Schlagwort-Archive: E-Postbrief

Webkonferenz zum E-Postbrief online

Heute wurde mir vom Serviceteam E-Postbrief mitgeteilt, dass der Video-Mitschnitt zur Web-Konferenz vom 25.08.2010 veröffentlicht wurde. Das 10-teilige Video kann auf YouTube angesehen werden.

Die Post hat dazu noch auf folgende Blog-Beiträge hingewiesen:

Quelle: Deutsche Post AG, auf YouTube.

Meine Fragen wurden in folgenden Teilen behandelt:

  • Unterstützung für Standardprotokolle SMTP/POP3/IMAP:  Teil 4, Minute 02:06
    Mein Nachtrag: Ich hoffe nicht, dass ein Plugin kommt, das nur im unsicheren und unseligen Outlook funktioniert. Ich meinte schon Standards, also Unterstützung für alle gängigen Email-Clients. Das sollte bei Verwendung von SSL/TLS kein Problem sein, was ähnlich funktioniert wie die Verschlüsselung im Web-Client.
  • Vorratsdatenspeicherung 1:  Teil 5, Minute 02:22
  • Vorratsdatenspeicherung 2:  Teil 5, Minute 06:40
    Mein Nachtrag: Also werden Verbindungsdaten von E-Postbriefen wohl auf Vorrat gespeichert, sollte die Bundesregierung ein neues Gesetz zur Vorratsdatenspeicherung verabschieden. Das hatte ich auch erwartet, und insofern ist meine These, dass der E-Postbrief dadurch natürlich weniger sicher und vertraulich als ein normaler Brief ist, bestätigt worden.
  • Kompetenz und Vertrauen im Bereich der elektronischen Kommunikation:  Teil 10, Minute 01:49

Weitere Anmerkungen von mir zu anderen besprochenen Themen:

  • Es wurde erwähnt, dass der TÜV NORD die Sicherheit beim E-Postbrief zertifizieren würde. Hm, das scheint mir keine hinreichende Bestätigung der Sicherheit zu sein. Welchen Wert ein TÜV-Zertifikat hat, konnten wir z.B. bei einem Datenleck für SchülerVZ oder bei Libri sehen.
  • In Teil 7 zur Minute 04:02 wurde die Frage gestellt, wer Zugriff auf den zur Zusatz-Sicherung der Daten nötigen (geheimen) Schlüssel hat. Das wurde beantwortet in etwa mit „Wesentlicher Bestandteil unseres Sicherheitskonzeptes ist es, Detailfragen zur Sicherheit nicht (unbedingt) in der Öffentlichkeit zu beantworten“. Gelinge gesagt ist das ein starkes Stück und zielt auf das schon fast ausgerottete  Security by Obscurity. So geht es nicht, liebe Post. Es sollte öffentlich klar sein, wer meine verschlüsselten E-Postbriefe lesen kann, und sei es auch von staatlichen Sicherheitsorganen.

Chaosradio CR159 – Digitale Postkarten

Die aktuelle Chaosradio Ausgabe CR159 steht unter dem Titel „Digitale Postkarten“ und berichtet „über die Versuche, elektronische Post staatlich zu organisieren und kostenpflichtig zu machen“. Damit sind die Dienste De-Mail und E-Postbrief gemeint.

Demnach sind weitere Nachteile der „Bezahlmail“-Dienste, die ich noch nicht genannt hatte:

  • Die digitalen Postkarten gelten spätestens 3 Tage nach Ablage der Nachricht in der Mailbox als zugestellt. Das ist in der analogen Welt, verglichen mit einem Einschreiben, nicht so. Dort wird darauf geachtet, dass ich persönlich das Einschreiben in den Händen halte. Erst dann beginnen Fristen. Bei den elektronischen Varianten liegt die Mailbox zudem bei einem privatwirtschaftlichen Anbieter und damit außerhalb meines Machtbereichs.
  • De-Mail & Co. sollen keine Dokumente ersetzen, die der Schriftform unterliegen. Die dafür nötige qualifizierte elektronische Signatur ist indes heute schon möglich, wird jedoch bei De-Mail & Co. nicht angewandt. Wozu also De-Mail ?

Eine schöne Zusammenfassung der Problematik mit De-Mail und E-Postbrief bietet Heise in der aktuellen c’t unter dem Titel „Elektronische Einschreiben„, wobei der Schlusssatz es auf den Punkt bringt:

Während Unternehmen und Behörden viel Porto sparen, bekommen Privatkunden mehr Pflichten aufgebürdet als bei der Zustellung der Papierpost und müssen einem System vertrauen, von dem noch nicht bekannt ist, ob es wirksam gegen Angriffe und Spam-Attacken geschützt ist und die Korrespondenz dort sicher aufgehoben ist.

Quelle CR159: Chaosradio

De-Mail und E-Postbrief

In den letzten Tagen wurden mit De-Mail und E-Postbrief zwei neue Email-Dienste für Endkunden gestartet, wobei im ersten Schritt eine Registrierung einer persönlichen Adresse vorgenommen werden kann. Beide Dienste versprechen dem Kunden eine sichere und vertrauliche Kommunikation per Email. De-Mail ist auf elektronische Kommunikation privater Kunden mit Behörden und der Privatwirtschaft ausgelegt, wohingegen der E-Postbrief eine Schnittstelle zur analogen Briefwelt bietet und Behörden zunächst außen vor lässt. De-Mail wird gesetzlich vom Staat unterstützt. Der E-Postbrief ist eine privatwirtschaftliche Dienstleistung der Deutschen Post. Soweit eine kurze Erklärung, nähere Infos sind in den Wikipedia-Artikeln zu De-Mail und E-Postbrief zu finden.

Beide Dienste werden jedoch von Experten und Netzgemeinde ziemlich kritisch gesehen, und das zu Recht. Bei De-Mail gibt es massive Bedenken hinsichtlich des Datenschutzes und der Rolle des Staates, der sich in die elektronische Kommunikation seiner Bürger einschaltet. Der Staat (oder besser gesagt die Regierung) hat in den letzten Jahren sehr viel Vertrauen verspielt bei der Netzgemeinde, da er das Internet nicht als Mittel der freien Kommunikation, sondern eher als Raum ansieht, den es zu kontrollieren gilt.

Meine wesentlichen Kritikpunkte an De-Mail sind:

  1. Umkehrung der Beweislast: Der Kunde (also ich) bin z.B. in der Pflicht, eine Nicht-Zustellung zu beweisen.
  2. Was „rechtssichere Kommunikation“ für den Kunden bedeutet, wird nicht transparent erklärt. Das bringt auch viele Nachteile für den Kunden. Ergibt sich wirklich mehr Sicherheit für mich?
  3. Die Verschlüsselung ist nicht Ende-zu-Ende. Provider und Staat können mitlesen (und manipulieren).
  4. Wenn meine digitale Email-Identität (Unterschrift) in falsche Hände gerät, kann derjenige fröhlich für mich Verträge etc. abschließen. Die Beweislast liegt dann bei mir.
  5. Die Email-Adresse ändert sich, wenn ich zu einem anderen Provider wechsele.

Meines Erachtens müsste die Rolle des Staates darauf reduziert werden, eine Instanz für beglaubigte digitale Zertifikate aufzubauen (so ähnlich wie CAcert). Die sichere elektronische Kommunikation könnte dann von Jedermann mit bestehenden Email-Adressen mittels Standardprotokollen wie S/MIME oder PGP abgewickelt werden. Das würde auch heute schon funktionieren, aber besonders Banken und Wirtschaft haben das bis heute nicht verstanden und umgesetzt. Aber freilich hätte der Staat dann keine Möglichkeit, in die Kommunikation seiner Bürger einzusehen, denn durchgängiges S/MIME oder PGP wäre wirklich sicher. Siehe auch mein Posting zu De-Mail von Februar 2009.

Auch der E-Postbrief hat sein Fett bereits abbekommen. Hohe Kosten, sehr dubiose AGBs (Pflicht zur täglichen Postfachprüfung) und die fehlende Ende-zu-Ende Verschlüsselung sind hier zu nennen. Prädikat: unbrauchbar.

Weitere Infos:

Nachtrag 22.07.2010 zum Thema Sicherheit von De-Mail:

Nachtrag 24.07.2010 zum Thema AGB beim E-Postbrief:

Nachtrag 26.07.2010 zum Thema De-Mail:

Nachtrag 28.-29.07.2010 zum Thema De-Mail

Nachtrag 29.07.2010 zum Thema E-Postbrief:

Nachtrag 03.08.2010 zum Thema De-Mail:

Nachtrag 12.08.2010 zum Thema E-Postbrief: