Kommentar: Efail ist ein EFFail

Nicht die E-Mail-VerschlĂĽsselung ist kaputt, sondern die Art, wie wir mit solchen EnthĂĽllungen umgehen. Diesen Schluss zieht heise-online-Redakteur Fabian Scherschel aus den Efail-EnthĂĽllungen.

In Pocket speichern vorlesen Druckansicht 386 Kommentare lesen
Kommentar: Efail ist ein EFFail

Früher war der Content ist King, heute zählt die maximale Aufmerksamkeit

(Bild: Anton Gvozdikov / Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. Das liegt vor allem daran, dass Aufmerksamkeit nicht nur das wichtigste Kapital für Medien geworden ist, sondern auch für Forscher. Die Offenlegung der Efail-Schwachstellen ist ein Lehrstück dafür, wie so etwas maximal schief gehen kann.

Ein Kommentar von Fabian A. Scherschel

Fabian A. Scherschel schrieb von 2012 bis 2018 als Redakteur täglich für heise online und c't, zuerst in London auf Englisch, später auf Deutsch aus Hannover. Seit 2019 berichtet er als freier Autor und unabhängiger Podcaster über IT-Sicherheit, Betriebssysteme, Open-Source-Software und Videospiele.

Efail ist vor allem eine Sicherheitslücke in E-Mail-Programmen. Zwar offenbarten die Forscher auch klare Versäumnisse im Design von PGP, und vor allem im Aufbau von S/MIME, aber die eigentliche Verschlüsselung beider Protokolle ist sicher. Die Empfehlung der Electronic Frontier Foundation (EFF), vom Gebrauch beider Protokolle abzusehen – und damit E-Mails grundsätzlich unverschlüsselt zu versenden – hat großen Schaden angerichtet. Bei der Masse der Nutzer bleibt davon wohl vor allem eins hängen: E-Mail-Verschlüsselung ist unsicher. Die Entwickler von PGP- und S/MIME-Programmen werden wahrscheinlich Jahre damit verbringen müssen, dieses Image-Desaster zu reparieren. Wenn das überhaupt möglich ist.

Bei der Veröffentlichung der Lücken ist vor allem auch deswegen so viel Porzellan zerbrochen worden, weil die EFF die Informationen früher veröffentlicht hat, als abgesprochen. Das hat dazu geführt, dass Fachpublikationen, die anhand von Vorabversionen des Forschungs-Papers zum abgesprochenen Termin Artikel vorbereiteten, in Zugzwang gerieten. Die Mainstream-Medien waren schneller und übernahmen relativ unreflektiert die problematischen Empfehlungen der EFF. Und auch die betroffenen Software-Entwickler, etwa Enigmail-Chef Patrick Brunschwig, fühlten sich überrumpelt.

Die Forscher, die die Lücke entdeckten und offenlegten, mussten in der Security-Gemeinde viel Kritik für die Art ihrer Veröffentlichung einstecken. So beharrten sie noch lange auf dem ursprünglich gesetzten Medienembargo und hatten eine um Aufmerksamkeit heischende Website zur Lücke vorbereitet. Aber genau genommen kann man ihnen kaum einen Vorwurf machen: Forscher, die ihr Handwerk verstehen, müssen heutzutage die Aufmerksamkeit ihrer Ergebnisse maximieren. Das ist nicht nur im Security-Bereich so. Auch in fast allen anderen Fachgebieten, zum Beispiel in der Medizin oder bei Historikern, hängt der Erfolg und die Finanzierung der Forschung an der Aufmerksamkeit, die die Publikation der eigenen Ergebnisse erreicht.

Der Efail-Fail ist ein direktes Ergebnis dessen, was Medientheoretiker als "Aufmerksamkeitsökonomie" bezeichnen – Aufmerksamkeit ist heutzutage Kapital. Vor allem für Medien oder eben Organisationen wie die EFF, die vom Publikum dafür belohnt werden, wenn sie Geschichten entgegen bestehender Absprachen als erste veröffentlichen. Die Konsumenten befeuern dieses Verhalten. Es gibt aber trotzdem keinen Zwang, dem nachzugeben. Letztlich lastet die Verantwortung für den aktuellen Fall vor allem auf der EFF. Mit dem Schaden für die Cybersicherheit müssen wir nun alle leben. (fab)