Fehlendes ZertifikatDeutsche Post steigt bei De-Mail aus

Noch vor dem Start von De-Mail bei der Post steigt das Unternehmen aus der Entwicklung des elektronischen Briefs aus. Datenschützer verweigern das nötige Zertifikat.

Nach Streitigkeiten über den Datenschutz steigt die Deutsche Post bei dem De-Mail-Angebot aus, das verschlüsselte elektronische Kommunikation ermöglichen soll. Stattdessen setzt das Unternehmen auf seinen bereits 2010 gestarteten E-Postbrief und will diesen mit neuen Funktionen für Privatkunden attraktiver machen.

Solange der Gesetzgeber an den Bestimmungen für das Identifizierungsverfahren festhalte, habe die De-Mail für die Post keinen Sinn, sagte E-Postbrief-Chef Ralph Wiegand der Frankfurter Allgemeinen Zeitung. So steigt die Deutsche Post schon vor dem Start aus und stoppt die Entwicklung des De-Mail-Angebots.

Anzeige

Die Post überprüft bei ihrem E-Postbrief die Identität der Nutzer mithilfe des Postident-Verfahrens. Dieses ermittelt unter anderem die Personalausweisnummer, was das De-Mail-Gesetz nicht vorsieht. Das Produkt der Deutschen Post ist demnach nicht mit den Standards kompatibel, auf die Telekom und andere setzen. "Das Postident-Verfahren hat sich seit 17 Jahren bewährt. Davon werden wir nicht abrücken, nur um einem unglücklich formulierten Gesetz zu genügen", sagte Wiegand.

Das Produkt für die De-Mail liege fertig in der Schublade, nur der Datenschutzbeauftragte verweigere sein Zertifikat, schreibt die Zeitung. Ein Sprecher der Deutschen Telekom wies die Argumentation der Post zurück und sagte der Zeitung, die De-Mail-Anbieter unterlägen strengen Regelungen. Dazu gehöre auch die Datensparsamkeit. 

Die Deutsche Post hatte den digitalen Brief im Sommer 2010 gestartet, um die sinkende Bedeutung der klassischen Post auszugleichen. Die De-Mail soll in der digitalen Kommunikation mehr Vertrauen ermöglichen, insbesondere bei geschäftlichen Vorgängen oder für digitale Behördengänge. Angebote dafür haben die Deutsche Telekom, die Unternehmen der United-Internet-Gruppe und Mentana Claimsoft entwickelt.

Der Chaos Computer Club (CCC) hat das Sicherheitsniveau der De-Mail wegen der fehlenden Ende-zu-Ende-Verschlüsselung über den gesamten Transportweg der E-Mail als unzureichend kritisiert und das Vorhaben für gescheitert erklärt. Stattdessen empfiehlt der CCC andere Verschlüsselungstechniken wie OpenPGP. Diese Verfahren seien aber nicht benutzerfreundlich genug, sagte dazu der Parlamentarische Staatssekretär im Innenministerium, Ole Schröder, in Berlin. Die De-Mail sei "ein absolut sicheres Verfahren".

Zur Startseite
 
Leserkommentare
  1. Jeder, der ein bisschen Ahnung von Kryptographie hat, der weiß, dass es keine absolute Sicherheit gibt. Und das ist nicht nur eine Phrase, sondern die Realität.
    Wenn jemand behauptet, das Verfahren sei "ein absolut sicheres Verfahren", disqualifiziert er sich damit automatisch. Zumindest fachlich.

    Reaktionen auf diesen Kommentar anzeigen
    • sjdv
    • 12. April 2013 13:04 Uhr

    Richtig, 100%ige Sicherheit gibt es nicht, das gilt aber auch für den Briefversand. Ein leichtes, einen Brief aus dem Kasten meines Nachbarn zu fischen und diesen aufzumachen. Das ist für die meisten bestimmt leichter, als eine verschlüsselte De-Mail abzufangen und zu entschlüsseln.

    bei de-Mail. Die benutzten kryptographischen Verfahren müssen nicht 100% sicher sein. Sie sind jedenfalls ausreichend sicher - behaupte ich mal.
    Das Problem ist die fehlende Ende zu Ende Verschlüsselung bei de-Mail.

    Jeder, der ein bisschen Ahnung von Kryptographie hat, der weiß, dass es keine absolute Sicherheit gibt. Und das ist nicht nur eine Phrase, sondern die Realität.
    Wenn jemand behauptet, das Verfahren sei "ein absolut sicheres Verfahren", disqualifiziert er sich damit automatisch. Zumindest fachlich.

    Das One-Time Pad ist ein 100%ig sicheres kryptographisches Verfahren. Ohne den richtigen Schlüssel kann man nichts entschlüsseln und der richtige Schlüssel lässt sich auch nicht mit unendlicher Rechenkapazität durch ausprobieren herausfinden. Ist natürlich für normale Anwendung wegen der Notwendigkeit des sicheren Schlüsselaustauschs absolut unpraktikabel.

    Wenn der Parlamentarische Staatssekretär im Innenministerium, Ole Schröder, De-Mail als "ein absolut sicheres Verfahren" beschreibt, ist das selbstverständlich trotzdem mit absoluter Sicherheit Augenwischerei. Man hat das Verfahren extra so angelegt, dass eine Hintertür für die Behörden offen bleibt, die dem Nutzer keinerlei Vorteil verschafft, allerdings ein unnötiges Missbrauchsrisiko birgt und damit noch nicht einmal die Sicherheit der gängigen Standardverfahren bietet.

    Hätte man das Budget dafür verwandt OpenPGP benutzerfreundlicher zu machen, hätte der Bürger mehr davon. So ist die Kohle verschwendet.

  2. Die Einzelheiten was de-mail bedeutet und welche Pflichten und Risiken der Benutzer auf sich nimmt haben hier ein paar Leute ziemlich gut erklärt: http://tinyurl.com/bpww85u

  3. mann kann auch einen Todesstoß netter setzen ^^ aber es war wohl nur eine frage der Zeit, bis man das einfach nicht sichere Verfahren schnell und klanglos zu grabe tregen würde, und sich die Politiker die es wollen wüntschten das man sich nicht an ihre Nahmen im zusammenhang erinner würde.

    So war es für vile eigentlich eine Totgeburt die durch politischen Willen am leben gahalten wurde, und der ist wohl nun nahezu verbraucht.

    Die kritikpunte und generellen sicherheitsmängel haben ja schon vorposter geschrieben.

    Eine Leserempfehlung
    • sjdv
    • 12. April 2013 13:04 Uhr

    Richtig, 100%ige Sicherheit gibt es nicht, das gilt aber auch für den Briefversand. Ein leichtes, einen Brief aus dem Kasten meines Nachbarn zu fischen und diesen aufzumachen. Das ist für die meisten bestimmt leichter, als eine verschlüsselte De-Mail abzufangen und zu entschlüsseln.

    Reaktionen auf diesen Kommentar anzeigen

    dass ein Geheimdienst oder eine Polizeibehörde wohl ohne richterlichen Beschluss, d.h. ggf. sogar ohne Schuldvermutung, ihre ganz persönlichen De-Mails lesen kann und darf, da sie jeweils unverschlüsselt bei den Anbietern von Sender und Empfänger liegen. Ganz nebenbei können dort auch noch andere Zugriff erlangen, etwa durch einen Hack. Der Hack wäre zwar sicher schwierig, dafür könnten Sie die Daten von gleich tausenden Nutzern abfangen und schauen, ob was für Sie dabei ist. Versuchen Sie mal, tausende Briefe abzufangen, da haben Sie was zu tun.

    All das wäre auf dem Postweg deutlich schwieriger weil zeitintensiver und rechtlich viel anstrengender.

  4. bei de-Mail. Die benutzten kryptographischen Verfahren müssen nicht 100% sicher sein. Sie sind jedenfalls ausreichend sicher - behaupte ich mal.
    Das Problem ist die fehlende Ende zu Ende Verschlüsselung bei de-Mail.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Die Schwachstelle sind nicht die Verschlüsslungsalgorithmen, sondern wie sie angewendet werden. Das Problem bei der De-Mail ist in diesem Fall, dass die Nachricht nicht verschlüsselt wird, sondern die Verbindungen, über welche die Nachricht verschickt wird. Das ist ein großer Unterschied. Es existieren seit Jahrzehnten genügend sichere Methoden, um ein Verfahren zu ermöglichen, dass die Nachricht an sich verschlüsselt.
    Die Nachträgliche Gesetzesänderung, die die Überprüfung sämtlicher Mails auf "Sicherheitsrisiken" ermöglicht, lässt Honeckers feuchten Traum wahrwerden, wirklich jeden Brief, der verschickt wird, aufzudampfen.

  5. De-Mail wie E-Post-Brief sind beides überflüssige, teure, national beschränkte, unsichere Angebote in der elektronischen Kommunikation. Ich vermute, daß beide in den nächten Jahren wieder vom Markt verschwinden, wenn ihnen nicht irgendeine Killer-App einfällt.

    Eine Leserempfehlung
    • ZH1006
    • 12. April 2013 13:34 Uhr

    nicht unwesentlicher Bestandteil des für die Wahrung des Postgeheimnisses zuständigen Monopolisten Deutsche Post ist die Sammlung von und der Handel mit persönlichen Daten seiner Kunden.

  6. Die Schwachstelle sind nicht die Verschlüsslungsalgorithmen, sondern wie sie angewendet werden. Das Problem bei der De-Mail ist in diesem Fall, dass die Nachricht nicht verschlüsselt wird, sondern die Verbindungen, über welche die Nachricht verschickt wird. Das ist ein großer Unterschied. Es existieren seit Jahrzehnten genügend sichere Methoden, um ein Verfahren zu ermöglichen, dass die Nachricht an sich verschlüsselt.
    Die Nachträgliche Gesetzesänderung, die die Überprüfung sämtlicher Mails auf "Sicherheitsrisiken" ermöglicht, lässt Honeckers feuchten Traum wahrwerden, wirklich jeden Brief, der verschickt wird, aufzudampfen.

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Die Post hat erkannt, dass man keine zweite Totgeburt im Portfolio benötigt.

    Das Defizit der fehlenden Ende-zu-Ende-Verschlüsselung ist im Vergleich zur Realität bei anderen üblichen Verfahren zu vernachlässigen. Das liegt erstens daran, dass Public-Key-Verschlüsselungen allgemein insofern missverstanden werden, als dass der Schlüsselaustausch für vollkommen unproblematisch gehalten wird und keine wirksame Authentizitätsprüfung vorgenommen wird. Zweitens stehen Privatpersonen und den meisten Unternehmen und Behörden keine ausreichend sicheren Endgeräte zur Verfügung, um Kommunikationsverschlüsselung überhaupt sinnvoll umzusetzen.

Bitte melden Sie sich an, um zu kommentieren

Service