Freitag, 9. März 2012

De-Mail, nein danke

Rechtsanwältin Ann-Karina Wrede hat hier bei Internet-Law einen Beitrag über De-Mail veröffentlicht, in welchem sie insgesamt ein positives Fazit zieht. Dem muss ich an dieser Stelle ganz entschieden entgegen treten.

Ausgangslage
Wie immer bei technischen Neuerungen muss man auch bei De-Mail die technisch-spezifischen Unterschiede zum eigentlich zu ersetzenden Pendant in der analogen Welt herausarbeiten. Was müsste ein böswilliger Dritter, nennen wir sie Eve, in der realen Welt wohl tun, um die Kommunikation zwischen Alice und Bob (um damit bei den altbewährten Namen zu bleiben) abzuhören, die diese per Brief führen? Dabei können Alice und Bob natürlich Privatpersonen, Unternehmen oder auch Behörden sein, je nachdem, welches Szenario man sich vorstellen möchte.

Zuerst einmal müsste Eve wissen, dass überhaupt kommuniziert wird. Am einfachsten herauszufinden wäre das wohl, indem sie einen der beiden ständig überwacht. Hier ergibt sich schon das erste Problem: Da der Briefkasten und der tatsächliche Aufenthaltsort der Personen i.d.R. auseinander fallen (Alice geht um 8 zur Arbeit, der Postbote kommt aber erst gegen 10), bräuchte Eve einen Komplizen, um etwaig eintreffende Briefe während der Abwesenheit von Alice möglichst unauffällig aus dem Briefkasten zu entnehmen, während sie selbst Alice observiert, ob diese auch ja nicht in der Mittagspause kurz zum Briefkasten der Post geht und selbst einen Brief versendet. Tut sie dies, steht Eve bei einem Großteil der Post-Briefkästen vor dem Problem, dass diese an öffentlichen Plätzen angebracht sind und sich nicht so einfach unauffällig öffnen und durchsuchen lassen. Alternativ könnte sie sich bei der Post einschleichen und dort den Brief entwenden.

Hat Eve es dennoch geschafft, einen Brief zu erbeuten, muss sie ihn zuhause über Dampf öffenen, eine Kopie machen und möglichst schnell wieder an den Ort der Entnahme zu bringen, um die mitgehörte Kommunikation nicht zu stören, da sie sonst möglicherweise unbrauchbar wird. Dies alles, um einen einzelnen, genau definierten Brief zu lesen.

Die Überwachung von Briefkommunikation in der realen Welt ist demnach nicht aufwandlos: Schließlich schafft selbst der unbedarfteste Nutzer es, einen Brief zuzukleben und in den nächsten Post-Briefkasten zu werfen, ohne dass dies eine große Fehleranfälligkeit aufwiese.

Ganz anders war es bisher im Internet. Wer durch Phishing oder Malware auf dem heimischen Rechner seiner Zugangsdaten für das E-Mail-Postfach verlustig wurde, hatte dem Angreifer oftmals den durchsuchbaren Volltext-Zugang für die Kommunikation von vielleicht mehreren Jahren (inkl. evtl. noch gar nicht versandten Drafts) verschafft.

De-Mail
Dem ganzen soll nun der De-Mail-Dienst einen Riegel vorschieben und sichere und verlässliche Kommunikation per E-Mail ermöglichen. Was macht nun De-Mail?

Führt es einen einfachen, neuen Client ein, der das in IT-Kreisen seit Jahren bewährte System von GPG und PGP mitsamt Signatur und Ende-zu-Ende-Verschlüsselung auf bestehende Postfächer aufschaltbar macht? Lässt es dem Nutzer die Wahl, sich mit mehreren Zertifikaten, von dem eines seine Identität sicher bestätigt und andere anonyme Kommunikation etwa mit privaten Unternehmen ermöglicht, im Netz zu bewegen? Dies alles, da per reiner Client-Lösung möglich, ohne die bestehende Infrastruktur mit den damit verbundenen Kosten für die Provider zu verändern? Vielleicht noch ein paar dezentrale Master-Server, die durch eine zusätzliche Schnittstelle auch sichere Ankunftsbestätigungen ermöglicht?

Nein, das alles tut De-Mail in seiner Standard-Konfiguration nicht (und man darf guten Gewissens davon ausgehen, dass die überwiegende Mehrheit etwaiger Nutzer die Standardkonfiguration beibehalten wird). Stattdessen führt es ein neues, zum normalen E-Mail-Protokoll inkompatibles System ein, für das sich Provider erst zertifizieren lassen müssen, für das sie Infrastruktur aufbauen müssen, für das man seine Identität vollumfänglich preisgeben muss und es bis vor kurzem für verschiedenste Behörden ein leichtes war, ohne Rechtsgrund die Identität des Nutzers inkl. Zugangsdaten und Passwort herauszufinden.

Dann wenden wir uns mal den einzelnen Argumenten zu:

Ende-zu-Ende-Verschlüsselung
Gegen das Argument, dass keine Ende-zu-Ende-Verschlüsselung möglich ist, wendet RAin Wrede ein, dass diese Möglichkeit durchaus besteht, nur eben nicht standardmäßig vorgesehen ist. Da hat sie Recht. Allerdings ist dann die Frage, warum der Dienst in irgendeiner Weise sicherer sein soll, als normale E-Mail-Kommunikation. Weil die Server untereinander TLS sprechen? Das verhindert vielleicht ein Abschnorcheln der Daten, wie es die Geheimdienste betreiben (natürlich nur unter der Voraussetzung, dass sie nicht ohnehin Zugang bekommen). Ansonsten ist, wenn etwa die De-Mail-Infrastruktur infiltriert wird (und dass hochsensible Daten bei Behörden und Unternehmen verloren gehen, ist ja keine Seltenheit) ein genauso einfacher Zugang zu einem De-Mail-Postfach möglich wie zu jedem anderen Postfach. Ohne defaultmäßiger, am besten auf die ohnehin bestehenden Systeme aufsetzender Ende-zu-Ende-Verschlüsselung durch asymmetrische, sichere Verfahren, ist ein solcher Dienst das Papier nicht wert, auf dem sein Einführungsgesetz abgedruckt ist.

Die Kosten
Hier gibt es wahrlich nicht viel zu schreiben. Ein Standard-Brief kostet 55c. Ein De-Mail-Brief, der mir weniger Sicherheit bietet, kostet 16c weniger, obwohl er etwa nicht per Lastwagen durch das ganze Land geschafft werden muss, niemand Austräger bezahlen muss, keine teuren Sortieranlagen beschafft werden müssen. In der Behördenkommunikation werde ich also bereit sein, diese 16c mehr zu bezahlen. Man greift damit auf ein bewährtes (Macht der Tradition), relativ sicheres System zurück und kann immerhin 6 Briefe schicken, ohne auch nur insgesamt einen Euro mehr auszugeben. Und wenn man das nicht will, benutzt man das Faxgerät, das sogar bei Gerichtskommunikation die Schriftform wahren kann.

Sinnlosigkeit des ganzen Dienstes
An meiner Arbeitsstätte wird für die gesamte interne Kommunikation per Mail starke Verschlüsselung (Thunderbird+Enigmail) eingesetzt. Nötig dafür ist eine Schulung von einigen Minuten für nicht-technikaffine Personen, der Rest kennt das Verfahren ohnehin.

Die Einführung eines Dienstes, wo ich nicht mit meinem Pass zu einem beliehenen Provider gehen muss, sondern zum örtlichen Bürgeramt gehen kann und dort persönlich einen meiner Schlüssel-Fingerprints und eine Mail-Adresse angebe (wie es die Idee eines solchen Vertrauensnetzwerkes ist), wäre bei weitem sinnvoller gewesen als dieses System, das als sichere Kommunikation verkauft wird, da so die überwiegende Mehrzahl aller Unternehmen und nach Einweisung etwa durch einen bebilderten Info-Flyer eines Ministeriums auch ein Großteil aller Privatleute Zugriff auf tatsächlich sichere Kommunikation gehabt hätte.

Keine Kommentare:

Kommentar veröffentlichen