Internet & Web 2.0, News, Recht & Justiz
Schreibe einen Kommentar

Telekom: Dresdner DE-Mail-Pilotprojekt ist sicher

Foto: Heiko Weckbrodt

Foto: Heiko Weckbrodt

Angriffspunkte unbestreitbar, aber nur schwer ausnutzbar

Dresden, 12. Juli 2014: Die Telekom hat die jüngst von den Dresdner Grünen, Piraten und anderen Kritikern geäußerten Sicherheitsbedenken gegen das Projekt „DE-Mail-City Dresden“ zurückgewiesen. „DE-Mail ist ein sicheres System“ versicherte Telekom-Sprecher Rainer Knirsch. Auf jeden Fall sei es „ein Quantensprung an Sicherheit gegenüber heutigen E-Mails und Briefen.“

Dresdner Pilotprojekt spannt DE-Mail für eVerwaltung ein

Hintergrund: Die Stadt Dresden und die Telekom hatten kürzlich ein Pilotprojekt gestartet, um den Einsatz von speziell zertifizierten E-Mails – den bisher nur wenig genutzten „DE-Mails“ – für elektronische Behördengänge von Bürgern und Unternehmen anhand zahlreicher Anwendungsbeispiele zu demonstrieren. Daraufhin hatten Kritiker insbesondere die Sicherheit dieses Verfahrens, aber auch Kosten und Benutzerfreundlichkeit in Frage gestellt.

Im Standardfall keine End-zu-End-Verschlüsselung

Abb.: BMI

Abb.: BMI

In der Tat gibt es im System Schwachstellen, die Angreifer wie Hacker oder Geheimdienste zwar schwer, aber eben doch prinzipiell ausnutzen könnten. Denn wenn ein Bürger per DE-Mail einen elektronischen Antrag an eine Behörde sendet oder einen Bescheid erhält, wird die Nachricht standardmäßig nicht unterbrechungsfrei verschlüsselt ausgeliefert („End-zu-End-Verschlüsselung“). Vielmehr räumt auch die Telekom ein, dass der Gesetzgeber von zertifizierten DE-Mail-Anbietern eine Möglichkeit verlangt, die digitale Post auf Viren zu prüfen. Das heißt: Die DE-Mails werden in einem speziell gesicherten Rechenzentrum der Telekom in Frankfurt am Main entschlüsselt, auf Schadprogramme untersucht, wieder verschlüsselt und erst dann weitergeleitet.

„Black Box“ entschlüsselt und scannt auf Viren

Dieser Vorgang dauere nur Bruchteile einer Sekunde und auf einer verschlüsselten Festplatte in einer „Black Box“, unterstrich Telekom-Manager Dirk Backofen. Die Inhalte werden dabei zu keinem Zeitpunkt eingesehen, schon gar nicht von menschlichen Augen, versicherte das Unternehmen. Auch sei vom Gesetzgeber eingeschätzt worden, dass dieser Scan-Vorgang rechtlich nicht dem Öffnen eines Briefes entspreche.

Verschlüsselung à la PGP optional nutzbar

Das System bietet den Nutzern optional die Möglichkeit einer echten End-zu-End-Verschlüsselung, zum Beispiel über das beliebte PGP-System – dann unterbleibt der Viren-Scan: Laut Telekom wird dann in der Wächter-Blackbox im Rechenzentrum nur die äußere „Schale“ der DE-Mail-Verschlüsselung geöffnet, die PGP-Kodierung registriert und die Post ungescannt weitergeleitet, betonte Backofen. „Die Verantwortung für Schadprogramme liegt dann beim Absender und Empfänger.“

DE-Mail-Server speziell gesichert

Blick in das eisige Comarch-Rechenzentrum in Dresden, wo die ersten Server-Racks nun in Betrieb sind. Foto: Comarch

Beispiel Comarch-Rechenzentrum – im Hintergrund sieht man Server-Käfige, wie sie auch die Telekom einsetzt. Foto: Comarch

Den Scan-Vorgang zu nutzen, um in die Mail-Inhalte von außen hineinzuschauen, hält Knirsch indes für nahezu unmöglich: Die Rechenzentren seien hochabgesichert gegen Einbruch oder unbefugte Eingriffe durch eigene Mitarbeiter. Laut Telekom ist das Rechenzentrum nach dem Standard „IT Grundschutz“ und einige zusätzliche Vorkehrungen* abgesichert. So muss ein Eindringling drei Chipkarten-gesicherte Schleusen überwinden, um in den Raum mit den DE-Mail-Servern zu gelangen – die zusätzlich in Käfigen eingeschlossen sind. Um ein „Vier-Augen-Prinzip“ zu gewährleisten, können auch Telekom-Mitarbeiter die Schleusen nur zu zweit passieren.

Telekom: Bisher noch kein Angriff auf DE-Mail-Server gelungen

Angriffe von außerhalb durch Hacking wiederum erfordern Ressourcen, wie sie höchstens Geheimdienste und organisierte Kriminelle aufbringen könnten, ist Knirsch überzeugt. „Bisher ist noch kein Angriff auf einen DE-Server gelungen.“ So habe das Unternehmen Rechner mit falschen Signaturen installiert, die den Hackern vorspiegeln, es handele sich um interessante Rechenzenten. Insgesamt 800 solcher „Honey Pots“ (Honigtöpfe) sollen potenzielle Angreifer anlocken, damit die Telekom ihre Methoden untersuchen kann. Laut Unternehmens-Angaben gibt es täglich bis zu 450.000 Angriffe auf diese „Honey Pots“. Auch echte DE-Mail-Server seien angegriffen worden – aber erfolglos.

IT-Eigenbetrieb: Land schreibt DE-Mail-Zugang vor

Derweil äußerte sich auch der Chef des Dresdner IT-Eigenbetriebs, Michael Breidung, zur Frage, warum sich die Landeshauptstadt für das eGouvernment-Pilotprojekt ausgerechnet für DE-Mail als Basis entschieden habe. „Durch das eGouvernment-Gesetz des Freistaats sind wir in jedem Falle verpflichtet, bis spätestens Mitte 2016 einen DE-Mail-Zugang anzubieten“, sagte er. „Diese Frist lässt uns ohnehin nicht viel Zeit, Erfahrungen mit DE-Mail zu sammeln.“ Autor: Heiko Weckbrodt

* Die folgenden Sicherheitsmaßnahmen hat die Telekom öffentlich gemacht – sie hier darzulegen ist keine Einladung, sie zu überwinden 😉

 

Zum Weiterlesen:

Pilotprojekt „DE-Mail-City Dresden“ gestartet

Grüne kritisieren DE-Mail

Piraten: Dresden blamiert sich mit DE-Mail

IT-Sicherheitsexperte: System hat Schwachstellen

Kommentar: Totgeburt DE-Mail

So bekommt man eine DE-Mail-Adresse

Wie verschlüssele ich E-Mails?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.