Phil Zimmermann: "Hallo, aufwachen! Wenn jemand einen Laptop verliert, die Informationen aber verschlüsselt waren, sind die Daten geschützt."
CW: Sie haben mit PGP ein Verschlüsselungsprogramm für E-Mails entwickelt, das sich zu einem enormen Erfolg entwickelte. Wie fühlen Sie sich jetzt?
ZIMMERMANN: Nur sehr, sehr wenige E-Mails werden heute chiffriert. Aber von diesen sind die meisten mit PGP-Technik verschlüsselt. Das erfüllt mich schon mit Stolz.
CW: Wo steht PGP heute?
ZIMMERMANN: Als Unternehmen befindet sich PGP inzwischen in seiner dritten Phase: Nach der von mir gegründeten Firma kam die Zeit bei Network Associates (NAI), und jetzt gibt es PGP Corporation. Diesmal glaube ich an den Erfolg.
CW: ... der während der Periode unter NAI ausgeblieben war. Was lief damals falsch?
ZIMMERMANN: NAI (jetzt McAfee, Anm. D. Red.) hatte hunderte Produkte im Portfolio, und die Vertriebsleute verstanden PGP nicht.
CW: Fehlte der Fokus?
ZIMMERMANN: Ja, aber es gab auch Probleme kultureller Art. Es ging nur um den Vertrieb.
CW: Wohin geht die Reise mit PGP heute?
ZIMMERMANN: Das Produkt entwickelt sich in neue Bereiche wie Festplattenverschlüsselung oder die Absicherung von Instant Messaging. Das ist ein Verdienst der neuen Company.
CW: Woran liegt es, dass die breite Masse noch nicht bereit ist, Verschlüsselung einzusetzen?
ZIMMERMANN: Das größte Hindernis war bisher immer die Bedienfreundlichkeit. Das hat nichts mit einer grafischen Bedienoberfläche zutun, die gibt es schon seit längerem. Die Probleme sind vielmehr konzeptueller Art: Glauben Sie, dass ein Normalverbraucher versteht, worum es bei so etwas wie Schlüsselzertifizierung oder Public Key Infrastructure (PKI) geht? Oder wie eine Man-in-the-middle-Attacke funktioniert? Eine nette Oberfläche löst nicht die Frage, wie man den gewöhnlichen Anwender dazu bringt, die Technik zu nutzen, ohne die abstrakten Konzepte dahinter verstehen zu müssen.
CW: Wie lässt sich das ändern?
ZIMMERMANN: PGP hat in den letzten drei Jahren seit Bestehen als eigenständiges Unternehmen große Fortschritte in dieser Hinsicht gemacht. Jetzt können Firmen Tausende von Angestellte Verschlüsselung nutzen lassen, ohne dass diese das PKI-Konzept verstehen müssen. Es wird alles im Hintergrund für sie erledigt, durch einen Server-Proxy.
CW: Die Komplexität von Krypto-Produkten überstieg in der Vergangenheit aber auch das Können der professionellen Anwender. Viele Unternehmen sind mit der Einführung von PKI-Projekten kläglich gescheitert.
ZIMMERMANN: Genau, das traditionelle PKI-Konzept hat versagt. Selbst Unternehmen, die sich darauf spezialisiert hatten, PKI-Strukturen aufzubauen, sind daran zugrunde gegangen - denken Sie nur an Baltimore (Baltimore wurde nach finanziellen Problemen schließlich von HP gekauft, Anm. d. Red.). Die traditionelle PKI war so etwas wie ein Todeskuss für alles, was damit in Berührung kam.
CW: Und weshalb?
ZIMMERMANN: Das lag daran, dass zuerst eine komplette PKI-Struktur aufgebaut werden musste, bevor man auch nur einen kleinen Teil der Möglichkeiten nutzen konnte. S/Mime ist weit verbreitet, weil es Bestandteil von Microsoft-Produkten ist, aber kaum jemand macht Gebrauch davon, weil dazu eine funktionierende PKI vorhanden sein muss. Mit PGP ist das anders.
CW: Also ist die Technik nicht mehr der Hauptgrund, dass Anwender nur so wenig Gebrauch von Verschlüsselung machen? Aber sehen die Leute überhaupt die Notwendigkeit, Nachrichten zu chiffrieren?
ZIMMERMANN: Sie verfolgen doch auch die Meldungen von all den Fällen, wo Identitätsinformationen verloren gehen und die Unternehmen das veröffentlichen müssen, weil es die Gesetzgebung im US-Bundesstaat Kalifornien so verlangt. Für jede betroffene Firma ist das eine schreckliche Erfahrung. Und alles nur, weil jemand dachte: "Wir brauchen keine Verschlüsselung." Hallo, aufwachen! Wenn jemand einen Laptop verliert, die Informationen aber verschlüsselt waren, sind die Daten geschützt.
CW: Aber wäre es nicht sinnvoller, den Einsatz von Verschlüsselung vorzuschreiben, als die Firmen zu zwingen, die Vorkommnisse zu veröffentlichen?
ZIMMERMANN: Beides ist wichtig. Das entsprechende Gesetz, California State Bill 1386, spricht explizit von der Möglichkeit der Verschlüsselung. Wer Daten chiffriert, ist im Falle eines Falles vor Gericht besser dran.
CW: Aber viele Firmen sind im Umgang mit kritischen Daten immer noch zu unbekümmert.
ZIMMERMANN: Richtig. Vor kurzem gab es einen Fall in den USA, bei dem Backup-Bänder während des Transports per LKW verschwanden. Wären die verschlüsselt gewesen, hätte der Verlust nichts bedeutet.
CW: Würden Sie demnach einen stärkeren gesetzgeberischen Druck befürworten?
ZIMMERMANN: Der Zwang durch die Veröffentlichungspflicht bewirkt schon einiges, so dass ich glaube, dass sich das Problem dadurch von selbst lösen wird.
CW: Eine andere Lösung könnte so aussehen, Verschlüsselung zu einem festen Bestandteil aller Produkte zu machen, so dass quasi per Standardeinstellung Daten immer chiffriert werden.
ZIMMERMANN: Das wäre möglich.
CW: Microsoft würde die Idee sicher gefallen, so, wie sich das Unternehmen in letzter Zeit für die Integration von Sicherheitsfunktionen stark macht.
ZIMMERMANN: Microsoft ist eine riesige Company mit tausenden von Angestellten, die sich um alles Mögliche kümmern. Wir hingegen sind eine kleine, sehr fokussierte Firma, die ihre ganze Energie in sichere Verschlüsselung steckt. Das führt letztendlich zu besseren Resultaten.
CW: Wenn mehr Menschen Ihre E-Mails verschlüsseln oder digital signieren würden, wäre das hilfreich im Kampf gegen solche Übel wie Spam oder Phishing?
ZIMMERMANN: Es wäre ein Weg, aber ich persönlich würde nur ungern dahin kommen, dass alle ihre E-Mails signieren müssen und alles weggeworfen wird, was nicht signiert ist. Ich signiere meine Mails normalerweise nicht, außer es handelt sich um etwas wirklich Wichtiges. Aber Spam wird so lästig, dass ich diesen Standpunkt vielleicht überdenken sollte. Vielleicht sollten wir eine Art digitale Briefmarke benutzen, um den Inhalt einer Nachricht zu signieren, aber das wäre ein anderer Ansatz.