Kommentar: Efail ist ein EFFail
Nicht die E-Mail-VerschlĂĽsselung ist kaputt, sondern die Art, wie wir mit solchen EnthĂĽllungen umgehen. Diesen Schluss zieht heise-online-Redakteur Fabian Scherschel aus den Efail-EnthĂĽllungen.
PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. Das liegt vor allem daran, dass Aufmerksamkeit nicht nur das wichtigste Kapital für Medien geworden ist, sondern auch für Forscher. Die Offenlegung der Efail-Schwachstellen ist ein Lehrstück dafür, wie so etwas maximal schief gehen kann.
Efail ist vor allem eine Sicherheitslücke in E-Mail-Programmen. Zwar offenbarten die Forscher auch klare Versäumnisse im Design von PGP, und vor allem im Aufbau von S/MIME, aber die eigentliche Verschlüsselung beider Protokolle ist sicher. Die Empfehlung der Electronic Frontier Foundation (EFF), vom Gebrauch beider Protokolle abzusehen – und damit E-Mails grundsätzlich unverschlüsselt zu versenden – hat großen Schaden angerichtet. Bei der Masse der Nutzer bleibt davon wohl vor allem eins hängen: E-Mail-Verschlüsselung ist unsicher. Die Entwickler von PGP- und S/MIME-Programmen werden wahrscheinlich Jahre damit verbringen müssen, dieses Image-Desaster zu reparieren. Wenn das überhaupt möglich ist.
Bei der Veröffentlichung der Lücken ist vor allem auch deswegen so viel Porzellan zerbrochen worden, weil die EFF die Informationen früher veröffentlicht hat, als abgesprochen. Das hat dazu geführt, dass Fachpublikationen, die anhand von Vorabversionen des Forschungs-Papers zum abgesprochenen Termin Artikel vorbereiteten, in Zugzwang gerieten. Die Mainstream-Medien waren schneller und übernahmen relativ unreflektiert die problematischen Empfehlungen der EFF. Und auch die betroffenen Software-Entwickler, etwa Enigmail-Chef Patrick Brunschwig, fühlten sich überrumpelt.
Die Forscher, die die Lücke entdeckten und offenlegten, mussten in der Security-Gemeinde viel Kritik für die Art ihrer Veröffentlichung einstecken. So beharrten sie noch lange auf dem ursprünglich gesetzten Medienembargo und hatten eine um Aufmerksamkeit heischende Website zur Lücke vorbereitet. Aber genau genommen kann man ihnen kaum einen Vorwurf machen: Forscher, die ihr Handwerk verstehen, müssen heutzutage die Aufmerksamkeit ihrer Ergebnisse maximieren. Das ist nicht nur im Security-Bereich so. Auch in fast allen anderen Fachgebieten, zum Beispiel in der Medizin oder bei Historikern, hängt der Erfolg und die Finanzierung der Forschung an der Aufmerksamkeit, die die Publikation der eigenen Ergebnisse erreicht.
Der Efail-Fail ist ein direktes Ergebnis dessen, was Medientheoretiker als "Aufmerksamkeitsökonomie" bezeichnen – Aufmerksamkeit ist heutzutage Kapital. Vor allem für Medien oder eben Organisationen wie die EFF, die vom Publikum dafür belohnt werden, wenn sie Geschichten entgegen bestehender Absprachen als erste veröffentlichen. Die Konsumenten befeuern dieses Verhalten. Es gibt aber trotzdem keinen Zwang, dem nachzugeben. Letztlich lastet die Verantwortung für den aktuellen Fall vor allem auf der EFF. Mit dem Schaden für die Cybersicherheit müssen wir nun alle leben. (fab)