Internet & Web 2.0, News, Recht & Justiz, Wirtschaft
Kommentare 4

Piraten: Dresden blamiert sich mit DE-Mail

Abb.: BMI

Abb.: BMI

Pilotprojekt für eVerwaltung weiter in der Kritik

Dresden, 4. Juli 2014: Nach den Grünen haben sich nun auch die Piraten mit harscher Kritik am Verwaltungs-Pilotprojekt „DE-Mail-City Dresden“ zur Wort gemeldet – und ein besseres Verschlüsselungsverfahren mittels PGP-Technik („Pretty Good Privacy“) gefordert.

Piraten fordern PGP-Verschlüsselung

Eltern haften nicht zwingend für die Piraterie ihrer Kinder im Netz. Abb.: Gustavb, Wikipedia, GNU-Lizenz

Abb.: Gustavb, Wikipedia, GNU-Lizenz

Mit dieser Ankündigung blamiert sich die Stadt Dresden in puncto E-Government gleich mehrfach. Die Webseite der Landeshauptstadt gaukelt etwa eine Verschlüsselung vor, obwohl die DE-Mail- Dienste explizit keine Ende-zu-Ende Verschlüsselung vorsehen. „Statt sich zum Werbepartner des verfehlten erfolglosen Projekts DE-Mail zu machen, sollte Dresden ein Konzept für eine Verifizierungsstelle für PGP-Keys aufbauen und echte Ende-zu-Ende Verschlüsselungsverfahren vorantreiben … Auch die mit der Nutzung verbundene Möglichkeit, dass Behörden ohne richterlichen Beschluss auf Daten zugreifen können, bleibt unerwähnt.“

Telekom und Landeshauptstadt hatten Anfang der Woche Dresden als DE-Mail-City ausgerufen, um hier an praktischen Anwendungsbeispielen digitaler Behördengänge mittels spezieller „DE-Mail“-E-Mail-Adressen – wie sie von der Telekom bisher wie sauer Bier angeboten werden – zu veranschaulichen. Die DE-Mails gelten allerdings als umständlich und kostenträchtig und ihr Sicherheitsgrad ist umstritten. In der kommenden Woche will sich Telekom in Dresden noch einmal ausführlich zu diesen Kritikpunkten äußern. Die hält die DE-Mail-Technik für sicher. Autor: Heiko Weckbrodt

Zum Weiterlesen:

Kommentar: Totgeburt DE-Mail

4 Kommentare

  1. Unreflektiertes Bashen halte ich auch für falsch. So wie ich De-Mail grundsätzlich für falsch halte, da andere westliche Stataten solche natiuonalen Sonderwege nicht brauchen. Der Bund hat aber keine WiBe vorgelegt, die den nationalen Nutzen dieser Sonderbehandlung deutscher Bürger belegte.

    Wenn man De-Mail in Schutz nimmt, sollte man das mit den richtigen Argumenten. In Deutschland hat sich die Verwaltung in einer technischen Trutzburg verbarrikadiert. Entsprechend sinken die E-Governmentnutzungszahlen. De-Mail ist nun eine Mitteln, die Burgmauern zu überwinden. Bei GMX ist es z.B. für den Bürger kostenlos und man kann eine sichere Anmeldung (die braucht man für das Schriftformerfordernis, der einzige Existenzzweck für De-Mail, in verkrüppeltem, abartigen, EU-feindlichen Recht) mit dem Handy machen, muss also nicht weitere tote teure Technopferde wie Qualsig oder Personalausweis besteigen. Man sollte sich allerdings beim ersten Mal auf 15 Min Hotline (gemessen) (First und Second Level Support einrichten 🙂

    „Ende-zu-Ende Verschlüsselung bei De-Mail problemlos von jedem zusätzlich genutzt werden kann – der Anwender wird bei De-Mail nur einfach nicht dazu gezwungen!“

    Das ist so flach Unsinn. Ich nutze seit 1998 S/MIME. Das geht mit De-Mail gar nicht. Es gibt keinen POP3- oder IMAP4-Zugang. Man könnte mit ZIP oder WinRar Dateien der Anhänge verschlüsseln und den Schlüssel getrennt schicken. Geht aber auch nicht, da Verwaltungen das nicht bei der Zugangseröffnung annehmen. Ich befürchte, dass die auch kein verschlüsseltes PGP annehmen. Das muss man also im Einzelfall prüfen. Problemlos ist da gar nichts.

    „Ein Zugriff durch Behörden ohne richterlichen Beschluss eben nicht möglich ist. “

    Das ist so auch falsch. Nach 9/11 wurden in D die Schily-Pakete eingeführt. Ohne richterlichen Beschluss, ohne rechtliches Gehör können Dienste beliebig in Daten in Rechenzentren schnüffeln. Die Mitarbeiter werden bestraft, wenn sie petzen. Die Bürger haben keine Rechte. Die Schily-Pakete sind rigoroser als der Patriot Act in den USA, wo die Bürger Informationsrechte haben. Wegen der kriminelle entarteten Geheimdienste, die auf Gesetze scheissen, immer offener, ist De-Mail ein technisches Fehldesign und hochgradig unsicher.

    Mir persönlich wäre lieber, wenn man in wie in England Dokumente mit einer eingescannten Unterschrift (einfache Signatur im Sinne der EU-Signaturrichtlinie) signieren könnte und dann mit einer einfachen E-Mail Rechtskraft erlangen würde. Strafbare Handlungen sollten dann wie bei Papier im rechtlichen Raum und nicht im technischen Raum mit Pseudosicherheit operiert werden. Bei De-Mail kann man nicht mal wegen Urkundenfälschung strafrechtlich belangt werden, anders als in der Schweiz.

    Mir erschliesst sich nicht der Sinn, dieser deutschnationalen Sonderbehandlung, wenn 200 andere Staaten es anders machen können.

    • Crypt sagt

      Das ist eigentlich genau was ich meine: Viel Bauchgefühl, das einfach mal in die Runde geworfen wird, ohne vorherige Prüfung ob dieses persönliche Gefühl auch den Tatsachen entspricht. Und Polemik sowie Stimmungsmache muss man bei Begriffen wie „in verkrüppeltem, abartigen, EU-feindlichen Recht“ auch nicht lange suchen.

      Aber zu den Inhalten:

      1) Das E-Government Gesetz verpflichtet Behörden nach Bundesrecht dazu seit dem 01.07.2014 verschlüsselte Nachrichten entgegen zu nehmen. Aus meiner Sicht ein guter Schritt, denn diejenigen die Ihre Nachrichten mit einer zusätzlichen Verschlüsselung absichern wollen, die sollten diesbezüglich auch nicht gebremst werden.

      Aber um es noch einmal klar zu sagen: Eine z.B. per PGP verschlüsselte Mail bietet einzig und alleine eine zusätzlichen Integritätsschutz (also einen höheren Schutz vor Mitlesen, bzw. Veränderung von Nachrichten auf dem Transportweg). Damit ist jedoch nicht sicher gestellt wer eine Nachricht, wann und an wen geschrieben hat. Aufgrund dieser Mängel hat eine solche Nachricht auch keine rechtliche Verbindlichkeit. Von der Erfüllung von Formerfordernissen mal ganz abgesehen.

      Dies wird jedoch alles von De-Mail geleistet, unabhängig ob der Absender zusätzlich, persönlich noch einmal verschlüsseln möchte oder nicht.

      Zu den Äußerungen bzgl. angeblichen „Schily-Paketen“ kann ich wirklich nur den Kopf schütteln. Zugriff auf Verbindungsdaten sind ausschließlich aufgrund von gesetzlichen Grundlagen und mit richterlichen Genehmigungen möglich – alles andere ist Illegal und wird strafrechtlich verfolgt.

      • Wo sollen Behörden verpflichtet sein, Verschlüsseltes entgegen zu nehmen? In Deutschland nach dem E-Go­ver­n­ment-Ge­setz sicherlich nicht. Das ist großer Blödsinn. Bei der Zugangseröffnung müsste ja erklärt werden, welche Verschlüsselungsverfahren akzeptabel (operierbar) sind. Die Behauptung, dass Behörden seit dem 1.7.2014 verpflichtet sein, Verschlüsselten anzunehmen, halte ich für Qutsch.
        Mit der Rechtskunde scheint es eh nicht weit her zu sein. Wenn man die Schily-Pakete und die rechtliche Lage nicht kennt, kann man sie auch beurteilen. Die Deinste dürfen nicht nur auf Verbindungsdaten zugreifen, sondern auch auf Inhalte. Mizt ein bisschen Sachkunde wüsste man auch, dass der BND massenhjaft E-Mails durchschnüffeln darf nach Schlüsselworten. Mit den Schily-Paketen ist das auch noch erweitert worden auf Daten, die in RZ herumliegen. Aber was solls. Bei so wenig Sachkunde lohnt das Echauffieren nicht.
        Dem De-Mail wird aber durch solch unsachkundige Meinungsäusserungen noch mehr geschadet als bisher schon.
        „Als Informatiker der sich (auch beruflich) auf dem Bereich der Kryptographie schon seit vielen Jahren bewegt, kann ich dieses De-Mail bashing langsam nicht mehr ertragen.“
        Vielleicht hilft ein Berufswechsel oder Aneignung von Sachkunde oder Beruhigungsmittel.

  2. Crypt sagt

    Als Informatiker der sich (auch beruflich) auf dem Bereich der Kryptographie schon seit vielen Jahren bewegt, kann ich dieses De-Mail bashing langsam nicht mehr ertragen.

    Damit ich nicht falsch verstanden werde: Auch ich sehe bei der Konzeption der De-Mail gewisse Risiken. Diese wurden bisher aber noch nie öffentlich angesprochen, da die Stellungnahmen sowohl von Politikern (die sich offensichtlich nicht wirklich gut mit der Technik auskennen zu der Sie etwas sagen), als auch von CCC wohl lieber auf Polemik und Pauschalkritik (und sei sie auch noch so falsch) zurück ziehen.

    Statt sich einmal wirklich mit dem Thema zu beschäftigen bevor Kritik geäußert wird (was zugegeben sehr aufwendig ist, da die technischen Konzepte für De-Mail sehr umfangreich sind (insbesondere die, die sich mit Sicherheitstechnologie und organisatorischen Maßnahmen beschäftigen)), wird sich immer wieder auf ominöse Experten als Quelle berufen und nicht die tatsächlichen Begebenheiten hinterfragt.

    Wie sonst könnte es sein das überhaupt nicht berücksichtigt wird in all dieser Kritik das:
    – De-Mail für Bürger kostenfrei ist
    – De-Mails bei den Providern eben nicht unverschlüsselt liegen – diese Aussage ist schlichtweg falsch
    – Eine Virenprüfung von Nachrichten die kostenfrei von den Anbietern durchgeführt wird nicht sinnlos ist (und dazu vom Gesetzgeber vorgeschrieben ist)
    – Ende-zu-Ende Verschlüsselung bei De-Mail problemlos von jedem zusätzlich genutzt werden kann – der Anwender wird bei De-Mail nur einfach nicht dazu gezwungen!
    – De-Mail mit dem öffentlichen Verzeichnisdienst eines der bisherigen Hauptprobleme der Ende-zu-Ende Verschlüsselung löst … den gesicherten Schlüsselaustausch
    – Ein Zugriff durch Behörden ohne richterlichen Beschluss eben nicht möglich ist. Diese benötigen explizit einen solchen um Zugriff auf die Verbindungsdaten zu erlangen (und damit nicht auf Inhalte!). Hierzu müsste man nur mal in das TKG bzw. das Telemediengesetz schauen
    – Ende-zu-Ende Lösungen eben auch eine Reihe von Schwachpunkten haben, sofern nicht alle Beteiligten alles richtig machen. Etwas was im Konsumentenbereich wohl kaum zu erwarten ist.

    Ich könnte die Liste hier wirklich noch lange weiter führen von Falschaussagen die immer wieder getätigt werden und offensichtlich kaum mal jemand hinterfragt – wäre ja mit Arbeit verbunden.

    Offensichtlich scheint man mit einfachem dagegen sein immer besser da zu stehen als jemand der versucht Probleme zu lösen. Dabei habe ich sehr früh schon in meinem Leben gelernt: „Wer ein Problem erkennt und nicht an der Lösung des Problems mitwirkt ist Teil des Problems.“

    Vielleicht sollten sich das manche Experten und die die nur nachreden mal zu Herzen nehmen. Schade das die Piraten offensichtlich auch nicht bei der Lösung helfen wollen … ansonsten kann ich mir auch die vielen falschen Behauptungen in diesem Beitrag auch nicht erklären (auch wenn diese natürlich auch mal wieder nur abgeschrieben sind) ^^

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.