Monday, October 10, 2011

De-Mail

Anlässlich der Veröffentlichung der staatlichen Schnüffelsoftware
sollte man sich auch mal andere IT-Projekte der Bundesregierung
angucken.

Besonders die De-Mail sollte man sich hier genauer angucken, da sie
den Brief ersetzen soll.

Warum wurde die De-Mail überhaupt eingeführt? Im Moment kann sich ein
Empfänger einer E-Mail nie sicher sein, dass der Absender auch die
Person ist für die sie sich ausgibt. Es gibt technische Maßnahmen eine
E-Mail digital eindeutig zu signieren, aber zugegeben dieses Vorgehen
setzt schon Sachverstand vorraus und die Programmierer haben es nie so
ganz auf die reihe bekommen das einfach in die E-Mail Programme
einzubauen. Der Sicherheit wäre es sehr zuträglich, wenn alles
automatisch verschlüsselt und unterzeichnet wäre.

Die De-Mail soll hier Abhilfe schaffen. Es können sich Firmen für ein
Zertifikat als De-Mail Provider bewerben. Diese müssen dann gewisse
Sicherheitsstandards einhalten und müssen dafür sorgen, dass sich die
Benutzer wenn sie ein neues Konto anlegen eindeutig
identifizieren. Das kann einerseits durch ein Postident Verfahren
durch die Post passieren, oder durch den neuen E-Personalausweis.

Es gibt eine ganze Reihe von Funktionen die die Anbieter für die
E-Mail bereitstellen müssen, aber die sind für die Sicherheit
ersteinmal uninteressant. Das Sicherheitskonzept sieht vor, dass der
Übertragungsweg verschlüsselt sein soll. Auch die E-Mail lässt sich
verschlüsseln, jedoch muss der Benutzer eins wissen. Wenn er die
Verschlüsselung des Anbieters benutzt, dann wird zwar eine
Verschlüsselung eingesetzt, jedoch nicht so wie es eigentlich für den
Benutzer am sichersten wäre.

Bei einer Verschlüsselung denkt man für gewöhnlich an eine
Ende-zu-Ende Verschlüsselung. Man muss den Kommunikationsweg nicht
vertrauen, da die Nachricht nur durch den Empfänger wieder gelesen
werden kann. Das wird bei der De-Mail nicht eingesetzt. Um es kurz zu
machen, der Anbieter verschlüsselt die Nachricht für den Anwender, das
bedeutet, der Anbieter kennt die Schlüssel und auch die Nachricht im
Klartext. In der analogen Welt wäre das so, als wenn man einen Brief
in den Briefkasten wirft und auf der Post der Brief geöffnet wird und
in einen neuen Umschlag gesteckt wird.

Es ist ganz klar, warum diese Art der "Verschlüsselung" gewählt
wurde. Der Gesetzgeber besteht darauf, wenn jemand seine E-Mail gerne
verschlüsseln möchte, kann er das trotzdem noch zusätzlich machen. Das
ist richtig, aber der Hauptanteil der Benutzer wird dies nicht
machen. So ist es für die Polizei besonders einfach den Schriftverkehr
einer Zielperson trotzdem mitzulesen.

Im neuen Kontext, dass sich der Staat gerne mal die Gesetze so auslegt
wie er es für richtig hält, sollte sich jeder Fragen, ob er die
De-Mail in dieser Form nutzen möchte. Staatliche Überwachung wurde
hier absichtlich Tür und Tor geöffnet. Und wo der Staat einfach an
Daten kommt, wird er diese Möglichkeit auch vollumfänglich
ausschöpfen. Die Rechtmäßigkeit wird immer erst hinterher geprüft und
das auch nur, wenn der Betroffene Zeit, Geld und Kraft hat sich zu wehren.

Über eins sollte man sich auch immer im Klaren sein. Mailprovider, die
über eine bestimmte Anzahl von Nutzern verfügen, müssen sie
staatlichen Ermittlungsbehörden Zugang für eine Überwachung der
Benutzer bieten.

Es spricht jedoch nichts dagegen selber einen Mailserver zu
betreiben.

No comments:

Post a Comment