Liebe Freunde der Sicherheit,
Seit Semesterbeginn versuche ich, innerhalb meiner Universität verschlüsselt zu kommunizieren. Die Snowden-Enthüllungen haben ein Klima geschaffen, in dem es eine hohe Akzeptanz für den Wunsch gibt, Kommunikation zu verschlüsseln, auch wenn damit zunächst die Überwindung technischer Hürden verbunden ist. Die Kollegen an der Fakultät für Sprach-, Literatur- und Kulturwissenschaft sind zwar grundsätzlich interessiert, winken aber ab, weil ihnen die Zeit für die „Einarbeitung ins Thema“ fehle. Anders ist es mit den Studierenden, die sich auch durch folgende Ankündigung auf meiner Website und in meiner Signatur motivieren lassen:
++ verschlüsselte E-Mails werden prioritär beantwortet ++
Und tatsächlich beantworte ich verschlüsselte Mails meist innerhalb sehr kurzer Zeit, in jedem Fall noch am selben Tag.
Datenschutz und E-Mail-Verschlüsselung an Universitäten
Verschlüsselung ist deshalb notwendig, weil innerhalb der Universität ständig mit sensiblen personenbezogenen Daten hantiert wird. Der Schutz dieser Daten ist an der TU Dresden eindeutig geregelt: Die „Rahmenordnung für die Rechen- und Kommunikationstechnik und die Informationssicherheit an der TU Dresden“ vom 08.01.2009 schreibt vor, dass die „übertragung von sensiblen personenbezogenen Daten“ über das Internet, insbesondere mittels E-Mail, „nur in verschlüsselter Form“ erfolgen darf. Unter sensible personenbezogene Daten fallen Daten der Datenschutzklassen C und D, von denen die Bereiche Studentenverwaltung, Prüfungsverwaltung und Zulassungswesen die Studierenden betreffen. Nicht zwingend, aber empfohlen ist die Verschlüsselung auch bei personenbezogenen Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnis jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist (Datenschutzklasse B). Darunter fallen auch Lehrveranstaltungsplanung und Seminarplatzvergabe. Die TU stellt für dienstliche elektronische Nachrichten eine PKI (Public Key Infrastruktur) bereit.
Absprachen über Prüfungstermine und Prüfungsinhalte, Prüfungsaufgaben, Empfehlungsschreiben für Stipendien, Bewerbungsunterlagen von Studierenden für Austauschprogramme und/oder Stipendien, Gutachten über Bachelor- und Masterarbeiten, Dokumente die Anstellung von wissenschaftlichen oder studentischen Hilfskräften betreffend — all das wird praktisch ausnahmslos unverschlüsselt verschickt, berichten mir Kollegen aus anderen Universitäten. Es gibt also gute Gründe, Verschlüsselung in den Arbeitsalltag zu integrieren.
Zwischenergebnis nach 5 Wochen
Von den 27 Studierenden, die mich seit Semesteranfang per E-Mail kontaktiert haben, haben zwölf ihre E-Mails teilweise verschlüsselt. Zwei Mitarbeiter konnte ich ebenfalls zum Verschlüsseln motivieren. Auch wenn ich nicht weiß, ob die Studierenden außer mit mir auch mit anderen Personen verschlüsselt kommunzieren, bin ich für den Anfang doch sehr zufrieden mit dem Ergebnis. Der nächste Hackday am Lehrstuhl wird in eine Art Kryptoparty umfunktioniert, dann werden es hoffentlich noch mehr.
Die häufigsten Probleme, die beim Verschlüsseln auftraten, waren:
- die Studierenden versäumten es, mir ihre öffentlichen Schlüssel zugänglich zu machen (luden ihre Schlüssel nicht auf Key-Server hoch oder hängten sie nicht an ihre Mail an), so dass ich ihnen nicht verschlüsselt antworten konnte
- die Studierenden benutzten den falschen Schlüssel zum verschlüsseln (meistens ihren eigenen) ihrer Mails an mich
- die Studierenden hängten ihren public key als Word-File an
Die häufigsten Ausreden für das Nichtverschlüsseln von Mails:
- zu kompliziert, ich brauche eine Anleitung
- ich schreibe die meisten Mails auf meinem Handy und da ist Verschlüsselung nicht praktikabel
- ich habe nichts zu verbergen
Das Versprechen auf prioritäre Beantwortung verschlüsselter E-Mails ist der Verschlüsselung natürlich nur deshalb förderlich, weil es eine Bedürfnisasymmetrie zwischen den Studierenden und mir hinsichtlich der Durchführung der E-Mail-Kommunikation gibt, die ich ausbeute. Die Studierenden mögen es mir verzeihen, denn für Verschlüsselung gibt es gute Gründe.