De-Mail : Chaos Computer Club kritisiert Trickserei der Regierung

Die Verschlüsselung der De-Mail sei unzureichend, sagen Kritiker. Statt der Technik will die Bundesregierung aber nur ihre Definition von "sicher" anpassen.

Die De-Mail, das Verfahren für die rechtsverbindliche elektronische Korrespondenz zwischen Bürgern und Behörden, ist so sicher wie eine Postkarte, sagen ihre Kritiker. Die Bundesregierung aber will dieses Problem nicht lösen, sie will es mit einem Gesetz für gelöst erklären.

Bislang wird die De-Mail kaum genutzt. Dafür gibt es mehrere mögliche Gründe. Vielen Bürgern dürfte das Verfahren noch immer unbekannt sein, andere werden es ablehnen, weil es ihnen zu teuer, zu aufwendig oder zu unsicher erscheint. Die Bundesregierung möchte das ändern, schließlich würde auch der Staat profitieren, wenn Behörden nicht mehr jeden Brief per Post verschicken müssten: Die Regierung möchte zum Beispiel erreichen, dass die Bürger ihre Steuerangelegenheiten per De-Mail abwickeln und auf diesem Wege auch vom Finanzamt kontaktiert werden können.

Doch statt einen der Hauptkritikpunkte inhaltlich anzugehen, versucht die Bundesregierung ein Täuschungsmanöver: In ihrem "Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften" schlägt sie vor, das als unsicher geltende Verschlüsselungsverfahren der De-Mail einfach für sicher zu erklären.

Das Verfahren läuft verkürzt gesagt wie folgt ab: Nutzer müssen sich per Ausweisvorlage identifizieren, um ein De-Mail-Konto zu bekommen. Ihre Nachrichten etwa an Behörden werden beim Versand verschlüsselt, damit sie niemand abfangen und mitlesen kann. Um zu prüfen, ob Spam oder Schadsoftware per De-Mail versendet werden, entschlüsseln die staatlich akkreditierten Provider die De-Mails aber zwischenzeitlich. Das passiert automatisch. Danach verschlüsseln sie die Nachrichten wieder und schicken sie an den eigentlichen Empfänger.

Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Dieses Verfahren kritisieren Datenschützer und Hacker schon lange. Sie halten nur eine echte Ende-zu-Ende-Verschlüsselung für ausreichend sicher, bei der erst der Empfänger die Nachricht entschlüsselt. Die zwischenzeitliche Entschlüsselung stellt ihrer Meinung nach eine inakzeptable Schwachstelle dar. Schließlich habe jeder mit einem Zugang zu den Servern des Providers die Möglichkeit, die sensiblen Nachrichten abzufangen – sei dies nun ein Mitarbeiter des Providers, der bösartige Absichten hat, oder ein Geheimdienst.

Die Ende-zu-Ende-Verschlüsselung ist im De-Mail-Gesetz durchaus verankert, die Provider müssen sie gewährleisten. Für die Nutzer ist das allerdings mit einigem Aufwand verbunden, weil sie dazu die entsprechenden Schlüssel mit jedem Empfänger austauschen müssen.

Die Bundesregierung will jedenfalls nicht die Technik anpassen, sondern ihre Definition von "sicher". Konkret heißt es im Gesetzentwurf, die Abgabenordnung solle um zwei Absätze ergänzt werden. Der erste lautet: "Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder ... gleichgestellte Personen ... über De-Mail-Dienste ... versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet."

Der zweite neue Absatz soll lauten: "Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot ..."

Verlagsangebot

Hören Sie DIE ZEIT

Genießen Sie wöchentlich aktuelle ZEIT-Artikel mit ZEIT AUDIO

Hier reinhören

Kommentare

27 Kommentare Seite 1 von 6 Kommentieren