WeBLOG
De-Mail: Bullshit made in Germany (27.04.2014)
So nennt das Linus Neumann, ein Sprecher des Chaos Computer Club und im Jahr 2013 zuständig als Sachverständiger für IT-Sicherheit im Innen- und Rechtsausschuss des Deutschen Bundestages. Siehe seinen äusserst interessanten Vortrag beim 30. Kongress (30C3) des CCC.

Eingebettes YouTube-Video:
An dieser Stelle finden Sie einen externen Inhalt, der diese Seite ergänzt. Sie können sich diesen mit einem Klick anzeigen lassen und auch wieder ausblenden. Mit der Anzeige können jedoch personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu erfahren Sie in unserer Datenschutzerklärung. Wenn Sie damit einverstanden sind, lassen Sie sich den Inhalt anzeigen. Mit dem Aktivieren der folgenden Schaltfläche willigen Sie in die Bedingungen ein.


Doch fangen wir von vorne an, denn viele unserer Kunden fragen aktuell bei uns an, ob sie ein De-Mail-Postfach eröffnen sollen. Wir sagen ganz klar NEIN:

Laut dem De-Mail-Gesetz soll der De-Mail-Dienst einen sicheren, vertraulichen und nachweisbaren Geschäftsverkehr sicherstellen – quasi eine rechtssichere elektronische Bürgerpost gewährleisten, die sogar die rechtsverbindliche Übermittlung von Verträgen mit Behörden und Unternehmen erlaubt. Auch die Zustellung von Verordnungen und Bescheiden ist möglich und es gilt die Zustellfiktion des Verwaltungszustellungsgesetzes.

Um ein De-Mail-Konto zu erhalten, müssen sich Nutzer über die Ausweisvorlage identifizieren. Die Abwicklung des Dienstes erfüllen staatlich akkreditierte Provider, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen werden. Dies sind z.B. die Deutsche Telekom AG und die United Internet AG (web.de, GMX, 1&1), welche den Dienst aggressiv bewerben.

So weit so gut. Was bitter aufstösst ist folgendes:

Sicher, vertraulich und nachweisbar ist eine eMail nur dann, wenn eine sog. Point-to-Point-Verschlüsselung stattfindet, d.h. auf dem Weg zwischen Absender und Empfänger ist das Datenpaket sicher verschlüsselt und wird erst beim Empfänger entschlüsselt (siehe eMail-Verschlüsselung). So jedoch nicht bei der De-Mail, denn eine Entschlüsselung erfolgt automatisch beim Dienste-Provider, um den Inhalt angeblich auf Spam oder Schadsoftware untersuchen zu können. Nach dieser „Prüfung“ wird die eMail wieder verschlüsselt und an den Empfänger weitergeleitet. Sprich es handelt sich lediglich um eine Transportverschlüsselung.

Halten wir fest:

  • Der Netzanbieter – und nicht der Bürger -  ist im Besitz der Schlüssel und kann die Inhalte einsehen, manipulieren und weiterreichen. In der IT-Welt spricht man in diesem Fall von einem Backdoor (Hintertür). Diese Abhör-Hintertür eignet sich bestens für Polizei sowie Geheimdienste, um den Bürger auszuspionieren und um staatliche Trojaner auf dem Bürger-Computer einzuschleusen.
    Mitnichten Paranoia: Die US-Beraterfirma CSC (Computer Science Corporation) hat bei der Beratung zur De-Mail mitgewirkt. Laut Edward Snowden arbeitet die CSC u.a. für US-Geheimdienste und hat seinerzeit den Quellcode zum "Bundestrojaner" geprüft. Ferner ist sie laut diversen Pressemitteilungen auch für die Einführung des biometrischen Personalausweises und vieles andere mit verantwortlich (siehe diesen Artikel auf netzpolitik.org).

  • Für Kriminelle ein höchst attraktives Angriffsziel, weil die De-Mails auf einer kleinen Anzahl von Servern (auf dem Silbertablett) gehostet sind. Darüber hinaus kann eine eingeschleuste Schadsoftware, die der Virenscanner nicht kennt, quasi staatlich "virengescannt" und "sanktioniert" über die angeblich saubere eMail an den Empfänger ausgeliefert werden. Der Angreifer kann dies beliebig oft ausprobieren, indem er sich selbst eine manipulierte De-Mail sendet, um festzustellen, ob seine Malware erkannt wird. Für einen personenbezogenen Angriff somit bestens geeignet.

  • Der Nachweis zur Sicherstellung der Identität des Absenders und der Authentizität der Nachricht wird nicht etwa über vielfach bewährte elektronische Signaturen übernommen (z.B. beim Elektronischen Gerichts- und Verwaltungspostfach EGVP der Fall), sondern über eine Bestätigung des akkreditierten Providers (ja, Sie haben richtig gelesen!).

Fazit zur Sicherheit, Vertraulichkeit und Nachweisbarkeit der De-Mail:

Die De-Mail ist technisch unsicher und wurde lediglich amtlich, per gesetzlicher Verordnung als sicher erklärt! Ein solcher „Sicherheitsstandard“ ist vergleichbar mit dem Versand einer Postkarte – also mehr als lächerlich sowie grob fahrlässig (siehe § 203 StGB) - und würde in der Industrie bzw. Geschäftswelt oder von (Berufs-)Geheimnisträgern niemals akzeptiert werden. Der Elan zur großspurigen Bewerbung der Maßnahme seitens der Anbieter und des Staates ist bei der technischen Umsetzung des Sicherheitsversprechens gänzlich auf der Strecke geblieben.

Man könnte bzw. muss angesichts der unsäglichen Stümperhaftigkeit der technischen Umsetzung gar Absicht unterstellen. Denn das gesetzlich festgeschriebene Gebot, alles technisch Mögliche für bestimmte Übermittlungen (z.B. Sozial-, Justiz- oder Steuerdaten) zu tun (dies kann nur eine Ende-zu-Ende-Verschlüsselung sein), wurde einfach gesetzlich "berichtigt" anstatt geeignete technische Verfahren zu realisieren:

Kurzerhand hat man erklärt, dass eine Übermittlung per De-Mail kein Übermitteln mehr ist und deshalb auch die gebotenen Sicherheitsmassnahmen für eine Übermittlung nicht greifen müssen. In § 67 des Sozialgesetzbuch heisst es nun "...das Senden von Sozialdaten durch eine De-Mail-Nachricht an die jeweilig akkreditierten Diensteanbieter - zur kurzfristigen automatisierten Entschlüsselung... - ist kein Übermitteln...".

Oder Entschlüsseln ist kein Entschlüsseln..wie in § 87a der Abgabenordnung zur Elektronischen Kommunikation zum Ausdruck kommt: "...Die kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter...verstösst nicht gegen das Verschlüsselungsgebot...".

Kein Kabarett, sondern Gesetz - Realsatire pur. Wäre das Ganze nicht so ernst, könnte man herzlich darüber lachen!

Dabei wäre die Einführung der De-Mail eine echte Chance gewesen, es richtig zu machen, d.h. auch für unversierte Anwender eine wirklich sichere Möglichkeit für den eMail-Verkehr zu schaffen aber offensichtlich will sich der Staat nicht selbst aussperren und das Heft in der Hand halten. Anders sind die gesetzlichen Widersprüche und Verrenkungen sowie halbherzige Umsetzung mit vorsätzlich eingebauter Hintertür nicht zu erklären...:-(


Weitere Fallstricke der De-Mail für den Bürger:

  • Schickt eine Behörde eine Verordnung oder ein Bescheid an den Bürger, greift die sog. Zustellfiktion, d.h. die eMail gilt wie bei der Papierpost nach drei Tagen als zugestellt, unabhängig davon, ob der Empfänger sein De-Mail-Postfach öffnet. Anders als bei der Papierpost gilt die Drei-Tage-Frist auch an Sonn- und Feiertagen.

  • Will der Bürger nachweisen, dass eine Nachricht seitens der Behörde sein De-Mail-Postfach erst gar nicht erreicht hat, reicht die Glaubhaftmachung einer nicht erfolgten oder verspäteten Zustellung wie bei der Briefpost NICHT mehr aus, weil die Behörde nun ein sog. "Vollbeweis" einfordert. Genauso verhält es sich bei ausgehenden De-Mails an eine Behörde. Sprich der Bürger übernimmt „freiwillig“ die volle Beweislast!

tl;dr

De-Mail ("Bullshit made in Germany") ist eine Mogelpackung und komplett überflüssig, weil diese zum einen technisch unsicher ist und zum anderen immense Risiken - auch rechtlicher Natur - für den Bürger birgt. Das Vertrauen in den Staat und seine IT-Kompetenz wird so nicht besser, sondern ad absurdum geführt.
Kommentieren