Dieser einstündige Vortrag „Bullshit made in Germany“ vom 30C3 befasst sich vor allem mit den Defiziten von De-Mail aber auch mit „Email made in Germany“, „Schlandnet“ und der Deutschland Cloud.
Weiterlesen
Schlagwort-Archive: De-Mail
Chaosradio CR159 – Digitale Postkarten
Die aktuelle Chaosradio Ausgabe CR159 steht unter dem Titel „Digitale Postkarten“ und berichtet „über die Versuche, elektronische Post staatlich zu organisieren und kostenpflichtig zu machen“. Damit sind die Dienste De-Mail und E-Postbrief gemeint.
Demnach sind weitere Nachteile der „Bezahlmail“-Dienste, die ich noch nicht genannt hatte:
- Die digitalen Postkarten gelten spätestens 3 Tage nach Ablage der Nachricht in der Mailbox als zugestellt. Das ist in der analogen Welt, verglichen mit einem Einschreiben, nicht so. Dort wird darauf geachtet, dass ich persönlich das Einschreiben in den Händen halte. Erst dann beginnen Fristen. Bei den elektronischen Varianten liegt die Mailbox zudem bei einem privatwirtschaftlichen Anbieter und damit außerhalb meines Machtbereichs.
- De-Mail & Co. sollen keine Dokumente ersetzen, die der Schriftform unterliegen. Die dafür nötige qualifizierte elektronische Signatur ist indes heute schon möglich, wird jedoch bei De-Mail & Co. nicht angewandt. Wozu also De-Mail ?
Eine schöne Zusammenfassung der Problematik mit De-Mail und E-Postbrief bietet Heise in der aktuellen c’t unter dem Titel „Elektronische Einschreiben„, wobei der Schlusssatz es auf den Punkt bringt:
Während Unternehmen und Behörden viel Porto sparen, bekommen Privatkunden mehr Pflichten aufgebürdet als bei der Zustellung der Papierpost und müssen einem System vertrauen, von dem noch nicht bekannt ist, ob es wirksam gegen Angriffe und Spam-Attacken geschützt ist und die Korrespondenz dort sicher aufgehoben ist.
Quelle CR159: Chaosradio
De-Mail und E-Postbrief
In den letzten Tagen wurden mit De-Mail und E-Postbrief zwei neue Email-Dienste für Endkunden gestartet, wobei im ersten Schritt eine Registrierung einer persönlichen Adresse vorgenommen werden kann. Beide Dienste versprechen dem Kunden eine sichere und vertrauliche Kommunikation per Email. De-Mail ist auf elektronische Kommunikation privater Kunden mit Behörden und der Privatwirtschaft ausgelegt, wohingegen der E-Postbrief eine Schnittstelle zur analogen Briefwelt bietet und Behörden zunächst außen vor lässt. De-Mail wird gesetzlich vom Staat unterstützt. Der E-Postbrief ist eine privatwirtschaftliche Dienstleistung der Deutschen Post. Soweit eine kurze Erklärung, nähere Infos sind in den Wikipedia-Artikeln zu De-Mail und E-Postbrief zu finden.
Beide Dienste werden jedoch von Experten und Netzgemeinde ziemlich kritisch gesehen, und das zu Recht. Bei De-Mail gibt es massive Bedenken hinsichtlich des Datenschutzes und der Rolle des Staates, der sich in die elektronische Kommunikation seiner Bürger einschaltet. Der Staat (oder besser gesagt die Regierung) hat in den letzten Jahren sehr viel Vertrauen verspielt bei der Netzgemeinde, da er das Internet nicht als Mittel der freien Kommunikation, sondern eher als Raum ansieht, den es zu kontrollieren gilt.
Meine wesentlichen Kritikpunkte an De-Mail sind:
- Umkehrung der Beweislast: Der Kunde (also ich) bin z.B. in der Pflicht, eine Nicht-Zustellung zu beweisen.
- Was „rechtssichere Kommunikation“ für den Kunden bedeutet, wird nicht transparent erklärt. Das bringt auch viele Nachteile für den Kunden. Ergibt sich wirklich mehr Sicherheit für mich?
- Die Verschlüsselung ist nicht Ende-zu-Ende. Provider und Staat können mitlesen (und manipulieren).
- Wenn meine digitale Email-Identität (Unterschrift) in falsche Hände gerät, kann derjenige fröhlich für mich Verträge etc. abschließen. Die Beweislast liegt dann bei mir.
- Die Email-Adresse ändert sich, wenn ich zu einem anderen Provider wechsele.
Meines Erachtens müsste die Rolle des Staates darauf reduziert werden, eine Instanz für beglaubigte digitale Zertifikate aufzubauen (so ähnlich wie CAcert). Die sichere elektronische Kommunikation könnte dann von Jedermann mit bestehenden Email-Adressen mittels Standardprotokollen wie S/MIME oder PGP abgewickelt werden. Das würde auch heute schon funktionieren, aber besonders Banken und Wirtschaft haben das bis heute nicht verstanden und umgesetzt. Aber freilich hätte der Staat dann keine Möglichkeit, in die Kommunikation seiner Bürger einzusehen, denn durchgängiges S/MIME oder PGP wäre wirklich sicher. Siehe auch mein Posting zu De-Mail von Februar 2009.
Auch der E-Postbrief hat sein Fett bereits abbekommen. Hohe Kosten, sehr dubiose AGBs (Pflicht zur täglichen Postfachprüfung) und die fehlende Ende-zu-Ende Verschlüsselung sind hier zu nennen. Prädikat: unbrauchbar.
Weitere Infos:
- Deutsche Post steigt in E-Mail-Geschäft ein (Heise)
- Rechtssichere Bürger-E-Post De-Mail: Besonderheiten und Fallstricke (Heise)
- Bürger können erste De-Mail-Postfächer vorregistrieren (Heise)
- Telekom startet Registrierung für rechtssichere De-Mail (Heise)
- Always on dank E-Postbrief! (netzpolitik.org)
- E-Postbrief: Briefe per Mail verschicken (Stiftung Warentest)
- Rechtliche Bewertung der Zustellmodalitäten bei De-Mail und E-Postbief (ferner-alsdorf.de)
Nachtrag 22.07.2010 zum Thema Sicherheit von De-Mail:
- In den Kommentaren auf netzpolitik.org zum Beitrag De-Mail: Freund liest mit? kann man sehr schön die von mir angesprochene Problematik einer fehlenden Ende-zu-Ende Verschlüsselung erkennen.
- Und auch zum Tagesschau-Artikel Zweifel an Sicherheit des elektronischen Briefes gibt es mehr oder weniger treffende Kommentare.
Nachtrag 24.07.2010 zum Thema AGB beim E-Postbrief:
- Der E-Postbrief – Die Gelbe Gefahr? (gutjahr’s blog)
- Interview mit Rechtsanwalt Udo Vetter von lawblog.de (YouTube)
- Kritik am E-Postbrief wächst (Heise)
Nachtrag 26.07.2010 zum Thema De-Mail:
- Anwälte kritisieren De-Mail (Heise)
Nachtrag 28.-29.07.2010 zum Thema De-Mail
- Sicherheitsunternehmen kritisieren De-Mail (Heise)
- VZBV zu DE-Mail: Nachteile für Verbraucher überwiegen deutlich (netzpolitik.org)
Nachtrag 29.07.2010 zum Thema E-Postbrief:
- E-Postbrief: Guter Vorsprung oder schlechter Frühstart? (teltarif.de)
Nachtrag 03.08.2010 zum Thema De-Mail:
- Notare und Anwälte gemeinsam gegen De-Mail (Heise)
- Elektronische Einschreiben (Heise, c’t 17/10)
Nachtrag 12.08.2010 zum Thema E-Postbrief:
- E-Postbrief: Nicht ausgereift (Stiftung Warentest)
De-Mail
Der Bund möchte jedem Bundesbürger eine De-Mail Email-Adresse anbieten, mit der angeblich sicher kommuniziert werden kann. Der Service soll vor allem zur Kommunikation mit Behörden und der Privatwirtschaft genutzt werden, aber auch einen Datensafe für Dokumente beinhalten. Dazu wurde eigens ein Bürgerportalgesetz entworfen. Mehr Infos dazu bei Heise.
Folgende Punkte erscheinen mir bei diesem Projekt besonders erwähnenswert und diskussionswürdig:
1) Die Verschlüsselung soll wohl nicht Ende-zu-Ende stattfinden, sondern nur zwischen beteiligten Providern, Firmen und Behörden. Das bedeutet, dass Vertraulichkeit und Integrität der Kommunikationsinhalte nicht wirklich gewährleistet werden kann, da zwischen Sender und Empfänger die Inhalte teilweise im Klartext vorliegen. Besonders bei Betrachtung der vielen Sicherheits- und Datenschutzskandale der letzten Zeit ist das schon bedenklich. Oder vertraut Ihr dem Bundesinnenministerium und Firmen wie der Telekom, mit Euren privaten Daten sorgsam umzugehen ? Prima ins Bild passt auch der Plan, dass zukünftig das BSI verstärkt die Kommunikation der Bürger mit Behörden überwachen dürfen soll.
2) Das Bundesinnenministerium gibt zu, dass die Kommunikationsinhalte vom Staat trotz Verschlüsselung eingesehen werden können. Natürlich nur nach richterlichem Beschluss, sagt man. Das legt den Schluss nahe, dass der Staat einen „Generalschlüssel“ hat, um an alle Informationen zu kommen. Ein Schelm, wer Böses dabei denkt …
3) Schon heute existieren mit S/MIME und PGP zwei sehr sichere Methoden, seine Emails zu verschlüsseln und/oder vor Manipulation zu schützen. Allein deren Anwendung ist bisher noch nicht verbreitet, da ein erhöhter administrativer Aufwand für den Anwender damit verbunden ist. Näheres dazu in meinen Wiki.
Meines Erachtens wäre die konsequente Verwendung dieser Methoden bei weitem sicherer als De-Mail. Jedoch sind diese Verfahren dem Staat wohl zu sicher, da eine Entschlüsselung praktisch ausgeschlossen ist. Dabei empfiehlt der Staat in Form des BSI diese Methoden ausdrücklich ([1],[2]) und hat sogar an verschiedenen Tools mitgewirkt. Die Aufgabe des Staates sollte es sein, genau diese etablierten Verfahren mit geeigneter Infrastruktur zu unterstützen.
4) Derzeit zwar nur als freiwillige Leistung gedacht, könnte De-Mail eines Tages zur Pflicht werden, um z.B. mit Behörden und Firmen zu kommunizieren. Das wäre für den Datenschutz und unsere Freiheit sehr unschön, denn der Staat hätte damit das Monopol auf große Teile unserer Kommunikation mit der Möglichkeit, diese an nahezu zentraler Stelle mit Hilfe der privatenwirtschaftlichen Partner zu überwachen.
5) Die Entwicklung könnte schlimmstenfalls sogar dahin gehen, dass der Staat ein Kryptoverbot ausspricht, da ja jeder mit Hilfe des Bürgerportals bereits sichere Kommunikation betreiben kann. Alles schön unter staatlicher Kontrolle.
Weitere Meldungen dazu:
- Datenschützer und Opposition kritisieren Mängel bei De-Mail (magnus.de)
- No De-Mail (ravenhorst Blog)
- Gesicherter Datendienst „De-Mail“ ab 2010 (Tagesschau)
- De-Mail – E-Mail für Behörden kommt 2010 (Focus)
- Bürger-E-Post De-Mail soll „geprüfte statt geglaubte Sicherheit“ bringen (Heise)
- Bürgerportale – eine Infrastruktur für sichere Kommunikation (BSI)
- Editorial: Sicher für wen? (teltarif.de)