Martin Shelton von der Freedom of the Press-Foundation hat sich die beiden Office-Pakete Microsoft Office 365 und Google Workspace (G Suite) näher angesehen und geht in seinen beiden Beiträgen auf die Verschlüsselung und die Sichtbarkeit von Daten und Metadaten ein.
Am Ende, das kommt in den Beiträgen heraus, besteht in beiden Fällen immer irgendeine mehr oder weniger leichte Möglichkeit, Daten von Nutzerinnen und Nutzern aufseiten des Anbieters zu lesen. Nur Ende-zu-Ende-Verschlüsselung hilft, ist der Tenor beider Beiträge, doch möchte ich die immer mehr in Frage stellen, wenn ich mir ansehe, wie ich mit Dokumenten umgehe und wie andere mit ihnen umgehen.
Das isolierte Dokument, das einen geschützten Speicher niemals verlässt, gibt es im Jahr 2021 nicht mehr. Immer arbeitet jemand daran mit, sieht es sich jemand an, schickt es jemand jemandem zu. Entweder, ich erhalte das Dokument zuerst per E-Mail zugeschickt oder ich muss es später per E-Mail wieder zurückschicken. Oder ich arbeite mit jemandem in einer geschützten Umgebung daran und es wird, dann aber doch, erst nach Fertigstellung irgendwohin gesendet.
Selbst wenn ich es mir antue, mich um Ende-zu-Ende-Verschlüsselung zu kümmern (und so einfach es einem Boxcryptor und Cryptomator auch machen oder Hersteller, die das im Browser erledigen, versprechen), am Ende muss ich das Dokument jemandem per E-Mail senden und die ganze Verschlüsselung bis daher ist ausgehebelt. Nicht nur landet das Dokument auf meinem Mailserver, es landet auch am Mailserver des Empfängers. Was bringt mir da also die E2E-Verschlüsselung?
Was bringt es mir (bei Nutzung von Office 365 oder Google Workspace), Dokumente aus E-Mails sofort in Boxcryptor, Cryptomator oder sonst einem Verschlüsselungstool abzulegen, wenn ich dann, Wochen später, eine umfassende Auflistung aller Dokumente in meinen Mailordnern in OneDrive sehe oder sie bei einer Suche in meinem Gmail-Account noch Monate und Jahre später finde? Klar, ich könnte diese E-Mails löschen und die Dokumente wären für etwa 6 Monate lang (das ist in etwa der Zeitraum, in dem gelösche Datensätze bei Office 365 und Google Workspace theoretisch noch wiederherstellbar wären) in einem potentiell gefährdeten Zustand, doch kenne ich niemanden, der seine E-Mails im Jahr 2021 tatsächlich löscht und nicht archiviert.
Was also, zum Abschluss noch einmal die Frage, was also bringt mir eine ausgetüftelte E2E-Verschlüsselung für meine Dokumente, wenn nahezu jedes, an dem ich arbeite, auf die eine oder andere Weise dann doch unverschlüsselt auf einem Mailserver liegt?