Internet & Web 2.0, News, Recht & Justiz
Kommentare 3

Dresdner eVerwaltung per „DE-Mail“ angreifbar

Abb.: hw

Abb.: hw

IT-Sicherheitsexperte gibt Kritikern Recht: DE-Mail ohne End-zu-End-Verschlüsselung

Dresden, 10. Juli 2014: Das spezielle E-Mail-System „DE-Mails“, auf denen das kürzlich von Telekom und Stadtverwaltung Dresden gestartete Pilotprojekt „DE-Mail-City Dresden“ basiert, hat Sicherheitsdefizite und bietet Angriffspunkte für Missbrauch und Ausspähung. Das hat IT-Sicherheitsexperte Torsten Weckbrodt* auf Oiger-Anfrage eingeschätzt. Unter anderem bestätigt er die Kritik der Dresdner Grünen und Piraten, das DE-Mail-System biete keine End-zu-End-Verschlüsselung.

Schlüssel hat die Telekom

„Die Schlüsselhoheit liegt in diesem Fall bei der Telekom“, betonte der Informationssicherheits-Projektleiter der „TÜV Rheinland“-Tochter „i-sec“. Denn anders als beim Kodierungssystem „Pretty Good Privacy“ (PGP), bei dem nur Endbenutzer den für die Entschlüsselung entscheidenden privaten Kode-Schlüssel hat, liegen die Schlüssel hier auf Rechnern, auf die die Telekom zugreift. In der Praxis heißt das: Der Bürger sendet und empfängt zwar Anträge und Bescheide verschlüsselt zur Behörde, mit der er elektronisch kommuniziert, aber auf dem Weg dorthin werden die Nachrichten ent- und wieder verschlüsselt – was natürlich eine Schwachstelle in der Sicherheitskette ist.

Auch Angriffe per “Social Engineering” möglich

Auch organisatorisch sieht Torsten Weckbrodt Schwächen. So bestehe beispielsweise die Gefahr, dass Angreifer so viele Informationen per „Social Engineering“ über Telekom-Mitarbeiter in Schlüsselpositionen erlangen, dass damit ein Zugriff auf die zwischenzeitlich unkodierten DE-Mails möglich wäre.

Fallstrick „Druck“

Abb.: BMI

Abb.: BMI

Auch rechtlich könne es für Bürger praktische Probleme aufwerfen, wenn sie ihre Behördengänge per DE-Mail erledigen. Beispiel: Ein Dresdner bekommt per DE-Mail eine Gewerbebescheinigung erteilt. Muss er diese dann anderen Behörden einreichen (zum Beispiel, um Fördergelder zu beantragen), ist er darauf angewiesen, dass diese Ämter ebenfalls DE-Mail-Bescheide akzeptieren – oder einen einfachen Ausdruck ohne Zertifikat.

Fallstrick „Einschreiben“

Ein weiterer Fallstrick: Innerhalb von zwei Werktagen gilt ein elektronisches DE-Mail-Einschreiben als zugestellt und sofort danach beginnen die Widerspruchsfristen.Wer also längere Zeit an einem Ort feststeckt, an dem es keine Internetverbindung gibt, verpasst unter Umständen recht rasch seine Einspruchmöglichkeiten.

Fallstrick „Rechte“

Auch werden die DE-Mails – von außen kommend – in das normale E-Mail-System der Stadtverwaltung eingeschleust und wieder herausgeleitet. Prinzipiell möglich ist es dadurch eben auch, dass subalterne Sachbearbeiter Bescheide und Dokumente mit DE-Mail-Siegeln ausstellen, zu denen die in Papierform gar kein Recht haben würden.

Alternativen verfügbar

Dabei gibt es auch durchaus sinnvolle Alternativen zu DE-Mail: Neben der bereits erwähnten Variante, ein System auf der erwähnten PGP-Basis einzurichten, könnte die Stadt Dresden zum Beispiel einen Zertifizierungs-Zentralrechner einrichten und jedem Bürger eine individuelle Kode-Karte für den elektronischen Behördenverkehr zuteilen. Auch bietet der neue elektronische Personalausweis prinzipiell die Möglichkeit, darauf individuelle Kode-Schlüssel abzuspeichern. Zudem betreibt auch der Freistaat Sachsen bereits für den verwaltungsinternen Austausch ein sicheres E-Mail-System. Morgen will sich im Übrigen die Telekom noch zu den bisher erhobenen Kritikpunkten äußern. Autor: Heiko Weckbrodt

* Hinweis: Torsten Weckbrodt ist der Bruder des Autors. Als Projektleiter implementiert er für nationale und internationale Kunden der „TÜV Rheinland“-Tochter „i-sec“ Sicherheitsstandards in informationstechnologischen Systemen.
 

Zum Weiterlesen:

Stadt und Telekom starten Pilotprojekt für elektronische Behördengänge

Kommentar: Totgeburt DE-Mail

3 Kommentare

  1. Alexander sagt

    Hier ist beim besten Willen keine Schleichwerbung zu erkennen, Das Verhältnis zwischen Autor und Quelle, und damit mögliche Interessensüberschneidungen, wurden transparent dargelegt. Ich würde mir wünsche, dass dies sämtliche Politiker (auf Regional- und Bundesebene) ebenso handhaben würden.

    Wenn man jemanden Schleichwerbung vorwerfen kann, dann beispielsweise der DNN, deren „De-Mail-Special“ ausschließlich aus Werbebeiträgen in redaktionell erscheinendem Layout besteht, die lediglich in Telefonbuchschrift als ‚Anzeige‘ gekennzeichnet sind und die Werbemantras der Telekom wiederkäuen.

    Hier ist noch nicht einmal klar, wer eigentlich hinter dem ganzen Humbug „De-Mail-City“ steht und wer von Seiten der Stadt für diese Kampagne die Verantwortung trägt.

    Bei De-Mail wurde eine technisch unsichere Lösung per Gesetz zur sicheren Kommunikation erklärt.Das ist politisch Wille gewesen und geschah im vollen Bewusstsein der Sicherheitsprobleme und Nachteile für den Bürger. Damit wurden auf Jahre hinaus Chancen zur Einführung einer vernünftigen Lösung vertan. Wer sich über die Hintergründe informieren will kann dies in sehr kurzweiliger Form beispielsweise mit dem Vortrag von Linus Neumann „Bullshit made in Germany“ tun (http://www.youtube.com/watch?v=p56aVppK2W4).

    Glücklicherweise ist die Nutzerakzeptanz bisher gering und es bleibt zu hoffen, dass auch die aktuellen „Informationskampagnen“ daran nichts ändern werden.

  2. Michael sagt

    Davon abgesehen das hier quasi als Bruderhilfe Schleichwerbung betrieben wird…so ganz wurde anscheinend nicht verstanden, wozu De-Mail dienen soll. Ein Haar in der Suppe lässt sich immer leicht finden – einen pragmatischen Lösungsansatz sehe ich hier aber nicht. Mal nach Herstellern geschaut, die ein Verschlüsselungsgateway anbieten, welches zusätzlich De-Mail „beherrscht“? Bei einer Websuche findet man einige…aus gut unterrichteter Quelle weiß ich aber, das nur eine kleine Firma aus dem Ostwestfälischen eine gute Lösung hat ( nein – keine Schleichwerbung 😉 )
    Gruß,
    Michael

    • Schleichwerbung für den TÜV und speziell eine Tochterfirma, die vor allem internationale Firmen betreut? Das ist doch wohl nicht Ihr Ernst. Dann könne man niemanden mehr zitieren, denn die meisten Menschen, die Fachwissen haben, sind irgendwo tätig. Abgesehen davon setzte ich auf Quellen, denen ich Vertrauen entgegen bringen kann. Im Disput um DE-Mail äußern sich zwar viele Leute, die wenigsten aber argumentieren sachlich fundiert und stehen dafür auch mit vollem Namen gerade, Herr Michael Werauchimmer, der „aus gut unterrichteter Quelle“ etwas weiß.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.