De-Mail, neuer Personalausweis, eSignatur

eGovernment-Gesetz-Anhörung: Das sind die Hauptstreitpunkte

Seite: 3/6

Anbieter zum Thema

Chaos Computer Club sieht „Angriffsziele von enormer Attraktivität“

„Im vorliegenden Gesetzesentwurf soll De-Mail als Standard für die elektronische Kommunikation mit Verwaltung und Behörden zugelassen werden. Die Server der wenigen BSI-zertifizierten De-Mail-Anbieter und das geplante zentrale Gateway des Bundes würden dadurch Angriffsziele von enormer Attraktivität werden“, stellte Linus Neumann der Stellungnahme voraus.

Mängel in der Umsetzung: „Mit dem De-Mail-Gesetz wurde ein Teil der für eMail bekannten Sicherheitsmaßnahmen zum Standard erhoben und eine Identitätsprüfung für die Einrichtung eines Accounts vorgeschrieben. Unberücksichtigt blieb die zu erwartende erhöhte Angriffsaktivität auf die De-Mail-Server selbst:

  • Aufgrund der spezifischen Nutzung von De-Mail für sensible Kommunikation steigt die Attraktivität für Angreifer. Durch die geringe Anzahl an De-Mail-Anbietern werden so wenige, aber maximal attraktive Angriffsziele mit hohem Schädigungspotential geschaffen.
  • Durch den Verzicht auf eine Ende-zu-Ende-Verschlüsselung könnendie auf De-Mail-Server vorgehaltenen Nachrichten vom Provider oder einem Angreifer, der Zugriff auf den Server erlangt hat, eingesehen werden.

Dem Anspruch an ein sicheres und vertrauliches Kommunikationsmedium wird De-Mail bereits nach heutigen Maßstäben nicht gerecht.

Sicherheitsanforderungen werden gesenkt, um De-Mail zuzulassen: Neumann sieht eine Aufweichung der Sicherheitsanforderungen bei De-Mail durch (beispielhaft) eine vorgesehene Änderung in der Abgabenordnung: „Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot.“

Fehlende Verschlüsselung: Eine Verschlüsselung liege dann vor, wenn Unbefugte keinen Zugriff auf eine vertrauliche Information erlangen können. Im Falle der De-Mail finde jedoch explizit eine sogar mehrfache Entschlüsselung der vertraulichen Nachricht durch Unbefugte statt. Im Zeitalter der elektrischen Datenverarbeitung sei es dabei unerheblich, ob eine Nachricht „kurzzeitig“ entschlüsselt werde, da eine Kopie, Textanalyse ebenso „kurzzeitig“ angefertigt werden könne.

Neumann: „Hier wäre daher es euphemistisch, nur von einer 'unzureichenden Verschlüsselung' zu sprechen: eine solche fehlt gänzlich, was fahrlässige Datenpreisgabe ebenso wie bewußte Überwachung begünstigt.“

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Artikelfiles und Artikellinks

(ID:38766520)