"Verschlüsselung ist zu aufwändig - so sagt man und so hörte ich es vor kurzem, und zwar im Ausschuss für Bürgerbeteiligung und Netzpolitik des Stadtparlaments. Dieser Aussage möchte ich widersprechen" - so schrieb ich vor kurzem auf diesem Blog: "Verschlüsselung ist zu aufwändig".
In einem früheren Text hatte ich bereits dargestellt, daß dieser zusätzliche Aufwand nicht existiert (siehe hier). An einem weiteren Beispiel möchte ich nun zeigen, daß der Aufwand so "wahnsinnig groß" ist, daß Sie diesen Aufwand nicht einmal bemerken werden. D.h. Sie benutzen eine Internetverbindung zu einem Server, die verschlüsselt ist, und dies fällt Ihnen nicht einmal auf. Und solche Seiten rufen Sie nicht erst seit heute auf, solche Seiten haben Sie in den vergangenen Monaten und vermutlich Jahren mehrfach genutzt, wie selbstverständlich, ohne daß Sie den Vorgang der verschlüsselten Übertragung der Daten bemerkt haben.
Da ich mich in meinem Text auf die Stadtpolitik bezogen habe, werde ich hier als Beispiel auch eine Internetseite der Stadt Wiesbaden verwenden: Politisches Informationssystem Wiesbaden (PIWi).
Brief
Ich will aber erst einmal einen Schritt zurückgehen in die Zeit, als man noch Briefe schrieb. Eine Person schrieb auf ein Blatt Papier einen Text, und diese Person möchte ich Absender nennen. Der Absender nahm dieses Blatt, steckte es in einen Briefumschlag, klebte diesen zu, versah den Umschlag mit der Anschrift, klebte eine Briefmarke auf diesen Umschlag und warf ihn in einen Briefkasten. Die Post leerte den Briefkasten, sortierte die erhaltenen Briefe und stellte den Brief einer anderen Person zu (die ich hier Empfänger nennen möchte).Warum wurde das beschriebene Blatt Papier in einen Umschlag gesteckt? Dieser Umschlag diente dem Schutz des Inhalts während des Transports des Briefes, d.h. während des Transports konnte man den Inhalt nicht lesen. Der Empfänger erhielt den Brief, öffnete den Umschlag und kam somit an das beschriebene Blatt Papier heran, an den Inhalt des Briefes.
Transport
Während des Transports befand sich der Brief in fremden Händen, d.h. nicht in den Händen des Absenders oder des Empfängers. Um den Inhalt des Briefes vor fremden Händen zu schützen wurde der Text durch den Umschlag vor fremden Augen geschützt.Absender und Empfänger können den Text lesen, alle Personen, die während des Transports mit diesem Brief zu tun haben, allerdings nicht.
Natürlich ist dieses Verfahren nicht sicher, denn Briefe können "verloren gehen". Auch hatte man ganz früher schon einmal über Wasserdampf den Brief öffnen können, ohne allzu deutliche Spuren zu hinterlassen. Bitte lassen Sie das mit dem Briefumschlag einfach als Analogie stehen.
Und genau dies sollte auch für das Internet gelten, während des Transports der Daten sollen diese nicht lesbar sein.
Internet
Es hält sich hartnäckig die Meinung, daß die Verschlüsselung von Daten zu aufwändig sei und man sie deshalb nicht macht. Zwar wird die Notwendigkeit der Verschlüsselung nicht bestritten, aber vielen Menschen ist der Aufwand zu groß.Ich stelle folgende Aussage dagegen: Verschlüsselung ist aufwändig, aber nicht für den Anwender. Der Computer muß eine Menge tun, um Texte zu ver- und entschlüsseln, aber (um bei obigem Bild zu bleiben) der Absender als auch der Empfänger eines Textes muß nichts tun. Und das will ich Ihnen an einem kleinen Beispiel zeigen. Da sich meine Argumentation an die Politik richtet, werde ich hierfür diesen Server verwenden:
Sie erreichen diesen Server im Internet unter dieser Adresse: https://piwi.wiesbaden.de.
Meine Argumentation ist aber nicht auf Server der Stadt Wiesbaden beschränkt, sondern sie gilt im Prinzip für alle Server, die eine bestimmte Eigenschaft erfüllen, die ich gleich darstellen werde.
HTTPS
In einer oberen Zeile des Browsers sehen Sie die eingegebene Adresse des Servers:
Ist Ihnen an dieser Internet-Adresse etwas aufgefallen? Die Zeile beginnt mit https. Zur Verdeutlichung habe ich den Buchstaben s besonders hervorgehoben.
Früher begannen alle Internet-Adressen mit der Buchstabenfolge http, heute beginnen fast alle Adressen mit der Folge https. Der Unterschied besteht im kleinen Buchstaben s, aber der dahinterstehende Unterschied ist groß.
http steht für Hypertext Transfer Protocol und beschreibt, wie Daten übermittelt werden, damit Sie sie in Ihrem Browser sehen können. Die Weiterentwicklung davon lautet https. Das Kürzel steht für Hypertext Transfer Protocol Secure und am zusätzlichen Wort Secure erkennen Sie die zusätzliche Komponente der Sicherheit.
Ablauf
Ich möchte bei der Analogie des geschriebenen Briefes bleiben.Wenn Sie eine Seite auf einem entsprechenden Server anfordern, dann wird der Server die Daten für Ihre Anfrage zusammensuchen, die Daten aufbereiten und an Sie verschicken. Der Browser auf Ihrem PC oder Smartphone nimmt die Daten entgegen, bereitet sie für den Bildschirm auf und zeigt sie Ihnen an. Das ist der Weg im Falle einer Verbindung per http.
Bei einer Verbindung via https sieht der Ablauf genauso aus, allerdings verschlüsselt der Server (=Absender im Beispiel eines Briefes) die Daten, bevor er sie verschickt (beim Brief steckt man das Papier mit dem Text in einen Umschlag). Und Ihr PC bzw. Ihr Smartphone(=Empfänger) nimmt die verschlüsselten Daten entgegen, entschlüsselt sie (öffnet den Umschlag und nimmt das Papier mit dem Text heraus), bereitet sie auf und zeigt sie auf dem Bildschirm an.
Aufwand
Sofern Sie eine solche Seite mit einer https-Adresse aufrufen werden die Daten verschlüsselt übertragen. Ist Ihnen das schon einmal aufgefallen? War Ihnen das zuviel Aufwand, die Sache mit dem Ver- und Entschlüsseln der Daten?In der Bedienung unterscheidet sich das in keinem Fall, d.h. ob die Übertragung der Daten verschlüsselt oder unverschlüsselt erfolgt macht für Sie als Anwender keinen Unterschied und somit ist auch keinen zusätzlichen Schritt nötig. Unter der Oberfläche passiert allerdings eine Menge, aber das erledigen die Computer für Sie.
PiWi
Rufen Sie bitte eine Seite auf diesem Server auf: Politisches Informationssystem Wiesbaden (PIWi). Sie erhalten eine Seite, analog zur oben abgebildeten Seite. Haben Sie an irgendeiner Stelle gesagt, daß der Server die Daten verschlüsselt an Sie schicken soll? Und haben Sie in Ihrem Browser irgend eine Aktion anstossen müssen, damit Ihr PC/Smartphone die Daten nicht nur entgegennimmt sondern sie entschlüsselt?Wenn Sie beim Zugriff auf eine Internetseite nichts zusätzlich tun müssen, damit die Übertragung verschlüsselt erfolgt, wieso ist dann der Aufwand zu hoch?
Dies gilt für alle Server, deren Internet-Adresse mit https beginnt. Das Beispiel PIWi habe ich benutzt, weil es vor ein paar Tagen im Rahmen der Stadtpolitik eine Diskussion über dieses Thema gab.
Sicherheit
Klicken Sie doch bitte einmal auf das Vorhängeschloß vor dem Text https:
Mit wenigen Schritten kommen Sie dann auf die Informationen über den Status der Verschlüsselung der Seite PiWI:
Das sieht doch schon einmal gut aus. Und in den Erläuterungen finden Sie die gleiche Begründung, die auch hier angegeben wurde.
Blog
Und so sieht das auf diesem Blog aus:
Auf einen Unterschied möchte ich Sie aber noch hinweisen: Die Stadt Wiesbaden verwendet für die Verschlüsselung des Transports der Internetseiten das Verfahren TLS in der Version 1.2. Auf meinem Blog wird das gleiche Verfahren verwendet, jedoch in der Version 1.3, also in einer neueren Version.
Die Version 1.2 stammt von 2008, da sollte man schon einen Wechsel auf die neuere Version vornehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt dazu:
Aktualisierung August 2019:
Der Mindeststandard TLS fordert konkret den Einsatz von TLS 1.2 in Kombination mit Perfect Forward Secrecy (PFS). Alternativ kann auch bereits die Version TLS 1.3 mit PFS genutzt werden.
Quelle: Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS)
Fazit
Verschlüsselung eines Textes auf dem Transportweg muß sein, sei es bei einem Brief, einer Mail oder einer Seite im Internet. Bei einer Mail oder einer Internetseite hat die Software einen Stand erreicht, daß Sie als Bediener diesen Vorgang nicht bemerken bzw. nicht anstossen müssen. Was hindert Sie daran, das zu machen?Wenn man nichts tun muß, wieso ist dies dann zu viel Aufwand für Sie?
