Microsoft Exchange: Ohne E-Mail wäre das nicht passiert

Nach dem Bekanntwerden der Exchange-Angriffe durch vermeintlich chinesische Staatshacker und von immer mehr betroffenen Systemen weltweit werden viele wohl schon bald die immer gleichen Fragen stellen: Hat Microsoft zu spät informiert? Haben Admins verpasst, rechtzeitig Updates einzuspielen? Ist die Cloud nicht doch vielleicht die bessere Lösung? Sind uns fremde Mächte im Cyberwar einfach überlegen? Doch all diese Fragen sind irrelevant, solange das grundlegende Problem nicht betrachtet wird: die fehlende Ende-zu-Ende-Verschlüsselung (E2EE) der allermeisten E-Mails weltweit.

Natürlich sollten insbesondere Behörden und Institutionen ihre Systeme besser absichern und beobachten. Auch sollten Hersteller direkt die Öffentlichkeit über Angriffe informieren und Updates entsprechend schnell eingespielt werden. Die Realität der letzten Jahrzehnte zeigt jedoch, dass das leider Wunschdenken ist. Umso wichtiger ist eine starke Verteidigung.

Im Fall von Angriffen auf E-Mail-Server wie Exchange ist dies eben eine Ende-zu-Ende-Verschlüsselung der E-Mails. Denn selbst wenn es Angreifern gelingt, in die E-Mail-Server vorzudringen und E-Mails auszuleiten, schützt die Verschlüsselung davor, dass interne Daten direkt in fremde Hände gelangen können.

Ende-zu-Ende-Verschlüsselung gegen Datenklau

Doch auch das ist nichts Neues und spätestens seit der Veröffentlichung von PGP vor 30 Jahren nicht nur bekannt, sondern eigentlich ein gelöstes Problem - zumindest technisch. Doch auch in den vergangenen 30 Jahren haben sich Systeme wie OpenPGP, S/Mime oder verschlüsselte E-Mail-Postfächer nicht flächendeckend durchgesetzt. Die Schlüsselverteilung ist oft zu kompliziert, die Anwendung nicht wirklich nutzerfreundlich oder überhaupt leicht verständlich. Hinzu kommen Probleme für Admins, die damit zusätzliche Arbeit haben.

Vor allem der Wechsel auf mobile Clients und die enorme Beliebtheit von modernen Messenger-Systemen auch in der Arbeitswelt zeigt jedoch, dass es inzwischen eben bessere Alternativen zu dem alten und unverschlüsselten E-Mail-System gibt.

Zwar ist E2EE in vielen kommerziellen Lösungen wie etwa Microsoft Teams noch nicht verfügbar, obwohl langsam daran gearbeitet wird. Auch Slack hält derartigen Systeme offenbar immer noch für viel zu kompliziert. Systeme wie Wire oder Matrix, das immer beliebter wird, zeigen dennoch, dass eine sichere Ende-zu-Ende-Verschlüsselung sämtlicher Kommunikation auch in Behörden oder großen Unternehmen mittlerweile kein Problem mehr ist.

Es wird Zeit, dass das endlich auch andere begreifen und dem Beispiel der französischen Verwaltung, der Bundeswehr oder auch IT-Unternehmen wie Mozilla folgen und auf eine sichere Alternative zu E-Mails wechseln. Damit wird dann auch das Gefahrenpotenzial im Fall eines Hacks deutlich reduziert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).