DE-Mail Mitlesen unmöglich
Die Bundesregierung will uns mit dem neuen abhör- und fälschungssicheren "De-Mail"-System beglücken.
© Marc Müller/dpa
So sicher wie die Post? DE-Mail soll so etwas sein wie Einschreiben im Internet
Wer würde seine Krankengeschichte auf eine Postkarte schreiben, Betriebsgeheimnisse mit den Urlaubsgrüßen verschicken oder die Gehaltsforderung für alle sichtbar in die Hauspost legen? Mehr als 40 Millionen Bundesbürger tun im Prinzip nichts anderes. Denn sie verbreiten in ihren E-Mails regelmäßig private oder berufliche Intimitäten und machen sich kaum Gedanken über die Sicherheit ihrer elektronischen Korrespondenz. Von Verschlüsselung oder digitaler Unterschrift haben sie vielleicht schon mal gehört, aber solches noch nie benutzt. Dabei sind E-Mails nichts anderes als digitale Postkarten: Auf ihrem Weg vom Sender zum Empfänger, der meist über viele unterschiedliche Server führt, können Sie von jedem gelesen werden. Ihr Inhalt kann jederzeit geändert, ihr Absender problemlos gefälscht werden. Ein Paradies für Datenspione.
»Als das E-Mail-System vor vielen Jahren geplant wurde, dachte noch niemand an eine sichere oder rechtsverbindliche Kommunikation«, sagt Martin Schallbruch, IT-Direktor im Bundesinnenministerium. Dort arbeiten Informatiker gerade daran, den sicheren Austausch von E-Mail-Nachrichten zu ermöglichen – ohne dass die Nutzer es merken. »De-Mail« heißt die Anwendung, die der Verschlüsselung zum Durchbruch verhelfen soll. Noch bis Ende März läuft ein erster Test in Friedrichshafen; ab kommendem Jahr will die Bundesregierung dann alle Bürger mit dem neuen System beglücken.
Anzeige
Und das, obwohl den meisten das Problem gar nicht bewusst ist: »Abgefangene oder veränderte E-Mails sehen genauso aus wie normale Mails, haben weder Kaffeeflecken noch einen eingerissenen Umschlag«, sagt Christopher Wolf vom Horst-Görtz-Institut für IT-Sicherheit an der Uni Bochum. »Das subjektive Sicherheitsempfinden bei E-Mails ist relativ hoch.« Zwar sind Experten davon überzeugt, dass Geheimdienste die dicken Glasfaserkabel zwischen den Kontinenten anzapfen, normale E-Mail-Nutzer aber lässt das kalt. Wer nie mitbekommt, dass er abgehört wird, wehrt sich auch nicht dagegen.
Dabei wäre das nicht schwer. »Würden E-Mails verschlüsselt, bekämen sie eine Art digitalen Umschlag, der technisch nicht mehr abzustreifen wäre«, sagt Wolf.
Die Idee: Programme wie Pretty Good Privacy oder das kostenlose Gnu Privacy Guard arbeiten mit zwei Schlüsseln – einem öffentlichen und einem privaten. Wer verschlüsselte E-Mails empfangen will, muss nur seinen öffentlichen Schlüssel an die Kommunikationspartner verteilen. Die benutzen ihn, um Nachrichten zu kodieren. Entschlüsseln lassen sich solche Mails nur mit dem privaten Schlüssel des Empfängers, der ihn unter Verschluss hält.
In der Praxis wird so etwas kaum genutzt, die Probleme schrecken viele Nutzer ab: Wer verschlüsseln will, muss zusätzliche Programme installieren und sich mit dem Konzept der beiden Schlüssel beschäftigen. Und wenn ein Kollege im Urlaub ist, kann niemand dessen verschlüsselte E-Mails abrufen und den dringenden Auftrag bearbeiten. Falls die privaten Schlüsseldaten verloren gehen, können gespeicherte Mails nie mehr gelesen werden. »Als Anwender will ich gar nicht wissen, wie ein Briefkasten funktioniert. Ich will einen Brief einstecken und sicher sein, dass er unbeschadet ankommt«, sagt Wolf. Um sich durchzusetzen, müsste die Verschlüsselung in alle gängigen E-Mail-Programme integriert werden und im Hintergrund arbeiten.
De-Mail will all diese Hürden umgehen – indem es die Verschlüsselung in die Hände des E-Mail-Providers legt. Der kümmert sich um die Verwaltung der Schlüssel, um die Identifikation des Absenders, um das Chiffrieren sämtlicher Nachrichten. »Dadurch muss sich der Endkunde um all das keine Gedanken mehr machen«, sagt IT-Direktor Schallbruch.
Anzeige
- Datum 26.02.2010 - 17:05 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Serie Technik im Trend
- Quelle DIE ZEIT, 25.02.2010 Nr. 09
- Kommentare 13
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
De-Mail ist nur so lange sicher, wie man der Telekom und Kosorten vertraut. Und im Zweifel kommt unser aller liebstes Innenministerium auch irgenwie an die Inhalte, die Privaten Schlüssel liegen ja alle bei den Providern.
Solange man für die Mails bezahlen muss, werden sie sich nie durchsetzen. Der große Vorteil der E-Mails ist ja, dass sie eben nichts kosten. Das mag gut sein, um Spam zu verhindern, aber selbst ein Preis von einem Cent pro Nachricht steht in keinster weise im Verhältins zu den tatsächlichen Kosten der provider, ein paar kilobytes durchs Netz zu schicken.
Wenn unser Staat wirklich sichere E-Mails fördern wöllte,
könnte er:
- Eine staatliche, für jeden Bürger kostenlose CA für S/MIME-Zertifikate betreiben.
- Die Entwicklung von GPG-Clients fördern, die für normale Nutzer bedienbar und verständlich sind.
- Die Hersteller der gängigen Emailclients davon überzeugen, nativ GPG zu unterstützen.
Der einzige Vorteil, den ich für De-Mail im Moment sehe, ist dass es verschlüsselte Mails über Web-Interfaces ermöglicht, was mit den bisher gängigen verschlüsselungsvarianten nicht möglich ist.
Was, wenn der Provider vom Staat/Geheimdienst zur Herausgabe der EMails gezwungen wird oder noch schlimmer, wenn der Provider gehackt wurde oder Böses will? Der Provider darf meiner Meinung nach die EMail nicht im Klartext von mir erhalten, da wird der Begriff "sicher" ja ad absurdum geführt. Ich bin selber ein Benutzer von GnuPG und kann nur sagen, dass die Einrichtung mit Enigmail als Addon für den Thunderbird sehr einfach ist - alles hat eine grafische Oberfläche.
Warum kann hier nicht eine bestehende Infrastruktur aufgearbeitet und erweitert werden? Es gibt Keyserver, es gibt GnuPG-Plugins/-Addons für fast alle Mailprogramme und das wichtigste, die Technik ist erprobt und sicher. Der schlechteste Fall ist, dass eine Email nicht mehr durch den Empfänger entschlüsselt werden kann, aber dann sende ich sie schlicht noch einmal.
Und warum ist das Angebot kostenpflichtig? Wie soll sich das System durchsetzen, wenn es dem Bürger nicht kostenlos zur Verfügung gestellt wird?
Am Ende bleibt vermutlich doch alle wichtigen Dokumente an der guten alten Post hängen.
P.S. Schlussendlich ist außerdem jeder Verschlüsselungsalgorithmus nur so stark wie das Passwort des Benutzers.
Der sicherste Weg eine Information von A nach B zu bekommen ist immer noch der Brief aus Papier.
Einer Verschlüsselung von staatlicher Seite sehe ich mit großem Mißtrauen entgegen. *An den erfolgreich vom Regierungsapparat vermiedenen Datenschutz denkt.* Der Pöbel wird immer noch von der Geld geilen Wirtschaft betrogen und abgezockt. Was soll da eine Verschlüsselung von E-Mails bringen? Wer an unsere Daten will, bekommt sie. Wer unsere E-Mails lesen will, der liest sie.
Sich eine schöne Handschrift angewöhnen und Briefmarken anschlabbern lohnt sich mehrfach.
Funktionierende Verschlüsselungssysteme sind schon seit Jahrzehnten in Gebrauch. GPG/PGP funktioniert. Das Problem war schon immer die Infrastruktur zum Austausch und zur "Beglaubigung" der Schlüssel einerseits und Hersteller wie MS und Apple, die das nicht unterstützen.
Hätte der Staat einfach diese Systeme zum Standard erklärt und angefangen, das (erstmal mit Hilfe von Zusatzsoftware) intern für Behördenkommunikation zu benutzen, hätte dieser Zustand sich sehr schnell ändern können. Aber das war wohl nicht gewünscht.
So wie es aussieht, ist das nix anderes als ein den üblichen Verdächtigen zugeschusterter Notnagel, der technisch fragwürdig, international inkompatibel und sicherheitstechnisch nutzlos ist (weil es eben nicht end-to-end verschlüsselt ist).
So ein Humbug.
Verschlüsselte Post vom Staat...
100% Sicher...
Wer's glaubt wird selig.
Mails kann ich auch so verschlüsseln, dafür brauch ich den Staat nicht. Leider ist das Verfahren für die Masse untauglich, da das Einrichten momentan noch zu kompliziert ist(viele Menschen fällte das Installieren von normalen Programmen schon schwer, da werden sie nicht openPGP zum Laufen bekommen).
Eine Verschlüsselungslösung, bei der Dritte meinen (nicht-öffentlichen) Schlüssel kennen und verwalten (wie bei De-Mail geplant) ist rausgeworfenes Geld: solange Kreditkarten-Nummern von "sicheren" Servern geklaut werden, sind private Verschlüsselungsschlüssel nicht sicher. Und keiner kann garantieren, dass nicht mein Internet-Provider oder einer seiner Angestellten meinen privaten Schlüssel gegen Geld, aus Gefälligkeit, wegen staatlichem Druck oder wegen Erpressung weitergeben.
Den Vorschlägen von Beitrag Nr. 1 ist voll zuzustimmen. Hinzufügen möchte ich, dass Verschlüsselung nicht so entsetzlich schwer zu erlernen ist. Wenn staatliche Stellen Verschlüsselung zur Vorbedingung machen würden, mit ihnen per E-Mail zu korrespondendieren (vielleicht in Verbindung mit Verweis auf existierende Programme oder einem kleinen Trainingsprogramm), würden viele bereit sein, es der Kostenersparnis wegen zu lernen; dieses Wissen würde sich bald allgemein verbreiten. Oder Anwalts- und Steuerberaterkammern könnten es für standeswidrig erklären, wenn Anwälte/Steuerberater unverschlüsselt mit Klienten per E-Mail korrespondieren.
Übrigens: Es gibt sichere, relativ einfach zu lernende Programme: PortablePGP, GPG4USB, InstantCrypt,... und viele E-Mail-Programme (nur ein Beispiel: Thunderbird/Enigmail) mit Verschlüsselungserweiterung. Was fehlt, ist der Anreiz für die Öffentlichkeit, diese Techniken zu lernen und zu benutzen.
E-mail mit direkter Schnittstelle zu Finanzamt, Ermittlungsbehörden etc. ?
Und natürlich wird unser Land immer nur von den Guten regiert und Behörden lügen nie.
Gestapo und Stasi waren ja nur deutsche Betriebsunfälle, die nie wiederkehren und bundesdeutsche Behörden haben noch nie gelogen oder gespitzelt.
Wer dem Staat traut - ist dumm.
Die Post war es doch die letztes Jahr persönliche Daten ihrer eigenen Bankkunden an dritte weitergegeben hat.
Demselben Laden soll ich die Sicherheit meiner Daten anvertrauen?
Wieso liegt der Schlüssel bei einem dritten? Ausserdem bedeutet das doch das meine Mail unverschlüsselt an die Server übermittelt und erst dort verschlüsselt wird, es ist völlig absurd so etwas Verschlüsselung zu nennen, das ist ein Witz mehr nicht.
In ein paar Jahren wird die DE-Mail mangels Erfolg sicher zum Zwang, diejenigen die keinen Computer besitzen können/müssen sich dann in Ihrem Finanzamt an einem der zur Verfügung gestellten Rechner einloggen und ihre Daten dort übegeben.
Lobbyvertreter wie die Aigner wettern gegen Google und Co. (Auffällig dabe: es ist kaum die Rede von Microsoft) aber zwingen Provider zur Vorratsdatenspeicherung, errichten ein riesiges "Maut" System das perfekt zur Überwachung der Bürger geeignet ist, und und und.
Dieses Land ist ruiniert, die Piratenpartei kommt mindestens zehn Jahre zu spät.
"...In ein paar Jahren wird die DE-Mail mangels Erfolg sicher zum Zwang..."
Genau DAS ist ja das Perfide an der Chose! Wenn der Bürger nicht will (weil er kapiert hat, was da läuft), wird er eben "gezwungen". Oder, subtiler, über "Kosten", die "leider entstehen", wenn man ein anderes System benutzt, dazu genötigt. Bestimmte Behörden-Mails werden ausschliesslich über De-Mail abgewickelt werden können. Versicherungen, Banken, Online-Handel. Jeder wird mitziehen (müssen).
Ich könnte laut lachen - wenn es nicht so traurig wäre!
"...In ein paar Jahren wird die DE-Mail mangels Erfolg sicher zum Zwang..."
Genau DAS ist ja das Perfide an der Chose! Wenn der Bürger nicht will (weil er kapiert hat, was da läuft), wird er eben "gezwungen". Oder, subtiler, über "Kosten", die "leider entstehen", wenn man ein anderes System benutzt, dazu genötigt. Bestimmte Behörden-Mails werden ausschliesslich über De-Mail abgewickelt werden können. Versicherungen, Banken, Online-Handel. Jeder wird mitziehen (müssen).
Ich könnte laut lachen - wenn es nicht so traurig wäre!
Bitte melden Sie sich an, um zu kommentieren