institut für Informationssysteme
der Hochschule Hof; Bild: privat;

Und somit zur alles entscheidenden Frage: was war das Ergebnis?

Die Resultate sind tatsächlich – ähnlich wie bei früheren Studien – schlecht. Obwohl viele der Teilnehmer sogar im IT Bereich tätig sind und der Datensicherheit große Bedeutung beimessen, hatte der Großteil Schwierigkeiten die Aufgaben zu erfüllen oder machte dabei kritische Fehler. Ähnlich wie bei Desktop Geräten, ist E-Mail Verschlüsselung auch auf Smartphones für die breite Masse nicht nutzerfreundlich genug. Das Aktivieren der nötigen Einstellungen war für viele Teilnehmer kompliziert und sie waren der Meinung, dies nicht alleine schaffen zu können. Viele Teilnehmer sendeten im Versuch unabsichtlich eine unverschlüsselte E-Mail und beachteten die Warnmeldung der App nicht. Auch die Tatsache, dass es mehrere Schlüssel gibt und der öffentliche Schlüssel einfach verschickt werden kann, war für einige Teilnehmer verwirrend und nicht verständlich.

Das ist durchaus ernüchternd. Wohin führt der Weg der technischen Entwicklung in dieser Frage?

Ganz klar: Die bestehenden Probleme mit der mangelnden Nutzerfreundlichkeit müssen behoben werden. Einerseits braucht es Tutorials und Assistenten, um Nutzern die volle Funktionalität zu erklären. Insbesondere das Key Management – also das Anfordern der Schlüssel und der Schlüsselaustausch – sollte vereinfacht oder eventuell automatisiert werden. Natürlich aber müssen diese Aspekte selbst erst auf ihre Sicherheit getestet werden.

Welcher Weg der Kommunikation ist aus Ihrer Sicht gleichermaßen  sicher wie überschaubar aufwendig?

Die Ergebnisse sollen nicht bedeuten, dass niemand mehr E-Mails schreiben sollte. Aber gerade bei vertraulichen Informationen sollte man sich dessen bewusst sein, dass eine E-Mail nicht standardmäßig verschlüsselt ist. Diverse Messenger Dienste nutzen die Ende-zu-Ende-Verschlüsselung – z.B. Threema oder Signal, sogar Branchenführer WhatsApp tut dies.

Danke für das Gespräch!

Rainer Krauß

Weitere Themen