De-MailChaos Computer Club kritisiert Trickserei der Regierung

Die Verschlüsselung der De-Mail sei unzureichend, sagen Kritiker. Statt der Technik will die Bundesregierung aber nur ihre Definition von "sicher" anpassen. von 

Die De-Mail, das Verfahren für die rechtsverbindliche elektronische Korrespondenz zwischen Bürgern und Behörden, ist so sicher wie eine Postkarte, sagen ihre Kritiker. Die Bundesregierung aber will dieses Problem nicht lösen, sie will es mit einem Gesetz für gelöst erklären.

Bislang wird die De-Mail kaum genutzt. Dafür gibt es mehrere mögliche Gründe. Vielen Bürgern dürfte das Verfahren noch immer unbekannt sein, andere werden es ablehnen, weil es ihnen zu teuer, zu aufwendig oder zu unsicher erscheint. Die Bundesregierung möchte das ändern, schließlich würde auch der Staat profitieren, wenn Behörden nicht mehr jeden Brief per Post verschicken müssten: Die Regierung möchte zum Beispiel erreichen, dass die Bürger ihre Steuerangelegenheiten per De-Mail abwickeln und auf diesem Wege auch vom Finanzamt kontaktiert werden können.

Anzeige

Doch statt einen der Hauptkritikpunkte inhaltlich anzugehen, versucht die Bundesregierung ein Täuschungsmanöver: In ihrem "Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften" schlägt sie vor, das als unsicher geltende Verschlüsselungsverfahren der De-Mail einfach für sicher zu erklären.

Das Verfahren läuft verkürzt gesagt wie folgt ab: Nutzer müssen sich per Ausweisvorlage identifizieren, um ein De-Mail-Konto zu bekommen. Ihre Nachrichten etwa an Behörden werden beim Versand verschlüsselt, damit sie niemand abfangen und mitlesen kann. Um zu prüfen, ob Spam oder Schadsoftware per De-Mail versendet werden, entschlüsseln die staatlich akkreditierten Provider die De-Mails aber zwischenzeitlich. Das passiert automatisch. Danach verschlüsseln sie die Nachrichten wieder und schicken sie an den eigentlichen Empfänger.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Dieses Verfahren kritisieren Datenschützer und Hacker schon lange. Sie halten nur eine echte Ende-zu-Ende-Verschlüsselung für ausreichend sicher, bei der erst der Empfänger die Nachricht entschlüsselt. Die zwischenzeitliche Entschlüsselung stellt ihrer Meinung nach eine inakzeptable Schwachstelle dar. Schließlich habe jeder mit einem Zugang zu den Servern des Providers die Möglichkeit, die sensiblen Nachrichten abzufangen – sei dies nun ein Mitarbeiter des Providers, der bösartige Absichten hat, oder ein Geheimdienst.

Die Ende-zu-Ende-Verschlüsselung ist im De-Mail-Gesetz durchaus verankert, die Provider müssen sie gewährleisten. Für die Nutzer ist das allerdings mit einigem Aufwand verbunden, weil sie dazu die entsprechenden Schlüssel mit jedem Empfänger austauschen müssen.

Die Bundesregierung will jedenfalls nicht die Technik anpassen, sondern ihre Definition von "sicher". Konkret heißt es im Gesetzentwurf, die Abgabenordnung solle um zwei Absätze ergänzt werden. Der erste lautet: "Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder ... gleichgestellte Personen ... über De-Mail-Dienste ... versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet."

Der zweite neue Absatz soll lauten: "Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot ..."

Leserkommentare
  1. Hat doch bei der Abschaffung der Armut auch funktioniert. Jetzt noch die Abschaffung von Obdachlosigkeit, Arbeitslosigkeit und Selbstmorden durch Verzicht auf das Führen einer Statistik, wie damals in der DDR, und wir leben in Shangri-La.

    8 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Es wird ja tatsächlich keine Bundesstatistik über die Obdachlosigkeit geführt. Dann kann sie ja auch kein Problem sein. Pardon, bin ich mit meiner sarkastischen Bemerkung wohl über das Ziel hinaus geschossen.

  2. Dasselbe Vorgehen hatten wir doch gerade erst schon mal: Bei der ersten Fassung des Armutsberichts der Bundesregierung fiel der Satz "Die Prvatvermögen in Deutschland sind sehr ungleich verteilt" negativ auf und darum raus. Und in der Endfassung steht dann das genaue Gegenteil, dass es "uns" so gut geht wie noch nie.

    Man fühlt sich mit dieser Regierung langsam wie bei Pippi Langstrumpf: Ich mache mir die Welt, wie sie mir gefällt.

    6 Leserempfehlungen
  3. “Die kurzzeitige automatisierte Entschlüsselung … verstößt nicht gegen das Verschlüsselungsgebot…”

    So macht man das also. Man erklärt einen unsicheren Vorgang für sicher, und alles ist gut. Die Schildbürger hätten es kaum besser gekonnt.

    Ich hätte da noch ein paar andere Vorschläge, die man bei dieser Gelegenheit gleich ebenfalls in Gesetzestext gießen könnte:

    - Nicht verfassungsgemäße Sicherheitsgesetze verstoßen nicht gegen Artikel 1 bis 20 des Grundgesetzes (GG).

    -Die FDP erhält bei Wahlen nie weniger als 5% der Stimmen. Dies verstößt nicht gegen den Gleichheitsgrundsatz nach Art. 3, Abs 1 GG.

    -Kanzler müssen Merkel heißen. Dies verstößt nicht gegen den Grundsatz zur Abhaltung freier und geheimer Wahlen nach Artikel 38, Abs. 1 GG.

    Denn sicher ist sicher. Und Gesetz ist Gesetz.

    12 Leserempfehlungen
  4. ...färben offenbar ab. Ich kenne dies aus 36 Jahren erlebter DDR.
    Was nicht richtig war wurde richtig gemacht. Die Partei hatte immer recht...

    6 Leserempfehlungen
  5. ... zitiere ich nochmal den nach meiner Ansicht schwerstwiegenden Einwand des CCC:

    "... Abhör-Hintertür für Polizei und Geheimdienste ... auch zum Einschleusen von staatlichen Trojanern auf Bürgercomputer."

    5 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Durch die Strategie des Aufwiegelns statt der Aufklärung erweist man sich einen Bärendienst.

    Es steht doch im Artikel - wenn man ihn denn genau liest und weiss, worauf man achten muss.

    "Jeder Einblick in die Inhalte der Mails ist strafbar. Technisch ist zudem sichergestellt, dass kein einzelner Mitarbeiter der Anbieter irgendeine Möglichkeit hat, De-Mails mitzulesen."

    "Kein einzelner Mitarbeiter" heisst genau das - es gilt das Vier-Augen-Prinzip, d.h. *zwei* "Berechtigte" muessen ihr Passwort eingeben. Dann klappt auch das Mitlesen.

  6. Durch die Strategie des Aufwiegelns statt der Aufklärung erweist man sich einen Bärendienst.

  7. "Problemgruppen" fallen aus der Arbeitslosenstatistik, der Armutsbericht ist eigentlich ein Armutszeugnis, etc

    Warum sollte man die gängige Praxis ändern, die CDU ist in Umfragen stabil. Und der Großteil der Medien berichtet auch wohlwollend, statt mal die Wirklichkeit mit den Statistiken aus Berlin abzugleichen und auf die Mißstände hinzuweisen.

    2 Leserempfehlungen
  8. "Wer De-Mail nutzt, kann sich auf eine vollständige Verschlüsselung seiner E-Mails im Internet verlassen."

    Und zur Sicherheit wird sie sogar nach der Entschlüsselung beim Provider ein zweites Mal verschlüsselt -.-

Bitte melden Sie sich an, um zu kommentieren

Service