De-Mail oder: Unsicherheit per Gesetz

19. März 2013 - 12:52 |

De-Mail ist von Anfang an eine Fehlplanung gewesen. Theoretisch soll es eine sichere, vertrauliche und nachweisbare Kommunikation im Internet ermöglichen. Gut soweit, dafür gibt es ein paar erprobte und zuverlässige Standards. Nun ist der Dienst aber so angelegt, dass er weder sicher, noch vertraulich noch nachweisbar ist - die übertragenen Daten werden beim Provider entschlüsselt, wieder neu verschlüsselt und weiter übertragen. Damit kann beim Provider Einsicht in die Daten genommen werden und die Daten können verändert werden.
Das ist insoweit unglaublicher Schwachsinn, als es zig erprobte und kryptografisch sichere Verfahren für eine Ende-zu-Ende-Verschlüsselung gibt. Oder, anders ausgedrückt: Installiert euch OpenPGP/gnuPG, verschlüsselt eure Emails damit und verschickt sie ganz normal. Es ist sicherer, vertraulicher und nachweisbarer. Aber okay, zurück zum Thema.

De-Mail ist ein Flop. Es ist umständlich, teuer und erfüllt seine banalsten Anforderungen nicht. Niemand nutzt es wirklich. Das will die Bundesregierung ändern und Behörden zwingen, auf De-Mail zu setzen - immerhin wurde jetzt schon viel Geld verschleudert, da will man sich nicht lumpen lassen und noch mehr Geld verschleudern. Jetzt gibt es aber ein Problem: Die Übermittlung von Steuerdaten müsste tatsächlich sicher erfolgen. Also weigern sich die Finanzämter, auf De-Mail zu setzen. Gut soweit, da hat jemand aufgepasst.

Und was macht jetzt die Bundesregierung? Also ein sinnvoller Schritt wäre, dass man den De-Mail-Standard wegwirft. Dann kann man ihn sinnvoll neu aufbauen (Tipp am Rande: Mal mit Krypto-Experten reden und nicht nur mit PR-Beratern!). Oder zumindest eine Ende-zu-Ende-Verschlüsselung sinnvoll einbauen. Aber nein, wir reden ja von der Bundesregierung. Anstatt jetzt also auf eine sichere Übertragung zu setzen, ändert sie die Abgabenordnung, damit die unsichere, unvertrauliche und verfälschbare Übermittlung via De-Mail doch erlaubt wird.

Liebe Bundesregierung ... setzen, Sechs. Absolute Ahnungslosigkeit von Kryptografie ist keine Entschuldigung für soviele Fehler in Folge. Es gab mehr als genug Menschen, die euch auf die Probleme hingewiesen haben. Hört auf sie. Und dieses Mal bitte BEVOR in der BILD-Zeitung steht, dass Steuerdaten über einen Fehler beim Provider bei eBay gelandet sind. Danke.

Blog reactions

No reactions yet.

Creative Commons Attribution 3.0 Germany
This Work, De-Mail oder: Unsicherheit per Gesetz, by Sebastian Nerz is licensed under a Creative Commons Attribution license.

Flattr
  1. Paul Quitte (nicht überprüft) on 23. März 2013 - 0:46

    ... in den letzten Tagen finden sich viele Kommentare zu De-Mail in diversen Foren, Blogs, etc., die das Gespenst der Datenunsicherheit und des Überwachungsstaates an die Wand malen.

    Ich habe mich in den letzten Wochen mit De-Mail befasst und kann die Beiträge nicht recht nachvollziehen. Ist der allseits anerkannte Briefweg sicherer? Sind die Zertifizierungen der De-Mail Anbieter, in denen sie nachweisen, dass ein mißbräuchlicher Zugriff auf die Daten wenn überhaupt nur via organisierter Kriminalität möglich ist, nichts wert? Ist die Tatsache, dass eine Ende zu Ende Verschlüsselung auch bei De-Mail von jedem Absender-/Empfänger-Päärchen ohne weiteres nutzbar ist, überhaupt verstanden worden?

    Beiträge wie Ihrer scheinen mir eher idelogisch motiviert und ggf. von bestimmter Seite finanziell unterstützt...

    Gruß
    Paul Quitte

  2. tirsales on 24. März 2013 - 17:10

    Hallo Herr Quitte,

    Die DE-Mail soll ein sicheres, nachweisbares, vertrauliches Kommunikationssystem sein - im Gegensatz zur normalen Email. Nur ist sie genau das eben nicht. Sie ist kein Stück sicherer, als es eine normale E-Mail ist, bei der eine Verschlüsselung von Kunde zu Provider, Provider zu Kunde genutzt wird - und das ist der heutige De-Facto-Standard. Nur ist sie eben bedeutend teurer für den Kunden.
    Und eine Ende-zu-Ende-Verschlüsselung ist bei E-Mail auch nutzbar - Verfahren wie S/Mime oder PGP sind seit vielen Jahren Standards und weit verbreitet.

    Wenn nun aber die DE-Mail keinerlei Sicherheitsgewinn bringt - aber dafür höhere Kosten ... wem sollte man dann die "cui bono"-Frage stellen?

    Dass der Staat nun Sicherheitsrichtlinien aufweicht, damit dieses Verfahren genutzt werden kann, ist eine Frechheit.

    Grüße,

    Sebastian Nerz

  3. Paul Quitte (nicht überprüft) on 29. März 2013 - 14:35

    Hallo Herr Nerz,

    vielen Dank für die Antwort - die m.E. nicht richtig ist. Bei einer normalen E-Mail ist doch nicht klar, wer Absender und Empfänger sind, somit ist sie im Gegensatz zu einer De-Mail nicht nachweisbar. Und was die Verschlüsselung betrifft: normale E-Mails sind m.W. nicht durchgehend transportverschlüsselt, sondern haben den vielzitierten Postkarten-Charakter - alles für jedermann einsehbar eben.

    Ich denke, es ist schlicht falsch, die De-Mail auf eine Stufe mit der E-Mail zu stellen.

    Habe mich weiterhin einmal mit den Intentionen des Gesetzgebers befasst: man wollte also ein elektronisches Medium, das den Brief substituieren kann. Es sollte massentauglich sein. Das ist soweit ich es verstehe doch gelungen. Oder glauben Sie ernsthaft, Otto Normalbürger sei in der Lage, die immer wieder genannten e2e-Verschlüsselungs-Lösungen einzusetzen?

  4. tirsales on 1. April 2013 - 20:23

    Ja, die DE-Mail sollte den Brief ersetzen - und ein Brief ist vom Absender bis zum Empfänger verschlossen. Die DE-Mail ist es nicht.

    Und es stimmt, dass die meisten Menschen keine e2e-Verschlüsselung einsetzen. Aber genau deshalb ist es ein Problem, dass die DE-Mail nicht sicher angelegt ist.

    Es wäre trivial gewesen, die DE-Mail korrekt auszuführen. Aber der Gesetzgeber hat (mal wieder) schlicht nicht auf die Experten gehört. Und genau deshalb Unsinn fabriziert.

    Lassen Sie mich noch einmal ganz kurz die Timeline nachbauen:

    1. Der Gesetzgeber beschließt die DE-Mail. GEGEN den ausdrücklichen Rat der Experten ohne Ende-zu-Ende-Verschlüsselung

    2. Der Gesetzgeber verordnet die Verwendung der DE-Mail in Behörden - weil es sonst niemand macht. Die DE-Mail ist faktisch gescheitert.

    3. Die Finanzbehörde stellt fest, dass die DE-Mail zu unsicher ist.

    Nun hat der Gesetzgeber zwei Möglichkeiten ... er kann (trivial) die DE-Mail umbauen. Das wäre nicht besonders schwierig. Oder er kann die Unsicherheit per Gesetz verordnen.

    Tja.. Nachteile gibt es durch die Korrektur eigentlich keine. Nur hätte der Gesetzgeber einräumen müssen, dass es einen Fehler gab. Und den gibt es - wie neben allen Experten auch die Finanzbehörden festgestellt haben. Aber das wollte der Gesetzgeber nicht. Tja...

  5. Paul Quitte (nicht überprüft) on 3. April 2013 - 12:24

    Hallo Herr Nerz,

    ich habe nicht verstanden, wie der Gesetzgeber Ihrer Meinung nach die Ende zu Ende Verschlüsselung umsetzen sollte, ohne in genau die Falle zu laufen, die bei allen heutigen Verschlüsselungsverfahren besteht: sie sind viel zu kompliziert, als dass sich mit Ihnen die breite Öffentlichkeit erreichen ließe. Ich halte diesen Punkt für vollkommen überbewertet. Aber da werden wir wohl keinen gemeinsamen Nenner finden.

    An einem anderen Punkt bin ich Ihrer Meinung: der Gesetzgeber sollte die Anbieter von der Pflicht zur Schadsoftware-Prüfung befreien; hier kommt es ja scheinbar kurzfristig zur Entschlüsselung.

    Dann wäre doch alles gut: sicheres Verfahren, Ersatz für den lästigen Brief (der übrigens alles andere als sicher ist und in den Briefverteilzentren der Post ja offen zugänglich ist...).

    Viele Grüße
    Paul Quitte

  6. tirsales on 17. April 2013 - 19:20

    Hallo Herr Quitte,

    nochmal eine kleine Ergänzung, vielleicht ist der folgende Artikel ja für Sie interessant: http://www.heise.de/security/artikel/Wertvolle-Daten-verdienen-mehr-Schu...

    Viele Grüße,

    Sebastian Nerz

  7. tirsales on 3. April 2013 - 16:32

    Hallo Herr Quitte,

    zentrale Zertifikatstellen, automatisch generierte S/MIME-Zertifikate, etc - Möglichkeiten dafür gäbe es durchaus einige. Es wurden ja auch während der Debatte um die DE-Mail Vorschläge gemacht.

    Viele Grüße,

    Sebastian Nerz