Überwachung

Warnung vor de-Mail

Gestern Abend haben CDSU und FDP also ihr de-Mail-Gesetz beschlossen. Es ist schon ein starkes Stück, was den Bürgern jetzt untergejubelt werden soll:


netzpolitik.org - ermöglicht durch Dich.

  1. Als „verschlüsselt“ werden die Emails bezeichnet, um die Anwender in falscher Sicherheit zu wiegen: Der de-Mail-Server bekommt den Generalschlüssel und jede de-Mail wird auf dem Transportweg einmal geöffnet und umkodiert. Eine Ende-zu-Ende-Verschlüsselung ohne eingebaute Hintertür, bei der nur der Empfänger die Nachricht entschlüsseln kann, wurde abgelehnt, obwohl mehrere Sachverständige auf die Notwendigkeit hingewiesen haben, und der Bundesrat sie explizit gefordert hat.
  2. Man wird verpflichtet, die de-Mails regelmäßig abzuholen. Eine de-Mail entspricht also einem Einwurf-Einschreiben: Einmal abgesendet, gilt sie als zugestellt. Wer einmal ein paar Wochen im Urlaub war, und auf ein Einwurfeinschreiben nicht schnell genug reagieren konnte, weiß, wovon ich rede. (Binninger von der CDU dementiert das)
  3. und selbstverständlich soll man für den Quatsch auch noch bezahlen

    Ich könnte jetzt hier noch auf ein paar mehr Kritikpunkte eingehen, aber allein die Verschlüsselungslüge reicht mir schon völlig aus. Was man im Briefbereich niemals hätte durchsetzen können, wird den Bürgern jetzt per Bundes-Standard aufs Auge gedrückt: Die Möglichkeit, jede de-Mail problemlos mitzulesen. Und das geschieht nicht wider besseren Wissens: Als der Bundesrat eine sichere Ende-zu-Ende-Verschlüsselung forderte, antwortete die Regierung bekanntermaßen:

    Eine Ende-zu-Ende-Verschlüsselung gefährdet das gesamte Ziel von de-Mail […]

    Finger weg!

    80 Kommentare
    1. Es gibt einen Grund, warum man Informatik studieren kann.

      Das Beispiel zeigt was passiert, wenn Laien mit geringer Anklickbefähigung glauben, über IT entscheiden zu können.

    2. Warum zum Henker haben die das nicht alles auf Basis von GPG/PGP gemacht? Man hätte sich einfach beim Bürgerbüro den eigenen, öffentlichen Schlüssel nach Vorlage eines Identifikationsdokumentes unterschreiben lassen können. Von mir aus hätte der Staat auch Keyserver betreiben können.

      Stattdessen so ein alberner Unsinn.

      1. @Dragan: Genau das bete ich auch ständig rauf und runter (Signaturprovider für pgp/gpg). Sie könnten es sooo einfach haben. Infrastruktur (Software, Server) ist bereits vorhanden. Für die Signatur könnten sie meinetwegen auch Kohle nehmen. Einfacher gehts doch nicht?

    3. Bin ich denn in irgendeiner Weise berechtigt (oder befähigt) die Annahme dieser Mails zu verweigern?

      Und was ist wenn es ein Schadprogramm gibt, das solche Mails automatisch löscht? Bin ich fein raus wenn ich das Vorhandensein eines solchen Programmes belegen kann?

      1. @ #4 (aniS)
        Du bist nur dann fein raus, wenn Du kein Fachkundiger bist (denen unterstellt man, dass sie automatisch in der Lage sein müssen, Rechnersysteme administrieren zu können) und in den Benutzungsbestimmungen nicht steht, dass das Vorhandensein einer Personal Firewall(!) und eines stets aktuellen Schadsoftwareprüfprogrammes Voraussetzungen sind, um am Verfahren teilnehmen zu können und Du diesen Schwindel nicht bei Anmeldung bestätigen musst.

    4. Ist es nicht so, dass für Emails das Telek. Gesetz/Geheimnis an zu wenden ist und für die echte Post eben das Porst / Brief-Geheimnis? Und dass das Fernmeldegesetz dem Staat mehr gesetzl. Möglichkeiten gibt?

      Das alleine ist schon Grund genug da nicth mit zu machen,selbsst wenn es Ende-zu-Ende-verschlüsselt wäre. Die wissen ja immernoch wann ich wem etwas schicke.

      Die Geschichte mit den Vorratsdaten des MdB war ganz interessant. wobei vor allem die Verknüpfung von Diensten wie Twitter und Partei Webseiten Probleme macht. Die Handy Daten waren fast uninteressant, zumindest solange nicht die Nr. der Gesprächspartner oder aufgerufene URLs aufgelistet werden.

    5. Tja, und wieder mal ein unqualifizierter Beitrag zum Themenkreis Internet von unserer Regierungsfraktion.
      Aber nach Stopschildern, Klar-Namen Initiativen und Radiergummis ist man daran ja schon gewöhnt…

    6. Mmh, kurz eine Frage zu dem Thema:
      Daraus soll Man(n) / Frau jetzt schlau werden?!
      Wie ist das wenn man jetzt schon eine de.mail beantragt hat und diese auch schon vom Provider bestätigt bekommen hat?
      Kann man dies den wieder Rückgängig machen oder bleibt diese wie vom Provider angekündigt ein Leben lang bestehen??

    7. Ich habe schone so eine de Adresse von gmx.
      Das das nur von seitens des Empfängers verschlüsselt wird, hat nicht mit Sicherheit zu tun. Der Server ist halt nur einer von Vielen. Da bringt es gar nicht, es sei denn der Schlüssel würde mit verschlüsselt zugesand werden. Aber auch das scheint mir unsicher. Wenn man den Postboten erlauben würde, die Post zu öffnen. Genauso sicher ist das.

    8. Natürlich ist de-Mail gefährlicher Unsinn und niemand „von uns“ würde das ernsthaft nutzen wollen. Meine Befürchtung ist aber, dass es nicht bei billigen Werbelügen bleibt.

      In Zukunft könnte man für bestimmte Behördenaktionen zur de-Mail gezwungen werden (z.B. Umsatzsteuervoranmeldung nur noch per de-Mail) oder zumindest bei Nicht-Nutzung benachteiligt werden (Offline-Gebühren beim realen Gang in’s Rathaus). Das ist was mir am meisten Sorgen bereitet.

    9. @Sebastian

      Gut möglich, dass man gezwungen wird.

      Dann kostet der Vorgang per FAX oder Telefon einfach Geld, und ein Onlineportal oder DE-Mail eben nicht.

    10. zu Punkt 2: ‚Man wird verpflichtet, die de-Mails regelmäßig abzuholen.‘

      Das stimmt so nicht mehr. Hier haben die wohl klammheimlich nachgebessert. Es gibt jetzt das Konstrukt der ‚Abholbestätigung‘. Erst wenn man eine so markierte Mail öffnet, geht diese Abholbestätigung an den Absender.

      Nachzulesen hier:
      https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/De_Mail/TR_De_Mail_PVD_FU_pdf.pdf?__blob=publicationFile

    11. @Klaus: Ich verstehe deinen Beitrag nicht vollständig, aber ich habe das Gefühl, dass du ansynchrone Verschlüsselung nicht verstanden hast.
      Bei eben solcher werden die Schlüssel (alias, Passwörter, alias Geheimnisse) einfach öffentlich weitergegeben, weil man Dinge, die mit SchlüsselA verschlüsselt wurden nicht mit SchlüsselA entschlüsseln kann, sondern nur mit SchlüsselA1 und den behält man geheim.

      Zum schnellen Informieren: http://www.netzpolitik.org/2010/cc-video-erklart-ende-zu-ende-verschlusselung/

      1. @Frog: Nö, selbst verschlüsseln geht nicht, wenn dir Behörde X den Bescheid Y einfach nicht mit deinem öffentlichen Schlüssel verschlüsseln will, und auch selbst keinen Schlüssel anbietet damit man ihnen zeug schicken kann.
        Und von privat zu privat brauche ich kein DeMail.

    12. @joanna: Ein „Briefgeheimnis“ gibts für mails nicht. Im Gegensatz zu Briefen dürfen die von Sicherheitsbehörden ohne Richtervorbehalt mitgelesen werden. Deshalb brauchts da ja auch eine funktionierende Ende-zu-Ende-Verschlüsselung wie z.B. per GPG/PGP.

    13. „jede de-Mail wird auf dem Transportweg einmal geöffnet und umkodiert“

      Bedeutet dass das alle de-Mails irgendwo über einen zentralen Knoten laufen?
      Weil wenn nicht, dann wäre sie ja genauso sicher/unsicher wie jede andere unverschlüsselte Mail.
      Nur dass sie das verwirrend-falsche Prädikat „verschlüsselt“ auf sich trägt.

      1. @dertypausderdrittenreihe:
        exakt das bedeutet das – wobei es nicht ein Server ist, sondern ein paar Server…

        Wie vor Zeiten mal in der de-mail-faq stand (heute find ich sie nicht mehr) kein Mitarbeiter kann einfach darauf zugreifen, dazu braucht es mindestens zwei.
        Und das ist doch ganz gute Sicherheit, findest Du nicht?

    14. So, ich hab jetzt diese ‚Technischen Richtlinien‘ etwas genauer gelesen:

      Das mit der Abholbestätigung ist echt lustig. Dazu muss man wissen, das das Einloggen in den DE-Mail Server in 2 Stufen funktioniert. Die erste Stufe (Authentisierungsniveau Normal) funktioniert ganz normal mit Name und Passwort. Die zweite Stufe (Authentisierungsniveau Hoch) mit Name, Passwort und (SMS)TAN. Wenn mir also das Amtsgericht eine DE-Mail mit Abholbestätigung schickt, bekomme ich diese Mail in mein DE-Mail Postfach und zusätzlich noch eine Benachrichtigungsmail darüber (auch in mein DE-Mail Postfach). Der Unterschied zwischen beiden ist, das ich die Benachrichtigungsmail immer sehen und abholen kann, auch wenn ich nur mit Authentisierungsniveau Normal angemeldet bin. Die eigentliche Mail mit der Abholbestätigung kann ich nur abholen, wenn ich mit hohem Authentisierungsniveau Hoch angemeldet bin.

      Liebe Politiker und Bürokraten beim BSI: wenn ich also sehe das da böse Post für mich liegt, dann melde ich mich einfach 90 Tage lang nicht mit hohem Authentisierungsniveau an und kann so die Frist verschleppen? Oder wird zetgleich noch das normale Einwurf-Einschreiben rausgeschickt? Wenn ja, wofür brauchen wir dann DE-Mail?

    15. @Zensurgegner
      Von Heise ausgeguttenborgt: Nur falls ein Bürger eingewilligt habe, seine Verwaltungsverfahren ausschließlich digital abwickeln zu lassen, gelte eine De-Mail analog zum Briefverkehr ebenfalls nach drei Tagen als zugestellt. Damit solle eine Missbrauch des Dienstes zur Umgehung von Behördeneinschreiben verhindert werden.

    16. Habe schon vor Längerem beschlossen, mich dem De_mail-Zirkus zu verweigern. Ich stelle mich doch nicht eine Viertelstunde bei der Post an, um noch ein beschissenes email-Postfach freizuschalten?! Das brauchen Organistinen und Behördn, ein Mensch braucht das nicht.

    17. @Troll
      Genau das meine ich! Wenn ich NICHT eingewilligt habe, meine Verwaltungsverfahren ausschließlich digital abzuwickeln, kann ich einfach durch Nichtabholung die Frist verschleppen. Und ab wann beginnen bei der DE-Mail die 3 Tage? Ab Versand-, Eingangs- oder Abholbestätigung?

    18. @Zensurgegner:
      Du solltest die Richtlinien komplett lesen. Eine Benachrichtigung hat immer den Sicherheitslevel der Usprungsnachricht.

      Zu der End2End Verschlüsslung:
      Es wird gerne ein wichtiger Punkt übersehen. Im öffentlichen De-mail Adressbuch ist ein Feld für den Public-Key.

      Das ist ein extremer Vorteil gegenüber der aktuellen Situation! Ich kann also dort meinen PGP Schlüssel hinterlegen und jeder kann sicher sein (da identifizierte Teilnehmer), dass dies wirklich mein Schlüssel ist.
      Das ist sicherer als die aktuelle Situation mit Keyservern und RingOfTrust (und bevor jetzt jemand wiederspricht: Leute, wie viele von euch haben einen signierten Key?)
      @Dragon: Das ist also genau das, was Du haben willst – es ist schon jetzt Bestandteil von De-Mail

      Niemand verbietet es einem, seine De-Mails zu verschlüsseln. Ganz im Gegenteil. Es ist nur keine Pflicht.

      Punkt 2: Wie schon geschrieben, falsch wiedergegeben.
      Die neu eingeführte Abholbestätigung hat folgenden Zweck. Behörde X schickt mit eine De-Mail, es kommt 3 Tage lang keine Abholbestätigung. Ergebnis: Ich bekomme das Dokument nochmal schriftlich, diesmal mit Zustellurkunde.

      BTW: Das wurde von von Österreich übernommen. Die dortige Lösung (die sich nicht groß von De-Mail unterscheidet) kannte das schon vorher.

    19. @Sven
      Seite 12, Abschnitt 3.1.2.3 Abruf und Darstellung der Nachrichten
      Der Postfachdienst stellt sicher, dass der Nutzer nicht auf Nachrichten zugreifen bzw. diese abrufen kann, falls sein aktuelles Authentisierungsniveau gegenüber seinem De-Mail-Account niedriger ist, als vom Absender gefordert wurde. Der Nutzer erhält in diesem Fall eine Information, dass eine Nachricht mit einem erforderlichen, höheren Authentisierungsniveau eingegangen ist.

    20. @Zensurgegner:
      Das bedeutet, dass man eine Info bekommt, Du hast Nachrichten, kannst sie aber nicht lesen.
      Sprich, Du weißt in dem Moment ja noch gar nicht, dass da eine Behörde etwas von Dir will, denn auch der Absender ist in dem Fall nicht zu erkennen.

      Und die Zugangsbestätigung selber
      siehst Du auch nicht:
      „falls in der ursprünglichen Nachricht die Versandoption „Persönlich“ gesetzt war, wird auch die Bestätigungs-Nachricht mit der Versandoption „Persönlich“ versendet.“

      Das findest Du unter 7.3 Transport

      Zum Verständnis: Bei der Versandart „förmlichen Zustellung“ ist die Nachricht mit der Option „persönlich“ versehen (findet sich weiter vorne)

    21. Glauben die immernoch, dass in 5 Jahren 20% der Post per de-Mail verschickt wird, wie es im Gesetzesentwurf drinstand?

      Obwohl es Geld kostet, nicht dem Schriftformerfordernis genügt, unsicher ist, zentral ist, sich auf einen popelig-kleinen Nationalstaat beschränkt, Anpassung von Software erfordert, vom Feeling her eine eMail bleibt, unter dem Henne-Ei-Dilemma leidet und als die Totgeburt die es damit schon ist, zum Versuch ansetzt, ein ganz gut funktionierendes System zu ersetzen.

      Das nennt sich Kompetenz. Naja, ist ja nicht mein Geld, das da verbrannt wird.

    22. ja ja, alles klar:

      „Die End zu End Verschlüsselung gefährdet das gesamte Ziel von de-mail“.

      Halten es nicht mal mehr für nötig die wirkliche Motivation ihres Gesetzes zu verschleiern..
      Das allein lässt schon tief, sehr tief blicken.

      Und da soll man sich noch ein Restvertrauen in Anständigkeit & Verfassungstreue unserer Volksvertreter bewahren?

      Da müsste man dann schon mit dem Klammerbeutel gepudert worden sein….

    23. Die Behauptung Binningers ließe sich mit einem einfachen Blick ins Gesetz nachprüfen. Das wäre doch besser, als zu spekulieren. Das Gesetz verpflichtet die Provider übrigens auch, einen Keyserver zu betreiben und jeder der möchte, kann end-2-end verschlüsseln. Also wer lesen kann ist klar im Vorteil ;-)

    24. @ Anticonformiste: Seit 1991 kann jeder, der möchte end-2-end verschlüsseln. Werden deshlab klassische Email-Services als generell „verschlüsselt“ angeboten? Brauchten wir dafür „neue“ Email oder gar ein Gesetz? Schlimmer noch: Wie viel % wenden es an? Ändert sich diese Prozentzahl, wenn Laien ohnehin davon ausgehen, ihre de-Mails wären verschlüsselt? Bewirbt google Gmail via SSL als „verschlüssselte Email?“
      Und was sit eigentlich mit dem tollen verschlüsselten Skype?
      Zum Thema hab ich mich hier auch noch einmal geäußert.

      Wer die Email neu erfinden will, der muss schon auch ein neues Feature einbauen!

    25. Mh, was jetzt? Die bisherigen Kommentare sind sehr widersprüchlich und hinterlassen mich etwas ratlos. Im Zweifel für den Datenschtuz: Klingt so, als sollte ich zur Sicherheit bei de-Mail erst mal NICHT mitmachen.

    26. @Linus #48, @dms #50
      so sehe ich das auch, wenn schon neue Dienste, *sollten* sie auch Neues und Sinnvolles mitbringen.
      Das Ganze ist m.E. alter Wein in neuen Schläuchen (oder umgekehrt)
      D.h. das Ganze ist überflüssig wie der berühmte Kropf – und dazu noch gefährlich wie der griechische Trojaner (für „normale“ User praktisch nicht erkennbar)

      Finger weg!

    27. Ihr kotzt mich alle so an, echt jetzt.
      Wird Euch das nicht langsam langweilig?
      Netzpolitik schreibt einen neuen Beitrag über die üblichen Verdächten und ihr alle so – YEAH!
      Bis auf den Beitrag von „Zensurgegner“ -niemand der sich wirklich mit den tatsächlichen Fakten auseinandersetzt und das ganze auch mal konstruktiv diskutiert. Alles was aus dem Establishment und nicht aus eurer heimelig nerdigen Netzwelt kommt ist per se schlecht. Tolle Wahrheit. Warum investiert Ihr Eure Energie nicht darin Dinge besser zu machen die – zugegebenermassen – noch suboptimal laufen? Die Politik und die entsprechendne Arbeitskreise stehen jedme Bundesbürger offen. Ich finde De-Mail ist eine super Idee, die derzeit halt noch Schwächen hat. DAs kann und wird aber alles noch werden. Ausserdem ist mir ehrlich gesagt selbst eine unverschlüsselte Email an das Bürgeramt 10 mal lieber als nen halben Tag Urlaub zu nehmen, 2 Stunden rumzusitzen, nur damit ich meine Adresse ummelden kann. Wenn – im unwahrsscheinlichen Fall – das jetzt jemand faked – genauso könnte jemand mit gefälschtem Ausweis meine Adresse ummelden. Alles schon passiert. Zum Und zum Thema Behördenpost – glaubt Ihr denn im Ernst die heutige Praxis ist hier besser / sicherer? Wenn jemand wirklich will, öffnet er jeden Brief und verpackt ihn wieder in einem original ausehendem Umschlag – das geht mit wesentlich weniger Auswand als sich in ein komplett unverschlüsseltes Email Postfach einzuhacken. Bei uns im Haus gab es so einen Fall … Schaut Euch dochmal den Standard deutschen Briefkasten an, da kommmt – komplett ohne WErkzeug jede Frauen- oder Kinderhand rein – Briefe rausholen, klauen, kopieren, verfälschen, etc .. Auch zum Thema „Gilt als Zugestellt“ – Kennt Ihr überhaupt die aktuelle GEsetzeslage bei der Briefpost? Da wäre die De-Mail nen echter Fortschritt- lang nicht perfket, aber um Längen besser als das was heute gelebte Praxis ist.

    28. PS: Alle die hier von pgp/gpg als die super sichere Lösung schwärmen. Ihr kennt schon diese Geschichte hier oder? http://news.cnet.com/8301-31921_3-20025767-281.html

      Wer sagt Euch denn, dass pgp wirklich so sicher ist wie ihr glaubt? Wenn ich die NSA wäre würde ich aus allen zig tausend open source projekten weltweit genau 2 aussuchen, um dort gezielt einen mole einzuschleusen – truecrypt und Pgp

    29. Da steht grober Unfug wenn nicht sogar explizit die Unwahrheit gesagt wird zum Thema E2E-Verschlüsselung:

      > http://www.cio.bund.de/DE/IT-Projekte/De-Mail/Buergerinnen_und_Buerger/buergerinnen_und_buerger_node.html

      „Jederzeit möglich: Ende-zu-Ende-Verschlüsselung und elektronische Signatur

      Um Ihre Nachricht qualifiziert elektronisch zu signieren und/oder Ende-zu-Ende zu verschlüsseln, können Sie jede De-Mail mit eigenen Komponenten nach Bedarf ergänzen.

      Die Nutzung der Ende-zu-Ende-Verschlüsselung wird erheblich dadurch vereinfacht, dass alle De-Mail-Provider verpflichtet sind, einen Verzeichnisdienst anzubieten, in dem Sie Ihre öffentlichen Schlüssel bzw. Verschlüsselungs-Zertifikate hinterlegen können.“

      Ist es eigentloch so wahnsinnig schwer den Unterschied zwischen

      „die Nutzer müssen E2E-Verschlüsselung verwenden“

      und

      „die Nutzer können E2E-Verschlüsselung verwenden“

      zu verstehen?

    30. Traurig, was hier an Fehlinformation verbreitet wird. Die De-Mail ist in erster Linie als Ersatz fürs Einschreiben gedacht. Man soll nachweisen können, dass man was verschickt hat. Jeder, der schon mal versucht hat, einen Vertrag zu kündigen, weiß, wie nützlich das sein kann (Ihr Fax war unleserlich, der Brief ist nicht angekommen, das Einschreiben war ohne Inhalt …). Also rechtssichere Kommunikation mit Behörden, Banken, Unternehmen. Kaum anzunehmen, dass De-Mail fürs private Chatten oder als sicheres Kommunikationsmittel von Raubkopierern verwendet werden wird, oder? Wer nicht mal 1 Euro für einen Film beim Verleih investiert, wird wohl auch keine 39 Cent für eine De-Mail bezahlen.
      Ein Einschreiben ist auch nicht 100% vor Mitlesern geschützt. Schließlich kann man den Umschlag aufreißen. Auch ein Einschreiben dient der rechtssicheren Zustellung, nciht der 100%igen Geheimhaltung der darin befindlichen Daten.

    31. Das ist ja mal wohl absoluter Schwachsinn was einem da wieder Aufgedrückt wird…. Für was bekommen die Narren eigentlich Ihr Geld??? Fürs denken nicht oder???

      Boah…

    32. Ich müsste lügen, wenn ich behaupten würde, daß mich das überrascht!

      Wir werden doch die ganze Zeit von den Internet-Scheiß verârscht.

      z.B. die ganzen Apps = Sobald du dein Smertfon einschaltest, weiß jeder, wo du bist
      oder Fressê-Buch…. ähm „Facebook“ alles Betrug und Spionage

      Und dann noch die Werbung, die ich letzten gehört habe:
      „Dokumente und (weisnichtwas) speicher ich bei Web.de, da hab ich jede Menge Speicher“

      Dazu kann ich nur sagen: Ich NICHT! Es ist jawohl klar, daß die sofort darin rumschnüffeln.

      К чёрту с интернет!

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht.