Kritik an De-Mail vor zweiter Runde im Bundesrat „Ohne Ende-zu-Ende-Verschlüsselung gibt es kein Briefgeheimnis“

Redakteur: Gerald Viola

Am kommenden Freitag soll der Bundesrat dem De-Mail-Gesetz im zweiten Anlauf zustimmen. Kurt Kammerer, CEO der regify AG, die vertrauliche und verbindliche eMail und digitale Post anbietet, hat vor allem Sicherheitsbedenken bei der angestrebten Lösung.

Firmen zum Thema

Kurt Kammerer: Sechs Probleme mit De-Mail
Kurt Kammerer: Sechs Probleme mit De-Mail
( Archiv: Vogel Business Media )

„Wenn das De-Mail-Gesetz ebenso einfache und technikneutrale Grundsätze verlangen würde, wie die EU-Richtlinie zur elektronischen Rechnung (sichere Absenderidentifikation und Unveränderbarkeit des Inhalts) und das Briefgeheimnis wahren würde – wir könnten begeistert zustimmen,“ sagt der IT-Experte.

Kurt Kammerer fasst seine Bedenken so zusammen: „Als Anbieter für sichere, digitale eMail-Dienste sind wir seit zwei Jahren in das De-Mail-Thema involviert und stellen fest, dass der Regierung an einer Ende-zu-Ende Verschlüsselung und damit einer Wahrung des Briefgeheimnisses nicht gelegen ist. Vielmehr soll De-Mail die Möglichkeit schaffen, auf die Inhalte eines jeden De-Mail-Briefes zugreifen zu können (über die De-Mail-Provider). Zweifelsohne ist dies nicht im Verbraucherinteresse.“

Kurt Kammerer bemängelt sechs Punkte beim Thema De-Mail und Ende-zu-Ende-Verschlüsselung.

Nächste Seite: 1. Jeder kann selbst entscheiden

Die De-Mail-Vertreter behaupten, Ende-zu-Ende Verschlüsselung sei ja nicht ausgeschlossen und jeder könne für sich selbst entscheiden, ob er/sie dies zusätzlich machen wolle oder nicht

Diese Behauptung ist falsch, denn die Anwendung von Verschlüsselungstechniken ist für den normalen Anwender so kompliziert, dass er es üblicherweise bleiben lässt. 2010 lag die Nutzung daher im fast nicht messbaren Bereich.

Zur Erinnerung: De-Mail wurde dem Anwender aber ausgerechnet als „so sicher wie der Brief“ angepriesen, eine Eigenschaft also, die man dem Anwender nun wohl vorenthalten will. Dieses Versprechen lässt sich nur einlösen, wenn man Ende-zu-Ende-Verschlüsselung zwingend als Standard-Funktion vorsieht.

Nächste Seite: 2. Ende-zu-Ende Verschlüsselung ist technisch machbar

Ende-zu-Ende Verschlüsselung ist technisch machbar und so, dass Rechtsstaatlichkeit gesichert ist

Ebenso wie es dem Rechtsstaat unter den bekannten Gründen mit rechtsstaatlichen Mitteln erlaubt sein muss, einen Brief zu öffnen, muss er eine verschlüsselte eMail öffnen können. Ansonsten könnte ein solcher Kommunikationskanal missbraucht werden. Von De-Mail-Vertretern wird aber bewusst verschwiegen, dass es geeignete Verfahren gibt, die „legal interception“ in gesetzlich geregelten Sonderfällen ermöglichen und in allen anderen Fällen aber nicht. Man kann also das Briefgeheimnis auch im Digitalen umsetzen, wenn man es nur will.

Bei der Regierung fehlt es offensichtlich am Willen oder es scheint sogar der Wille vorhanden, das Briefgeheimnis aushebeln zu wollen, denn jede einzelne „sichere“ De-Mail-Nachricht wird beim De-Mail-Provider geöffnet, ehe sie wieder verschlossen wird. Das Scheinargument der De-Mail-Vertreter, eine Nachricht liege ja „nur für einen Bruchteil einer Sekunde“ geöffnet bei den jeweiligen De-Mail-Providern vor, ist lächerlich. Gerade für die Verarbeitung von Daten in Sekundenbruchteilen gibt es die IT.

Nächste Seite: 3. Das De-Mail-Gesetz offenbart dem potenziellen Angreifer, wo er angreifen muss

Das De-Mail-Gesetz offenbart dem potenziellen Angreifer, wo er angreifen muss, nämlich beim De-Mail-Provider

Fehlende Ende-zu-Ende-Verschlüsselung macht den De-Mail-Provider zum Angriffspunkt. Ein potenzieller Angreifer weiß allein durch die Lektüre des De-Mail-Gesetzes und der technischen Richtlinien des BSI, wo er beim De-Mail-Provider und dessen Mitarbeitern ansetzen muss.

Das BSI hat deswegen eine Vielzahl von Rollen definiert, die der De-Mail-Provider auf verschiedene Mitarbeiter verteilen muss. Das treibt die Kosten, die Sicherheit erhöht dies nur selten – wie diverse Social-Engineering-Attacken zeigen.

Nächste Seite: 4. Keiner ist schuld

Falls vertrauliche De-Mails an die Öffentlichkeit gelangen sollten, ist keiner schuld!

Durch die Konstruktion des De-Mail-Systems sind Lecks nur schwer ausfindig zu machen. Gelangen vertrauliche De-Mails an die Öffentlichkeit, könnten die Mitarbeiter des De-Mail-Providers A die Schuldigen gewesen sein oder die Mitarbeiter des De-Mail-Providers B, denn beide haben Zugriff.

Der Verzicht auf zwingende Ende-zu-Ende-Verschlüsselung hat zur direkten Folge, dass der Provider den Unschuldsbeweis nicht führen kann (denn er könnte es ja gewesen sein).

Nächste Seite: 5. Keine Alternativen?

De-Mail-Alternativen gemäß Gesetzesvorlage: „keine“?

Diese in einer frühen De-Mail-Gesetzesvorlage formulierte Behauptung ist falsch. Es gibt seit langem Alternativen, allerdings keine seitens der De-Mail-Initiatoren. Die regify AG beispielsweise hat eine Lösung, die von den Volksbanken im Kundenverkehr genau deshalb eingesetzt wird, weil Ende-zu-Ende Verschlüsselung auf sehr anwenderfreundliche Art und Weise sichergestellt ist.

Natürlich sind wir nicht die Einzigen mit einem alternativen Angebot, aber De-Mail akzeptiert keine Alternativen. Seit Jahren bewährte Lösungen werden nicht in De-Mail integrierbar sein und das, wie es uns mittlerweile erscheint, durchaus gewollt. Einfacher als durch ein Gesetz, dem De-Mail-Gesetz, lässt sich seitens der De-Mail-Initiatoren Wettbewerb nicht vom Leib halten.

Die mittelständische IT-Wirtschaft, zu der wir uns zählen, will aber im Wettbewerb mit anderen das beste Angebot liefern. Kundenfreundlich ist, wenn der Verbraucher aus einer Reihe von Angeboten das für ihn beste auswählen kann. Auf dieser Grundlage entsteht Innovation. De-Mail ist das Gegenteil davon.

Nächste Seite: 6. Deutsche Insellösung

De-Mail = die deutsche Insellösung

Als Mitglied des DIN-Normenausschusses für postalische Dienste weiß ich aus erster Hand, dass De-Mail nicht nur inkompatibel ist mit internationalen postalischen Standards (CEN, aber auch DIN), sondern dass kein einziges anderes Land ein vergleichbares System plant, das mit De-Mail integrierbar wäre.

De-Mail wird also immer eine deutsche Insellösung bleiben, sollte das De-Mail Gesetz in der vorgesehenen Form verabschiedet werden.

(ID:2049626)