Nur damit es keine Missverständnisse gibt: De-Mail ist der erklärte Versuch der Bundesrepublik, allen Deutschen einen sicheren Weg zur elektronischen Kommunikation zu bauen. Nicht erst seit die NSA sämtliche technischen Systeme unterwandert hat, sind E-Mails ein Problem, da sie wie Postkarten von jedem gelesen werden können. De-Mail soll das eigentlich ändern, sie soll – so steht es im entsprechenden Gesetz –, einen "sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet sicherstellen". Die zertifizierten Anbieter lassen sich von jedem den Ausweis zeigen und registrieren ihn namentlich. Dafür dürfen sie Geld für jede De-Mail verlangen, 39 Cent sind das in der Regel.

Der Anspruch, vertraulich und sicher zu sein, wird jedoch nicht annähernd erfüllt. Es gibt schon lange Kritik an dem System. Inzwischen haben Sicherheitsanalysten angesichts der offensichtlich gewollten Unsicherheit von De-Mails aber nur noch Zynismus übrig. So wie Linus Neumann. Er bloggt seit Jahren über solche Themen, arbeitet bei einem Unternehmen, das technische Systeme auf ihre Sicherheit hin testet und war als Sachverständiger zum Thema De-Mail im Bundestag geladen.

Neumann stellte auf dem 30. Chaos Communication Congress (30C3) in Hamburg eine umfassende Analyse der Staats-Mails vor. Sie ist vernichtend: De-Mails seien nicht sicherer als ganz normale Mails, sie seien "unnötigerweise und absichtlich inkompatibel mit dem Rest der Welt", sie seien für Kriminelle ein attraktives Angriffsziel und würden für die Nutzer auch noch rechtliche Risiken bergen.

Und nicht nur das. De-Mail sei die Chance gewesen, sagte Neumann, in Deutschland flächendeckend eine verschlüsselte und sichere Kommunikation einzuführen. "Damit habe ich auch erklärt, warum das nicht getan wurde." De-Mail sei absichtlich so konstruiert, dass deutsche Sicherheitsdienste den Inhalt lesen könnten, glaubt er. "Keine Regierung ist so blöd, ihren Bürgern ein abhörsicheres System zur Kommunikation zu bieten."

Es geht vor allem darum, dass bei De-Mails keine Ende-zu-Ende-Verschlüsselung eingebaut wurde. Der Ausdruck beschreibt, dass Daten vom Sender verschlüsselt und erst vom Empfänger wieder entschlüsselt und gelesen werden können. Zwar sind De-Mails durchaus verschlüsselt, aber eben nicht auf ihrem ganzen Weg durch das Internet.

Virenscanner?

Die Verschlüsselung übernimmt der Provider, also Anbieter des Systems wie die Telekom oder Web.de, nicht der Kunde. Und der Anbieter entschlüsselt die De-Mails zwischendurch wieder, um sie lesen zu können. Das Argument: Das diene der Sicherheit, nur so könne garantiert werden, dass De-Mails keine Viren enthalten. Der Virenscanner müsse in die Mails hineinschauen.

Neumann hingegen sagte, das diene allein der Unsicherheit. Immerhin gebe es dadurch einen zentralen Server, auf dem die Mails unverschlüsselt herumliegen würden, wenn auch nur für kurze Zeit. Dieser Server sei garantiert ein lohnendes Ziel für jeden Angreifer und werde daher auch garantiert angegriffen werden. Für Neumann ist es nur eine Frage der Zeit, bis De-Mails gehackt sind.

Im Übrigen hält er die Sache mit dem Virenscanner für ein Scheinargument, um zu rechtfertigen, dass der Staat an den Inhalt der Mails herankommen will. "Wenn ich vorhabe, viele Computer mit einem Virus zu infizieren, mache ich das doch nicht mit einer Mail, die 39 Cent kostet und die auf meinen Namen registriert ist", sagte er. Virusattacken von Kriminellen sind Massenangriffe, die Millionen von Rechnern erreichen wollen in der Hoffnung, anschließend einige Tausend übernehmen zu können. Das System De-Mail sei für solche Attacken uninteressant, weil zu teuer.