Dipl.-Inform. Carsten Eilers

Neben der ePost ist auch die De-Mail in die Kritik geraten. Eigentlich ist das nichts Neues. Der aktuelle Kritikpunkt: Die Daten sind nicht durchgehend verschlüsselt, sondern werden auf dem Server kurzzeitig entschlüsselt und dann wieder verschlüsselt, das gleiche dann bei der Zustellung noch einmal. Genau das also, was ich in der vorigen Woche schon bei der ePost bemängelt habe. Die Telekom als einer der zukünftigen De-Mail-Betreiber sieht darin kein Problem, da die Server den "staatlich überprüften Sicherheitsstandards" entsprechen und abgeschottet sind. Das erste Argument ist dämlich, das zweite kann ja wohl nicht stimmen. Wie bitteschön kommen denn die De-Mails auf diese abgeschotteten Server? Ach, über das Internet? OK, keine weiteren Fragen, setzen, 6, durchgefallen. Aber die kurzfristige Entschlüsselung ist gar nicht das größte Problem, Kristian Köhntopp hat viel gravierende Argumente gegen die De-Mail aufgeführt. Er weist auch darauf hin, dass die Entschlüsselung notwendig ist, wenn man die Inhalte auf Viren und Spam prüfen will. Außerdem soll die De-Mail nicht in erster Linie vertraulich, sondern rechtssicher sein. Das mag sein, im Referentenentwurf zum DE-Mail-Gesetz wird aber auch ausdrücklich Vertraulichkeit als Ziel genannt:

"§1 (1) De-Mail-Dienste im Sinne dieses Gesetzes bilden eine elektronische Kommunikationsplattform im Internet, deren Dienste sicheren elektronischen Geschäftsverkehr für jedermann ermöglichen und das Internet als Mittel für rechtsverbindliches und vertrauliches Handeln ausbauen."

und

"§5 (3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten."

Wie will man überhaupt Integrität und Authentizität gewährleisten? Prüfsumme, Message Authentication Code, digitale Signatur - das alles kann wohl kaum vom Client, dem dummen Webbrowser, mitgeliefert werden. Also muss deren Berechnung auf dem Server erledigt werden, wo die Daten, während sie unverschlüsselt vorliegen, nicht nur gelesen, sondern auch manipuliert werden könnten. Ach, ich vergaß, die Server sind ja sicher. Na, dann kann ja nichts passieren.

Wenn ein Ministerium argumentiert...

... wird es oft unfreiwillig lustig. Auf die Kritik an der fehlenden Ende-zu-Ende-Verschlüsselung wurde laut einer Meldung auf Heise.de vom Bundesinnenministerium darauf hingewiesen, dass die Benutzer ihre Mail ja zusätzliche selbst verschlüsseln können: "Das System ist speziell für diese Erweiterungsmöglichkeit konzipiert." Tolle Idee. Und warum sollte ich dann noch die De-Mail verwenden? Ach ja, wegen der Rechtssicherheit. Dazu komme ich gleich noch, erst möchte ich das zweite in der Heise-Meldung zitierte Argument zerlegen: Das System ist sicher, denn im Pilotprojekt in Friedrichshafen haben Hacker mehrfach erfolglos versucht, in das System einzudringen. Was ist das denn für ein Argument? Man kann die Unsicherheit eines Systems durch einen einzigen erfolgreichen Angriff beweisen (in der Mathematik als "Beweis durch Gegenbeispiel" bekannt), die Sicherheit aber nicht durch erfolglose, egal wie viele es sind. Und wäre ich ganz fies, würde ich jetzt auch noch fragen, woher sie denn wissen wollen, dass kein Angriff erfolgreich war. Weil nicht "Hacked by XYZ" auf der Website stand? Vielleicht hat der erfolgreiche Angreifer ja seine Spuren verwischt und wartet nun nur darauf, dass die De-Mail den offiziellen Betrieb aufnimmt und er sein Wissen dann verwerten kann?

Die "Rechtssicherheit"

Der große Vorteil der De-Mail soll ihre "Rechtssicherheit" sein. Im Referentenentwurf zum DE-Mail-Gesetz wird extra darauf hingewiesen, das die De-Mail-Dienste keine Alternative zur qualifizierten elektronischen Signatur nach Signaturgesetz darstellen, um im Grund bleibt von der "Rechtssicherheit" dann nicht viel übrig. Zwar besagt

"§5 (3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten."

aber davon bleiben langfristig nur die auf Antrag des Senders auszustellenden Versand-, Zugangs- und Abholbestätigungen erhalten, die mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz zu versehen sind. Optional kann es eine Dokumentenablage geben, aber die langfristige Sicherstellung der Integrität und Authentizität der Nachrichten wird im Gesetz nicht gefordert.

Wie lange kann man nachweisen, dass ein "rechtssicher" per De-Mail zugestelltes Dokument nicht manipuliert wurde? Ja, wie kann man es denn überhaupt nachweisen? Ja wohl nur, indem man es auf dem Server liegen lässt. Und wie lange soll das gut gehen? Möchte irgend jemand wetten, dass es die ePost in 10 Jahren noch gibt? Ach, wieso denn nicht? Und wie sieht es bei den De-Mail-Anbietern aus? Im Referentenentwurf zum DE-Mail-Gesetz hat man schon vorausgesehen, dass einige Anbieter sehr schnell wieder vom Markt verschwinden könnten. § 11, Einstellung der Tätigkeit, legt fest, dass der, der den Betrieb einstellt, die De-Mail-Konten an einen anderen Betreiber übergeben muss. Klappt das nicht, haben die Kunden 3 Monate Zeit, ihre Daten in Sicherheit zu bringen. Wie, wird man dann schon sehen. Oder auch nicht. Der Sender hat immerhin die vom De-Mail-Betreiber signierten Versand-, Zugangs- und Abholbestätigungen und ist halbwegs auf der sicheren Seite, der Empfänger hat eben Pech gehabt. Wieso nutzt er auch die De-Mail?

De-Mail - Maßgeschneidert für Behörden

Ich habe den Eindruck, die De-Mail ist für einen einzigen Anwendungszweck maßgeschneidert: Als Ersatz für die bisher als Einschreiben bzw. mit Zustellungsurkunde verschickten Behördenbriefe. Für andere Anwendungszwecke ist die De-Mail weder besonders gut geeignet, noch bietet sie irgend welche Vorteile. Die schnellere Zustellung ist jedenfalls keiner. Was wäre denn so dringend, dass es nicht auch per Briefpost verschickt werden kann? Alles, was an Fristen gebunden ist? Wer die verpennt, hat auch mit De-Mail ein Problem, damit kann er nämlich noch etwas länger pennen. Und wie oft verschickt man sowas als normaler Bürger? Mir fällt im Moment nichts ein, bei dem wirklich Zeitdruck besteht. Die Steuererklärung zählt nicht, wer die erst am 31. Mai ausfüllt und in Papierform abgibt, muss dann halt zum Finanzamt fahren und den Brief selbst einwerfen. Betrachten wir die andere Richtung. Was habe ich davon, wenn mich Schreiben schneller erreichen? Gar nichts, oder?

Aus Unternehmenssicht sieht das etwas anders aus, aber um da den Vorteil nutzen zu können, müssen die Kunden erst mal so dumm sein, und die De-Mail nutzen. Die einzigen, die von der De-Mail wirklich profitieren könnten, sind wohl Rechtsanwälte, die öfter mal dringende Schreiben ans Gericht schicken müssen. Aber die sind bisher auch gut ohne De-Mail ausgekommen, warum sollten sie sich die mitsamt ihren Nachteilen jetzt also aufhalsen?

Carsten Eilers