Dipl.-Inform. Carsten Eilers

Das Briefgeheimnis ist sehr wichtig, aber warum sollte ich mich mit einer gesetzlichen Regelung zufrieden geben, wenn es eine bessere technische gibt? Das Briefgeheimnis kann eingeschränkt oder aufgehoben werden, und wir wissen ja alle, auf was für merkwürdige Ideen Leute aus dem Bereich der inneren Sicherheit immer wieder kommen, wenn es ums Internet geht. Aktuell angesagt z.B. die Internet-Ausweispflicht vor dem Amazon-Einkauf - und vor der Buchhandlung in der Einkaufsstraße steht dann demnächst auch ein Posten und kontrolliert die Personalausweise? Naja, das und alle anderen Ideen zu kommentieren erspare ich mir, nur so viel: Einen Internetausweis samt Internetpolizei hat auch Eugene Kaspersky schon mehrmals gefordert, das Löschen von Schadprogrammen aus der Ferne durch die Polizei aber nicht. Wahrscheinlich, weil er sich damit auskennt.

Aber zurück zum Briefgeheimnis und E-Mails. ePost soll so funktionieren: Man schreibt seine Mail im Browser, der überträgt sie SSL-geschützt an den ePost-Server, der sie verschlüsselt und an den Empfänger weiterleitet. Benutzt der ebenfalls ePost, wird die Mail nach seinem Einloggen vom Server entschlüsselt und per SSL an seinen Browser übertragen. Benutzt er ePost nicht, wird die Mail ausgedruckt, eingetütet und per Schneckenpost zugestellt. Das soll sicher sein? Naja, relativ sicher vielleicht. Aber da die Daten zeitweise unverschlüsselt auf dem Server liegen und außerdem die ePost-Server notgedrungen den Entschlüsselungs-Schlüssel kennen müssen, könnten sie dort ausgespäht werden. Von Man-in-the-Middle-Angriffen auf die SSL-Verbindung ganz zu schweigen. Warum sollte ich mich mit so einer Lösung zufrieden geben, wenn es Verschlüsselungsprogramme für den Client gibt, die im Fall von GPG auch als prüfbare Open-Source-Software vorliegen im Vergleich zur Closed-Source-Lösung der ePost? Warum sollte ich ein Angebot nutzen, bei dem Dritte meine Mails ver- und entschlüsseln, wenn es eines gibt, bei dem ich die vollständige Kontrolle über die Schlüssel habe? Wegen der Rechtssicherheit? Dafür brauche ich die ePost nicht. Signieren, auch mit fortgeschrittener und qualifizierter elektronischer Signatur, kann ich bei Bedarf auch ohne. Aber Bedarf habe ich gar nicht.

Extrem schwammige Beispiele

Von den ePost-Beispielen überzeugt mich kein einziges. Behördengänge vermeiden? Ich weiß sehr genau, weshalb ich in den letzten Jahren bei Behörden war, und in keinem einzigen Fall hätte mir eine E-Mail geholfen: Weder bei der Briefwahl noch bei der Beantragung eines neuen Personalausweises oder der Anmeldung meines Autos. Verträge abschließen und Dienstleister beauftragen? Geht auch ohne ePost sehr gut, einschließlich meiner IT-Haftpflichtversicherung. Offizielles erledigen? Bewerbungsunterlagen verschicke ich nicht, und ob Versicherungen und Ämter per ePost schneller antworten wage ich zu bezweifeln. Außerdem sind die Ämter schon in den Behördengängen enthalten, frei nach Dalli Dalli müssen wir also einen Punkt abziehen. Und vertraulich kommunizieren - mit dem ePost-Server dazwischen? Tut mir leid, wenn ich schon verschlüsseln will, dann richtig und nicht mit Drittem dazwischen, egal wie vertrauenswürdig. Dann kann nicht nur kein unberechtigter Dritter mitlesen, sondern auch keiner, der sich für berechtigt hält.

Und was ist eigentlich mit Irrläufern? vorname.nachname.nummer@epost.de - dass da mal die Nummer vergessen oder verwechselt wird, dürfte öfter vorkommen. Eindeutig identifiziert ist nur der jeweilige Benutzer gegenüber ePost, ob die Mail dann auch beim vom Absender erwarteten Empfänger landet, ist eine andere Frage. Und was das

"Da jeder E-POSTBRIEF Nutzer für die verbindliche Kommunikation eindeutig identifiziert wurde, erkennen Sie so bereits an der E-POSTBRIEF Adresse, mit wem Sie es zu tun haben."

betrifft - das ist ja wohl ein schlechter Scherz, oder? "Carsten Eilers" gibt es z.B. laut telefonbuch.de 11 mal in Deutschland. Woher soll ich wissen, welcher davon welche laufende Nummer bekommen hat, sofern er überhaupt eine ePost-Adresse hat?

Kleingedrucktes lesen nicht vergessen!

Nett finde ich einige Formulierungen in den AGB. Zum Beispiel unter 6., Pflichten und Obliegenheiten des Nutzers:

"6.3 Der Nutzer erkennt sein Nutzerkonto als seinen Machtbereich an, zu dem er Zugang hat und das für die Kommunikation mit anderen Nutzern oder Kommunikationspartnern bestimmt ist. Der Nutzer wird daher aufgefordert, mindestens einmal werktäglich den Eingang in seinem Nutzerkonto zu kontrollieren. Von einer regelmäßigen Kenntnisnahme eines E-POSTBRIEFS mit elektronischer Zustellung durch den Privatkunden ist daher spätestens am Werktag nach Eingang im Nutzerkonto auszugehen. Beim Geschäftskunden ist von einer regelmäßigen Kenntnisnahme bei Eingang innerhalb der üblichen Geschäftszeiten am gleichen Werktag auszugehen, ansonsten mit Beginn der Geschäftszeiten am darauf folgenden Werktag." [Hervorhebung von mir]

Aber sonst gehts gut? Es soll auch Menschen geben, die nicht jeden Tag ins Internet gehen. Störungen sind auch nicht so selten, dass man sie einfach ausklammern kann. Und was ist, wenn ich unterwegs bin, womöglich im Ausland? Soll ich dann irgend ein womöglich Trojanerverseuchtes Internetcafe aufsuchen und mich bei der ePost anmelden? Das darf ich aber gar nicht, siehe

"6.5 Der Nutzer hat dafür Sorge zu tragen, dass seine Zugangsdaten (Anmeldename, Passwort sowie das Mobiltelefon auf das die HandyTAN zur Anmeldung mit hohem Ident-Nachweis übermittelt wird) gegen die unbefugte Verwendung durch Dritte geschützt sind. Insbesondere hat er sein Passwort und die ggf. an ihn übermittelte HandyTAN geheim zu halten."

Da sind noch mehr derartige Regelungen drin. Juristisch sind die sicher wasserdicht, aber ob sie auch brauchbar sind?

Noch kurz zur Sicherheit...

Ich hatte ja oben kritisiert, dass die Post meine Mails ver- und entschlüsseln kann. Wem das nicht gefällt, der kann sie zusätzlich "persönlich verschlüsselt" übertragen:

"9.2 Der Versender hat zusätzlich die Möglichkeit, die Nachrichten im Versendemodus „persönlich verschlüsselt“ mit einem privaten Schlüssel – unter Verwendung eines Passwortes zu versenden. Hierfür muss ein persönliches Zertifikat im E-POSTBRIEF Portal angefordert werden, das vom Trustcenter SIGNTRUST der Deutschen Post Com GmbH ausgestellt wird. Das Zertifikat setzt sich aus dem öffentlichen Schlüssel des Nutzers sowie einer Signatur des ausstellenden Trustcenters zusammen, durch die eine eindeutige Zuordnung des Schlüssels zum Nutzer ermöglicht wird. Weiterhin wird ein privater Schlüssel generiert, der ausschließlich dem Nutzer zugänglich ist."

Da steht aber nichts darüber, wie/wo das Entschlüsseln erfolgt. Ich vermute mal, dass in diesem Fall die "persönlich verschlüsselten" Mails trotzdem auf dem Server entschlüsselt werden, wenn auch erst nach Freigabe des Schlüssels durch den jeweiligen Empfänger. Andernfalls wäre ja Software auf dem Client erforderlich. Und damit würde dieser geheime Schlüssel auf einen aus dem Internet zugänglichen Server gespeichert. Zusammen mit vielen, vielen anderen (hoffen wohl zumindest die Post-Verantwortlichen). Ein gefundenes Fressen für jeden Cyberkriminellen, oder?

Alles aus einer Hand

Werfen wir noch kurz einen Blick auf Punkt 8., Datensicherheit, der AGB.

"Die Sicherheit und Integrität der Daten war und ist ein zentraler Aspekt beim Aufbau der Systemarchitektur. Alle Systeme des E-POSTBRIEFS werden in einem Rechenzentrum betrieben, das nach dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert ist. Das gewährleistet ein Höchstmaß an technischer wie auch physischer Sicherheit. Die Sicherheit des E-POSTBRIEF Portals sowie der Übertragung von E-POSTBRIEFEN wird zudem durch neueste Verschlüsselungs- und Signatur-Technologien gewährleistet. Dadurch wird der Zugang zum E-POSTBRIEF Portal geschützt und die Integrität und Vertraulichkeit für den Inhalt des E-POSTBRIEFS gewährleistet. Es lassen sich auch bestehende E-Mail- Postfächer einbinden und über das E-POSTBRIEF Portal verwalten."

Das klingt, als wäre es nur ein Rechenzentrum, oder? In dem werden alle E-Mails gespeichert, verschlüsselt natürlich. Außerdem muss der Schlüssel bzw. das Schlüsselpaar zum Ver- und Entschlüsseln dort gespeichert sein (auch wenn die Post in der FAQ meint, sie würde das mit dem Portalzertifikat erledigen), schließlich müssen laufend neu geschriebene Mails ver- und vom Empfänger abgerufene Mails entschlüsselt werden. So, und jetzt stellen Sie sich mal eine Bank vor, in der neben dem Tresor ein Schreibtisch steht, in dem die Schlüssel und ein Zettel mit der Kombination fürs Zahlenschloss liegen. Na, wie lange wären Sie bei so einer Bank Kunde?

Carsten Eilers