Der Innenminister als Postbote
Vor ein paar Tagen war zu lesen, dass sich die Post aus DE-Mail zurückzieht. Unsicher sei es und nicht konform. Daran ist einiges erstaunlich. Zum einen verblüfft, daß die Post überhaupt dabei war. So wie es aussieht, war sie dazu gezwungen worden. Ein gewisser Großaktionär beider Unternehmen hat da wohl politischen Druck ausgeübt, dass „man“ sich auf eine Lösung einigt. Zum andern verblüfft, dass die Unsicherheit auf einmal ein Thema ist. DE-Mail ist ein Krampf, der ohne politische Unterstützung längst von der Bildfläche verschwunden wäre. Die Kritik an diesem System ist lang und vernichtend:
- Die DE-Mail entspricht keiner einzigen Euro-Norm und ist ein reiner nationaler Alleingang. Offizielle Antwort: Uns doch wurst – deshalb heisst sie ja DE-Mail und nicht EU-Mail oder so.
- Das DE-Mail-Gesetz fordert, daß jede Mail geöffnet werden muss und der Inhalt auf Schadsoftware überprüft. Das ist leicht schräg, denn durch dieses Gesetz sollte ja eine gewisse Vertraulichkeit zwischen den beiden Kommunikationspartnern hergestellt werden. In dieser Variante sehen sich beide gezwungen, ihre Inhalte selbst auch zu verschlüsseln – kein Gewinn zu vorher. Hätte es nicht genügt, wie sonst auch, auf selbst installierte Antivirenprogramme zu vertrauen? Verschlüsselt man die Mails jedoch selbst, darf streng genommen der Transporteur die Mail dann nicht mehr transportieren – er kann ja nicht mehr reinschauen.
- Die DE-Mail entspricht also nicht einmal ihrem eigenen Gesetz. Offizielle Antwort: Hamm’wer gleich. Und es wird einfach definiert: Zum Beispiel in Artikel 7, Absatz 2 zur Änderung der Abgabenordnung:
§ 87a wird wie folgt geändert:
a) Dem Absatz 1 wird folgender Satz angefügt:
Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3. […]Weitere Fundstellen: Artikel 6, Absatz 5 zur Änderung des Vierten Buches Sozialgesetzbuch und Artikel 7, Absatz 1 zur Änderung der Abgabenordnung. (Quelle: CCC) Klar! So geht es natürlich auch. Ich könnte ja mal versuchen: Eine rote Ampel ist grün im Sinne der STVO, wenn nichts kommt. Aber ich bin ja nicht der Staat, nur der darf das. Besonders nett: Der Gebrauch des Wortes „kurzzeitig“.
- DE-Mails dürfen von staatlichen Stellen jederzeit und ohne richterlichen Beschluß gelesen werden. Zur Erinnerung: Der Dienstleister kann die „Verschlüsselung“ eh entfernen.
- Der Zugang einer DE-Mail gilt mit der Ablage in das Postfach, sofern eines existiert. Wer ist schon lebensmüde und richtet sich einen Briefkasten ein, in dem alles niedergelegt werden kann und Fristen zu laufen beginnen, und der daher täglich geleert werden muss, ohne dass man davon etwas hätte?
- DE-Mails sind teuer. Egal, was sie kosten, sie sind teurer als Emails. Und das bei überschaubaren Vorteilen.
Die Nachteile lasse sich noch fortsetzen. Unser Staat, der sich mit der faulen Ausrede „Subsidiarität“ überall aus der Verantwortung stiehlt, wo vielleicht Zahlungsverpflichtungen auf ihn zukommen könnten, kümmert sich ausgerechnet um ein „Problem“, das seit 20 Jahren gelöst ist? Vielleicht, weil er dadurch hofft, Geld zu verdienen und gleichzeitig dieses ach so anarchische Internet endlich an sie Kandare zu kriegen?
Und nun steigt die Post dort aus. Heldenhaft? Nein, eher lachhaft. Die Post war ja nicht freiwillig dabei, sie wollte ja ursprünglich ihr eigenes, mindestens so überflüssiges und teures Produkt „e-Post“ an den Mann bringen. Als Zwangsmitglied der DE-Mailwolke wollten sie sich aber wenigstens ihr Postident-Verfahren eintragen lassen. Datenschützer blasen die Backen auf: Um sichere EMail zu schicken, muss man also die Ausweisnummer angeben? Die Rechnung ging nicht auf. Da blieb nur der Ausstieg, hilfsweise aus Protest gegen die schleißige Anwendung des Verschlüsselungsgebots? So sehen faule Ausreden aus.
Aber lassen wir doch noch einmal unser Innenministerium zum Thema sichere Verschlüsselung zu Wort kommen:
Nach Schätzungen sind heute weniger als 5% der E-Mails verschlüsselt, obwohl E-Mails beim Transport durch das Internet leicht abgefangen und mitgelesen werden können. Grund für die geringe Zahl der verschlüsselten E-Mails ist zum einen das noch nicht ausreichend ausgeprägte Sicherheitsbewusstsein. Zum anderen ist die Verschlüsselung für den Endkunden schwer realisierbar.
Vermutlich reicht eine Verschlüsselungsquote von 5% der Mails. 95% der Mails enthalten Harmlosigkeiten. Aber es ist einfacher, alles zu verschlüsseln, als sich bei jeder einzelnen Mail Gedanken zu machen. Verschlüsseln ist heute einfach. Streng genommen sogar so einfach, daß es dem Innenministerium kaum gefallen dürfte.
Wollte man eine zusätzliche Ende-zu-Ende-Verschlüsselung bei De-Mail verpflichtend einsetzen, würde man die Einfachheit des De-Mail-Dienstes opfern. Im Regelfall müsste der Nutzer eine zusätzliche Software installieren und wissen, wie man diese bedient.
Ich denke, viele dieser Richtlinien sind von Menschen, die keine Ahnung haben, wie man mit einem Rechner umgeht. Verräterische Wortwahl: Ich verwende meine, andere Leute bedienen ihre Rechner. Kleiner Unterschied. Rufen wir ihnen zu speak for yourself.
Außerdem müsste der Sender einer Nachricht mit dem Empfänger Schlüsselinformationen austauschen.
Das kriegen Leute hin, die es schon geschafft haben, eine EMail-Adresse auszutauschen. Typischerweise, indem sie eine Mail bekommen und den Schlüssel darin verwenden. Das macht die Software. Wenn man sich von ihr richtig bedienen läßt…
Insbesondere das Versenden von E-Mails aus dem Browser – das die meisten Nutzer heute (mit weiter steigender Tendenz) verwenden – würde hierdurch erheblich komplizierter.
Ja genau. Jetzt haben wir mal was sensibles zu verschicken, wofür sich ein Browser bestens eignet. Ich warte dann mal auf die ersten DE-Mail-Phishing-Attacken. Lohnt sich noch nicht, gibt ja noch keine Anwender.
Ein weiteres Problem wäre die Aufbewahrung des privaten Schlüssels. Wenn der private Schlüssel des Nutzers verloren ginge (z.B. durch versehentliches Löschen oder einen Hardwaredefekt), hätte er danach keinen Zugriff auf die bereits erhaltenen Nachrichten mehr.
Das ist ein netter Zug. Das hätte ich auch gerne für Haustürschlüssel, Autoschlüssel und sonstige Dinge. Schön, daß unser Staat hier so fürsorglich ist.
Kommen wir zum Finale furioso:
Wäre es sinnvoll, De-Mails generell Ende-zu-Ende zu verschlüsseln?
Nein, denn der Vorteil der Nutzerfreundlichkeit wäre dann dahin. Die Masse aller E-Mail-Nutzer würden De-Mail wegen des dann damit verbundenen technischen Aufwandes nicht nutzen. De-Mail wäre keine Massen-Anwendung für Bürgerinnen und Bürger mehr, sondern eine Nischen-Anwendung für Spezialisten.
Mit Verschlüsselung hat die Antwort nichts zu tun. Die Menschen im Innenministerium haben jedenfalls Sinn für Humor. Die DE-Mail ist eine Massenanwendung wie ein Zahnstocher eine Massenvernichtungswaffe: Für eine Massenanwendung fehlt es an beidem –
an der Masse und an der Anwendung.
Bildquelle: Glassart Tobler