Diese Email zerstört sich selbst
Eine kritische Auseinandersetzung mit dem Email-Sicherheitssystem von Disappearing Inc. und der Berichterstattung darüber.
Prominente Fälle, in denen archivierte interne Firmen-Emails in Gerichtsverfahren verwendet werden, lassen das Produkt der US-amerikanischen Firma Disappearing Inc. für Unternehmen als ausgesprochen verlockend erscheinend. Mittels eines Plug-Ins können Nutzer den Zeitpunkt festsetzen, an dem sich eine Email selbst zerstören soll. Ted Byfield hat sich durch die US-Presseberichterstattung gearbeitet und fand nicht nur erstaunliche Oberflächlichkeit sondern auch eine erstaunlich triviale Sicherheitslücke: den fleissigen Angestellten.
Am 4. Oktober machte sich eine Mitteilung der Firma Disappearing Inc. auf den Weg durch die PR-Kanäle, die ein System propagierte, das "alte Emails überall verschwinden" lassen würde. Die Massenmedien schmückten diese überschwänglichen Behauptungen freudig weiter aus. USA Today berichtete, die Firma hätte eine Form der Email entwickelt, "die sich selbst zerstört." ABCNews.com erkannte, dass das System nicht perfekt ist, fuhren aber mit der von Disappearing vorgebrachten Behauptung fort, dass das Wiederfinden "einer einzigen, einzeiligen Mail ungefähr eine halbe Milliarde Dollar und mindestens zehn Jahre Zeit kosten" würde.
Die Computerpresse war kaum besser: Verschiedentlich wurde darüber berichtet, dass "an den Details noch gearbeitet" werden würde (PC World), und dass "Details im Augenblick noch zurückgehalten" würden (Network World), während man munter Regierungsskandale wie Iran-Contra und erfolgreiche milliardenschwere Produkthaftungsverfahren als Situationen zitierte, in denen die Möglichkeit der Zerstörung von Emails en masse den Beteiligten durchaus zupass käme (ZDNet).
Ist Disappearing Inc's Technologie "Snake Oil"?
Falls die Details wirklich zurückgehalten wurden, dann hat man offensichtlich vergessen, dies Maclen Marvit, dem Chefmanager von Disappearing Inc., zu erklären. Am 9. Oktober skizzierte er das System vor einem offenen Treffen von Cypherpunks aus der Region San Francisco, die sich einer Kryptographie-Mailinglist verschrieben haben. Jene ist bekannt dafür, gerne die Lieferanten von "Snake Oil", also naiven oder fehlerhaften Sicherheitssystemen, zu beschimpfen. Der Netzwerkspezialist Bill Stewart fasste Marvits Präsentation vor den Cypherpunks zusammen. Er bewertete das System als gut, legte aber eine Liste von Funktionen vor, die es nicht unterstützt. Die meisten der fehlenden Funktionen sind allerdings wesentlich für die Behauptung der Firma, dass ihr System "Botschaften von PCs, dem Mail Server und den Back-Up-Bändern löscht, so dass sie niemals wieder gelesen werden können." Die Back-Ups? Klingt nach Magie.
Im (simplen) System von Disappearing Inc. installieren zwei Personen, die miteinander über E-Mail kommunizieren wollen, ohne permanent archiviert zu werden, das entsprechende Plug-In in ihre Email-Programme. Der Sender kodiert eine Email mit einem Schlüssel, den der Server von Disappearing Inc. durch das Plug-In (via SSL, eine sichere Webverbindung) schickt. Dann sendet er die verschlüsselte Mail über die normalen Email-Transporte (POP/IMAP and SMTP); der Empfänger erhält vom Server wiederum über das Plug-In den Schlüssel, um die Mail dekodieren zu können. Um den Schlüssel zu erhalten, müssen Sender und Empfänger der Firma einen "Identifizierungscode" und ein Passwort überlassen. In diesem Sinne ist das Programm eine einfache Version des Modells von "Key Escrow", der Schlüsselverwahrung durch eine bewährte dritte Partei: Nutzer müssen Disappearing Inc. darin vertrauen, dass sie als Mittler den Schlüssel (und damit auch den ID-Code und das Passwort) neutral, zuverlässig und vertraulich verwalten. Zu keiner Zeit passiert die Email dabei den Server der Firma.
Key-Escrow-Systeme sind in Sicherheitskreisen heftig dafür kritisiert worden, dass systemisch bedingt Subversion und Missbrauch offenstehen. Die Gutachter der EU, die für Wissenschaft und Technologie zuständig sind, haben ein Arbeitspapier ("IC2000" für "Interception Capabilities 2000") herausgegeben, das die diplomatischen Vorstösse der Vereinigten Staaten in Richtung obligatorischer Key-Escrow-Systeme als "maskierte Spionageanforderungen" bezeichnete. Anders formuliert haben die USA europäische Regierungen dazu gedrängt, kryptographische Schlüssel zu zentralisieren und zu standardisieren, um sie dann einfacher stehlen zu können. Der Report dokumentierte verschiedene Fälle, in denen US-Geheimdienste europäische Firmen ausgespäht und die Informationen an konkurrierende amerikanische Firmen weitergegeben hatten.
Wenn aber Vorschläge für Key Escrow solche Feindseligkeit provozieren, dann stellt sich die Frage, warum das System von Disappearing Inc. soviel Zustimmung fand. Die Antwort ist komplex. Zum Teil beruht sie auf der libertären Neigung, die man oft in Kryptographenkreisen findet: Das Problem mit von der Regierung oktroyierten obligatorischen Key-Escrow-Systemen sei, dass sie eben von der Regierung oktroyiert und obligatorisch sind, wie viele argumentierten; optionale und/oder kommerzielle Systeme seien dagegen eine ganz andere Geschichte. Ausserdem klappte die aggressive Promotion der letzten Jahre durch die US-Regierung für solche Verschlüsselungssysteme (wie etwa der Clipper Chip) inzwischen in sich zusammen und brachte eine ernstzunehmende Gegenbewegung in der EU hervor, wobei die extremste Kehrtwende in Frankreich vorgenommen wurde. Zunehmend wird vermutet, dass der Geist schon aus der Flasche, starke Kryptographie also unvermeidlich sei, und dass daher obligatorische Key-Escrow-Systeme weniger gefährlich seien. Es bleibt abzuwarten, wieviel Widerstand Disappearing Inc. gegenüber offenem Druck oder verdeckter Spionage durch Geheimdienste leisten wird, die es inzwischen gewohnt sind, unbegrenzten Zugriff auf archivierte Emails zu haben. Im Gegensatz zu anderen Sicherheitsanbietern in Sachen Email - wie etwa Hushmail, die im kryptofreundlichen Kanada angesiedelt sind - bleiben Disappearing Inc. als kalifornische Firma den Exporteinschränkungen durch die US-amerikanische Regierung unterworfen.
Wenn man sich Disappearing Inc.s Slogan "making email safe for business" ansieht, wird klar, dass der wichtigste Faktor für den Erfolg des Vorschlags im gekonnten Marketing der Firma zu suchen ist: Statt individuelle Ängste vor einer zunehmenden Erosion der Privatsphäre anzusprechen, hämmert die Firma ihren Kunden eine businessorientierte Botschaft ein: "E-Mail discovery" sei als Bestandteil der Indizienbeschaffung und Beweissicherung durch die US-Justiz inzwischen zu einem "Standardvorgang in Verfahren gegen Unternehmen" geworden. Nach der mechanischen Konsistenz zu urteilen, mit der Journalisten die selben (dubiosen) Beispiele hierfür zitierten - vor allem das der Anwälte des US Justice Department, die mit peinlichen Emails bewaffnet Microsoft in die Schranken wiesen - scheint diese Botschaft ein bestehendes Bedürfnis zu treffen. USA Today zitierte Joan Feldman von der Datenbergungsfirma Computer Forensics, die erklärte, dass das System "ein grosser Segen" für Unternehmen sei, um ihre Blössen vor der Justiz zu verdecken.
Das prominenteste Meme, das gläubige Journalisten aufgriffen, ist die Tatsache, dass die Leute, die über das System miteinander kommunizieren, selbst bestimmen können, wie lange der Schlüssel aufbewahrt wird; sobald diese Zeit vergangen ist, wird Disappearing Inc. (wie die Journaliten gerne glauben) den Schlüssel zerstören. Danach werden die verschlüsselten Mails niemals wieder dekodierbar sein. Formal betrachtet wird das System durch eine "Key-Management Policy" bestimmt. Wenn sich dieser Begriff schrecklich simpel anhört, dann aus dem schlichten Grund, dass er dies auch ist. Solche Verfahren sind Standards in Key-Escrow-Systemen, weil die Abwesenheit einer praktikablen Regelung, wer auf Schlüssel wie lange zugreifen darf, einfach dumm wäre. Die grosse Leistung der Firma scheint also darin zu bestehen, staubig klingende Sicherheitsarchitekturen als glitzernd bunte Ware zu verkaufen. Das allerdings ist keine geringe Leistung.
Wie jahrelanger Verkehr auf der Cypherpunksliste zeigt, ist aber auch das Design und die folgende falsche Darstellung leicht zu knackender Sicherheitssysteme kaum eine Heldentat. Trotz aller technischen Finessen, die sicherlich in Disappearings System eingeflossen sind, leidet es an fatalen Fehlern, deren Namen auch grünen Usern nicht fremd sind: "Save as", "Cut and Paste" und "Drag and Drop". Am unteren Ende der FAQ-Liste des Unternehmens stellt Punkt 10 die Frage: "Kann jemand das System unterlaufen, indem ein Schappschuss oder ein Ausdruck des Bildschirms angefertigt wird?" Die Antwort erklärt uns folgendes:
"Wenn einer oder mehrere Beteiligte nicht an einem privaten Austausch interessiert ist, dann kann kein System seine oder ihre Kommunikation schützen. Wir nennen dies das Saboteur-Problem, und wir glauben, dass die Erwähnung dieses schwerwiegenden Problems eine übertriebene Bürde für normale Email-Kommunikation errichtet."
Das tut sie tatsächlich. Die Formulierung des "Nicht interessiert Seins" ist allerdings eine mehr als knappe Art und Weise der Beschreibung von durchaus üblichen Gewohnheiten im Umgang mit Dokumenten: nämlich das Erstellen von Skizzen, Kopien, Ausdrucken, Back-Ups, Fragmenten sowie das Weiterverschicken von Texten. "Saboteur-Problem" wiederum ist ein relativ tendenziöse Darstellung, die ziemlich viele Mitarbeiter in einen Sack steckt - vom verstimmten bis zum unter der Last der Arbeit ächzenden Angestellten, der loyal, aber ganz einfach überarbeitet ist. Die fehlende Auseinandersetzung von Disappearing mit der alltäglichen praktischen Realität, in der ihre Märkte operieren, ist schlimmer als eine Sicherheitslücke. Das ist fragwürdiges Geschäftsgebahren.
Damit jemand eine Email schreiben oder lesen kann, muss der Text natürlich auf einem unverschlüsselten Dokument auf einem Monitor auftauchen. Genau dort wird normaler Text geschrieben, gesichert, kopiert, ausgeschnitten und eingefügt - und all dies geschieht ausserhalb des Schlüsselmanagements der Firma. Auch wenn das Plug-In den Zugang von Nutzern auf den Text modifizieren würde (zum Beispiel durch Modifikationen der Mausaktivität oder des Menus), existieren bereits triviale Werkzeuge, die Nutzer verwenden können und werden, um die Probleme und Unannehmlichkeiten zu umgehen, die sich daraus ergeben. Zum Beispiel Kleptomania, eine Sharewareanwendung für Windows, die Screen Shots anfertigt und über optische Buchstabenerkennung den Text rekonstruiert, und zwar in Sekunden und nicht zehn Jahren, für 30 Dollar und nicht eine halbe Milliarde. Da solche Screen-Shot-Funktionen in jedem üblichen Betriebssystem vorhanden sind, hört sich die Behauptung von CEO Marvit gegenüber der Network World, nämlich dass man niemand daran hindern würde, Aufnahmen vom Bildschirm zu machen, alles andere als gewitzt an. Tatsächlich wäre jeder Versuch des Hinderns vollkommen absurd; aber auch nicht absurder als die Behauptung, dass ein Email-Client oder eine Serveranwendung dazu fähig sein könnten, Text von einem Back-Up zu löschen.
Man wird also sehen, wie erfolgreich Disappearing Inc. dieses System implementieren werden. Im Prinzip könnte ein gutvermarktetes und einfach zu benutzendes Email-Sicherheitssystem am Ende viel mehr Menschen dazu ermuntern, starke Kryptographie regelmässig einzusetzen. Wenn aber die Marketinganstrengungen als Indiz für ein hohe Toleranz gegenüber Missrepräsentation des Produkts dienen können oder gar ihren aktiven Anteil an absurden Interpretationen leisten, dann wird das Produkt sehr wahrscheinlich floppen oder an den Einschränkungen der echten Welt scheitern.
Als die Clinton-Administration den ebenfalls gescheiterten Clipper Chip aufs Neue zu vermarkten suchten, verzichteten sie auf die Bezeichnung "key escrow" und ersetzten sie durch "key recovery", also "Schlüsselbergung". Die Regierung oder andere Agenturen ihrer Wahl würden als Maßnahme gegen unvorhergesehene Ereignisse Unternehmen bei der Archivierung von Dekodierungsschlüsseln *helfen*. Auch diese Vermarktungsstrategie schlug fehl, weil das System weiterhin obligatorisch belieben sollte. Daraus folgt aber kaum, dass ein optionaler, vom Nutzer definierter Service der Schlüsselverwahrung deswegen erfolgreicher sein wird. Im Fall von Disappearing Inc. ist dies eigentlich auch egal, weil ihr System durch einen dreijährigen "Saboteur" geschlagen werden könnte, oder durch einen treuen und loyalen Mitarbeiter, der ganz einfach versucht, seine Arbeit zu machen - trotz "sich selbst zerstörender Emails".