Internet & IoT, News, Recht & Justiz
Kommentare 3

Dresdner eVerwaltung per „DE-Mail“ angreifbar

Abb.: hw

Abb.: hw

IT-Sicherheitsexperte gibt Kritikern Recht: DE-Mail ohne End-zu-End-Verschlüsselung

Dresden, 10. Juli 2014: Das spezielle E-Mail-System „DE-Mails“, auf denen das kürzlich von Telekom und Stadtverwaltung Dresden gestartete Pilotprojekt „DE-Mail-City Dresden“ basiert, hat Sicherheitsdefizite und bietet Angriffspunkte für Missbrauch und Ausspähung. Das hat IT-Sicherheitsexperte Torsten Weckbrodt* auf Oiger-Anfrage eingeschätzt. Unter anderem bestätigt er die Kritik der Dresdner Grünen und Piraten, das DE-Mail-System biete keine End-zu-End-Verschlüsselung.

Schlüssel hat die Telekom

„Die Schlüsselhoheit liegt in diesem Fall bei der Telekom“, betonte der Informationssicherheits-Projektleiter der „TÜV Rheinland“-Tochter „i-sec“. Denn anders als beim Kodierungssystem „Pretty Good Privacy“ (PGP), bei dem nur Endbenutzer den für die Entschlüsselung entscheidenden privaten Kode-Schlüssel hat, liegen die Schlüssel hier auf Rechnern, auf die die Telekom zugreift. In der Praxis heißt das: Der Bürger sendet und empfängt zwar Anträge und Bescheide verschlüsselt zur Behörde, mit der er elektronisch kommuniziert, aber auf dem Weg dorthin werden die Nachrichten ent- und wieder verschlüsselt – was natürlich eine Schwachstelle in der Sicherheitskette ist.

Auch Angriffe per “Social Engineering” möglich

Auch organisatorisch sieht Torsten Weckbrodt Schwächen. So bestehe beispielsweise die Gefahr, dass Angreifer so viele Informationen per „Social Engineering“ über Telekom-Mitarbeiter in Schlüsselpositionen erlangen, dass damit ein Zugriff auf die zwischenzeitlich unkodierten DE-Mails möglich wäre.

Fallstrick „Druck“

Abb.: BMI

Abb.: BMI

Auch rechtlich könne es für Bürger praktische Probleme aufwerfen, wenn sie ihre Behördengänge per DE-Mail erledigen. Beispiel: Ein Dresdner bekommt per DE-Mail eine Gewerbebescheinigung erteilt. Muss er diese dann anderen Behörden einreichen (zum Beispiel, um Fördergelder zu beantragen), ist er darauf angewiesen, dass diese Ämter ebenfalls DE-Mail-Bescheide akzeptieren – oder einen einfachen Ausdruck ohne Zertifikat.

Fallstrick „Einschreiben“

Ein weiterer Fallstrick: Innerhalb von zwei Werktagen gilt ein elektronisches DE-Mail-Einschreiben als zugestellt und sofort danach beginnen die Widerspruchsfristen.Wer also längere Zeit an einem Ort feststeckt, an dem es keine Internetverbindung gibt, verpasst unter Umständen recht rasch seine Einspruchmöglichkeiten.

Fallstrick „Rechte“

Auch werden die DE-Mails – von außen kommend – in das normale E-Mail-System der Stadtverwaltung eingeschleust und wieder herausgeleitet. Prinzipiell möglich ist es dadurch eben auch, dass subalterne Sachbearbeiter Bescheide und Dokumente mit DE-Mail-Siegeln ausstellen, zu denen die in Papierform gar kein Recht haben würden.

Alternativen verfügbar

Dabei gibt es auch durchaus sinnvolle Alternativen zu DE-Mail: Neben der bereits erwähnten Variante, ein System auf der erwähnten PGP-Basis einzurichten, könnte die Stadt Dresden zum Beispiel einen Zertifizierungs-Zentralrechner einrichten und jedem Bürger eine individuelle Kode-Karte für den elektronischen Behördenverkehr zuteilen. Auch bietet der neue elektronische Personalausweis prinzipiell die Möglichkeit, darauf individuelle Kode-Schlüssel abzuspeichern. Zudem betreibt auch der Freistaat Sachsen bereits für den verwaltungsinternen Austausch ein sicheres E-Mail-System. Morgen will sich im Übrigen die Telekom noch zu den bisher erhobenen Kritikpunkten äußern. Autor: Heiko Weckbrodt

* Hinweis: Torsten Weckbrodt ist der Bruder des Autors. Als Projektleiter implementiert er für nationale und internationale Kunden der „TÜV Rheinland“-Tochter „i-sec“ Sicherheitsstandards in informationstechnologischen Systemen.
 

Zum Weiterlesen:

Stadt und Telekom starten Pilotprojekt für elektronische Behördengänge

Kommentar: Totgeburt DE-Mail

Repro: Oiger, Original: Madeleine Arndt

3 Kommentare

Schreibe einen Kommentar