DE-Mail
Gerade hatten wir es noch von der Post und wie sie nun(?) erkennt, daß ihr möglicherweise irgendwelche Felle davonschwimmen. Die Wirtschaftswoche vermutete noch, die Post nehme eine neue Bedrohung aus dem Internet wahr: Die DE-Mail. Darüber gibt es einen langen WiWo-Artikel, auch online:
Kampf um die elektronische Post
In wenigen Wochen startet ein neues E-Mail-System, das einen Großteil des Briefverkehrs überflüssig machen soll. Die Deutsche Post droht ein Milliardengeschäft zu verlieren und entwickelt daher eine eigene Version der elektronischen Post.
Das ist in vielerlei Hinsicht erstaunlich. Es ist also immer noch ein Milliardengeschäft, die Briefschreiberei. Aber, so wie es aussieht, wird das Geld nicht mit solchen Briefen verdient, wie man sie sich gemeinhin unter diesem Namen vorstellt. Denn hier ist der Schrumpfungsprozeß längt abgeschlossen, EMail gibt es schon und DE-Mail ist was anderes. Bei Privatbriefen und bei Reklame ändert sich nichts. Also um was geht es?
Briefe, Briefe, Briefe
Verträge? Kann man faxen. Rechnungen müssen auf Papier verschickt werden. Zumindest theoretisch, das kostet noch viel Porto. Müssen sie es wirklich? Wo steht das? Wenn das Unternehmen A dem Kunden B eine PDF-Rechnung per EMail schickt, ist das nicht verboten. B zahlt die Rechnung, fertig. Das Problem beginnt, wenn B selbst gewerblich tätig ist, genauer: vorsteuerabzugsberechtigt, ungenauer: Die Mehrwertsteuer wieder rauskriegt. Dafür bedarf es einer Papierrechnung oder, oft unrealistisch, einer Rechnung, die dem Gesetz zur digitalen Signatur Genüge leistet. Typischerweise werden von Unternehmen Rechnungen, die per EMail eintrudeln, einfach ausgedruckt und manchmal listig mit einem Eingangsstempel versehen. Das ist so üblich, dass es längst Anzeichen gibt, dass dieses Vorgehen nicht mehr beanstandet werden wird, denn schließlich haben alle Rechnungen eindeutige Nummern zu tragen, da spielt es keine Rolle, ob eine Rechnung kopiert wird. Die normative Kraft des Faktischen also.
Alte Hüte
Was gibt es noch? Einschreiben. Das gibt es tatsächlich noch nicht per EMail. Das heißt, es gibt es schon, nur nicht zuverlässig. Alte Mailclients von Microsoft hatten beispielsweise die Möglichkeit, Empfangsbestätigungen anzufordern. War dies auf Empfängerseite freigegeben, wurden Bestätigungen verschickt: „Zeitpunkt 1: Hat die Mail bekommen“. „Zeitpunkt 2: Hat die Mail gelesen“. „Zeitpunkt 3: Hat die Mail weitergeleitet/gelöscht/beim Lesen gelacht“ oder so. Besonders liebevoll programmierte Mailclients aus anderen Welten hatten durchaus zum Teil die Option „Microsoftkonforme Statusmeldungen zulassen“. Ich hatte das alles abgeschaltet – Bandbreite war damals kostbar und ich war der Meinung, diese Rückmeldungen gingen weit über das hinaus, was einen potentiell anonymen Kommunikationspartner irgendetwas anginge.
Will ich heute den Zugang einer EMail nachweisen, lege ich schlimmstenfalls Logfiles vor. Und Manipulationen schließe ich aus, indem ich meine Mails signiere. Fertig. Zugegeben, da ist ein Unsicherheitsfaktor. Die Gegenseite kann ja lügen. Aber das kann sie heute auch schon – „ja, ich habe das Einschreiben bekommen, aber der Umschlag war leer“. Und genau wie bei der Papierpost kann man sich eigentlich nur mit Zeugen absichern.
Hier eine Schnittstelle zu schaffen, die mehr Rechtssicherheit schafft, ist vielleicht eine gute Idee. Aber keine neue. Neu ist lediglich, daß die Idee gesetzlich gefördert wird. Was macht DE-Mail genau?
[… ein] E-Mail-System, das weitaus höheren Sicherheitsansprüchen genügt als die gängige elektronische Kommunikation. Dieser höhere Standard garantiert Absendern und Empfängern, dass eine E-Mail tatsächlich von demjenigen stammt, den er vorgibt, zu sein. Damit werden Verträge, Dokumente und Mitteilungen online rechtsverbindlich. Den Nachweis, die Anforderungen zu erfüllen, müssen die Anbieter von De-Mail gegenüber dem Bundesamt für Sicherheit in der Informationstechnik erbringen. Die digitale Signatur, eine Art elektronische Unterschrift, gibt es zwar schon seit einigen Jahren, galt jedoch in der Regel nur für den E-Mail-Verkehr bei einem bestimmten Internet-Anbieter.
Das muß sich auf ein Paralleluniversum beziehen. Dem Absender muß niemand garantieren, wer der Absender ist. So ein Unsinn. Und Verträge, Dokumente und Mitteilungen sind auch heute durchaus rechtsverbindlich per EMail möglich.
Selbst ist der Mann
Will der Empfänger wissen, dass der Absender der ist, der er zu sein vorgibt, so kann er das bei der heutigen Briefpost ja auch nicht. Hier geht also kein Geschäft für die Post zurück. Bei EMail kann er das hingegen schon seit vielen Jahren, und von Jahr zu Jahr wird es einfacher. Die digitale Unterschrift per PGP war im letzten Jahrhundert bereits nicht nur etwas für Spielkinder. Der heise-Verlag (c’t) veranstaltete auf jeder größeren Messe, mindestens Systems und Cebit, eine PGP-Signing-Party. Das funktionierte so: Jeder kann sich kostenlos einen Schlüssel basteln. Selbstverständlich auch einen gefälschten. Ein Schlüssel sorgt dafür, daß Absender und Inhalt einer Mail nicht manipulierbar sind. Dass man damit Mails auch verschlüsseln kann, sei hier nur kurz erwähnt. Es kommt also darauf an, ob ich einem Schlüssel vertraue. Hier gibt es das Web of Trust: Vertraut jemand mir, so kann er auch den Schlüsseln vertrauen, denen ich vertraue. Man unterschreibt also die Schlüssel der anderen und stellt all diese Informationen weltweit auf Schlüsselservern zur Verfügung. Fertig. Und auf den Signing-Parties zeigte man seinen Ausweis her und sammelte Unterschriften der Beglaubiger. So konnte jeder teilnehmen.
Ein kleines Problem mit PGP war, dass der Erfinder auf einmal Geld verdienen wollte, aber so individuell war die Idee einfach nicht, und so entstand die freie Version GPG. Tut hier nichts mehr zu Sache, aber was oben in der WiWo stand, dass digitale Unterschriften nur bei bestimmten Internet-Anbietern gegolten hätten, ist nicht wirklich nachvollziehbar. Aber ach, ein Schlüssel, der nichts kostet, taugt nichts, und so weigerten sich alle mehr oder weniger amtlichen Stellen, sich mit dem System weiter zu beschäftigen. Egal, das Netz ist erfinderisch, heute gibt es ja ein System, das amtliche, halbamtliche und frei erzeugte Schlüssel nebeneinander betreiben kann. Outlook kann damit umgehen, Mac und Linux sowieso. Na also.
Der böse Rezipient
Zu jedem Kommunikationssystem gehören immer zwei. Ein Sender und ein Empfänger. Was nützt mir eine Empfangsbestätigung, die nur sagt, die Mail wurde abgeliefert? DE-Mail geht davon aus, daß Sender und Empfänger beide am System teilnehmen. Nur so funktioniert die Empfangsbestätigung wirklich. Und da muß sich das System der Öffentlichkeit stellen, wie alles im Internet. Wird es angenommen, wird es eine Norm. Wenn nicht, dann floppt es. Bis jetzt gibt es nicht einmal einen RfC zu dem Thema – das schaut schlecht aus mit der Akzeptanz der Benutzer.
Angesichts der unschönen Attitüden unseres Innenministeriums werden sich viele Leute hüten, einem System zu vertrauen, das staatlich gefördert ist. Kostenlos wird das Ganze auch nicht sein. Von einem Schätzpreis von 10 ct wird ausgegangen – das ist wenig, vergleicht man es mit den Kosten für ein Einschreiben, aber es ist ziemlich viel, vergleicht man es mit den Kosten einer simplen EMail. Das muß einfacher gehen. Meine Bank schickt mir keine Kontoauszüge mehr. Ich kann sie in einem geschützten Bereich des Onlinebanking herunterladen. Daß ich den Auszug abgeholt habe, kann die Bank nachweisen. Datenschutzprobleme habe ich damit nicht, denn das konnte sie vorher schon, als ich noch den Belegdrucker in der Bank aufsuchen mußte dafür. Die Bank braucht hier somit schon mal kein DE-Mail, und das ist nur ein Beispiel.
Kurz gesprungen
Viele stört sicher auch das „D“ in „DE-Mail“. Was ist, wenn ich europaweit die Vorzüge genormter Mailnachweise nutzen will? Das gibt es schon längst, nennt sich beispielsweise „eWitness“, Werbung will ich dafür nicht machen, aber es ist eine Initiative eines Italieners und eines Franzosen, Sitz in Luxemburg, Technikdienstleister eine deutsche Firma. Somit genügt mir nur der Hinweis, daß der ganze DE-Mail-Komplex nach einem bürokratischen Coup aussieht. Wie erfinde ich was, was es längst gibt und keiner erkennt des Kaisers neue Kleider?
Meine Firma wird prüfen, wie aufwendig eine „DE-Mail-Zertifizierung“ für unsere Mailprodukte ist. Wenn es leicht geht, wovon wir ausgehen, bauen wir es ein. Wenn es kostentreibender sinnloser Ballast ist, den kein Kunde will, lassen wir es weg. So funktioniert das Internet. Und die Post kann sich ja auch wieder einbringen. Sie muß ja keinen Gegenentwurf machen, wie in dem WiWo-Artikel beschrieben, sondern ein gut brauchbares System, das besser ist als andere, aber die DE-Mail-Vorgaben erfüllt. Mit ein bißchen Glück wird sie weiterhin von unseren offiziellen Stellen bevorzugt. Es ist ja immer noch so, daß ich zwar UPS, TNT und PIN und wie sie alle heißen, nicht auf mein Grundstück lassen muss. Über die Post kann mir aber dennoch immer alles „amtlich zugestellt werden“. Umgekehrt geht das nicht, ich kann mich nicht exklusiv von PIN beliefern lassen, nur weil ich mit dem Service der Post nicht zufrieden bin. Merkwürdig. Ist aber so, sagt die Maus.
Hoppla!
Fast überlesen hätte ich den Schluß des WiWo-Artikels:
Sollten sich die Gewerkschaften nicht bewegen und etwa Arbeitszeitverlängerungen ohne Lohnausgleich ablehnen, will Post-Vorstand Gerdes die Daumenschrauben anziehen. „Hier geht es um die Sicherung von Arbeitsplätzen“, sagt er gegenüber der Wirtschafts-Woche. „Wenn sich die Gewerkschaften nicht bewegen, schließe ich Outsourcing und mittelfristig betriebsbedingte Kündigungen nicht aus.“
Arbeitszeitverlängerung ohne Lohnausgleich? War die Post nicht der Laden, der vor einem Jahr mit Mindestlöhnen seine Wettbewerber beinahe ausgeschaltet hat? Interessiert nicht mehr? Oder halten die uns für vergeßlich? Wieder ein
Eintrag mehr in die Pharisäerliste…
Bildquelle: Glassart Tobler