Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) spricht in dieser Pressemitteilung schon ein wirklich wichtiges Thema an, mit dem fast jeder schon so seine Erfahrungen gemacht hat: Eine E-Mail wird an den falschen Adressaten geschickt, weil die automatische Adressvervollständigung des E-Mail-Programms einen Fehler gemacht und man es nicht bemerkt hat.
Der Text des ULD suggeriert, dass die Verschlüsselung einer E-Mail hier hilft: „Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen.“
Das hier zugrundeliegende Kommunikationsmodell ist längst überholt: Man tippte den Mailtext in einen Editor und kopierte ihn dann in die Zwischenablage. Danach wurde die Zwischenablage mit PGP verschlüsselt und dann der verschlüsselte Text in die eigentliche Mail eingefügt. Da wurde in der Tat der Empfänger zweimal ausgewählt: einmal beim Verschlüsseln und einmal beim Adressieren der E-Mail.
Heute ist das anders, da sich das E-Mail-Programm um die Verschlüsselung der E-Mails kümmert. Die Verschlüsslung erfolgt automatisch ohne weiteres Zutun des Absenders, wenn das Häkchen für die Verschlüsslung gesetzt wird. Und da alles automatisch geschieht, erfolgt die Auswahl des Schlüssels über die E-Mail-Adresse des Empfängers. Ist die E-Mail-Adresse falsch, dann wird auch der falsche Schlüssel genommen. Konsequenz: der falsche Empfänger („Fehladressat“) kann die E-Mail sehr wohl entschlüsseln. Nur wenn der falsche Empfänger zufällig keinen Schlüssel hat, hilft die Warn- oder Fehlermeldung.
Eine Frage bleibt noch: wie verschlüsselt eigentlich das ULD seine E-Mails? Mit GnuPG, das ist schon klar, aber wie ist die Integration der Verschlüsslung in den E-Mail-Workflow? Über die Zwischenablage?