E-Government-Gesetz: Bundesregierung will Verschlüsselungsstandards senken

Lang war es still um De-Mail. Dies lag vornehmlich daran, dass es keine Nutzungmöglichkeiten für den „sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet“ gab.

Die Bundesregierung will dies nun ändern, indem Sie in einem breit angelegten Gesetzesvorhaben De-Mail als Möglichkeit für die Behördenkommunikation vorschreibt: Alle Behörden sollen per De-Mail erreichbar werden und die elektronischen Pendants zur Unterschrift akzeptieren können.

Schon vor Beschluss des De-Mail-Gesetzes wurde von vielen Seiten kritisiert, dass das Verfahren keine Ende-zu-Ende-Verschlüsselung bietet. Eine De-Mail kann sowohl von den Providern des Absenders, als auch des Empfängers entschlüsselt werden, was im Rahmen der Übertragung auch geschieht. Eine De-Mail ist daher weniger vertrauensvoll als ein Brief und gegen fremde Augen nicht mehr oder weniger sicher als eine Email oder eine Postkarte: Das Ziel, eine sichere Alternative zur Email zu bieten, wird also derzeit verfehlt.

Daraus ergeben sich nun für sensible Daten große Probleme, zum Beispiel im Steuer-, Sozial- und Justizbereich: Die De-Mail in ihrer jetzigen Form genügt den gesetzlichen Ansprüchen an Kommunikationssicherheit nicht. Die naheliegende Reaktion wäre es nun, das De-Mail-Gesetz nachzubessern. Statt jedoch De-Mail auf eine sichere Technikgrundlage zu hieven, soll der aktuelle Schutz in mehreren Gesetzen aufgeweicht werden. Im Teil „Änderung der Abgabenordnung“ des Gesetzentwurfs zur Förderung der elektronischen Verwaltung heißt es dann:

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.

Die vorgeschlagenen Ausnahmeregelungen sind ebenso einzigartig wie gefährlich: Statt auf ein sicheres Verfahren zu setzen, werden die gesetzlichen Ansprüche anhand fadenscheiniger Argumente herabgesetzt:

  1. Kurzzeitige Entschlüsselung: Dieses Argument kennen wir schon aus der Debatte ums De-Mail-Gesetz. Natürlich ist es für das Abhören von E- oder De-Mails völlig egal, ob ich sie nur für eine Sekunde oder einen halben Tag entschlüsselt werden: Wenn sie automatisch entschlüsselt werden können, sind sie nicht verschlüsselt. Wer den Server eines der wenigen De-Mail-Anbieter kontrolliert (zum Beispiel der Provider selbst, ein Angreifer oder Geheimdienste), hat Zugriff auf alle darüber abgewickelte Kommunikation.
  2. Überprüfung auf Schadsoftware: Das Versenden einer De-Mail kostet Geld und wird anonym nicht möglich sein. Für Masseninfektionen per Spam ist der Dienst daher denkbar ungeeignet. Wer die Kosten auf sich nimm, sich unter einer falschen Identität ein De-Mail-Konto zu verschaffen, um mit diesem dann gezielt Viren an ein ausgewähltes Opfer zu senden, wird dafür auch Schadsoftware nutzen, welche die automatische Prüfung nicht erkennt. So wird den Nutzern durch den serverseitigen Virenscan eine falsche Sicherheit vorgegaukelt.

Welche Gründe mag die Regierung haben, auf ein Verfahren zu setzen, das offensichtliche Schwächen hat, noch dazu mit einer technisch unhaltbaren Begründung? Durch das Einführen von De-Mail als einzigem legalen (und technisch möglichen) elektronischen Weg der Behördenkommunikation setzt man auch auf eine Verbreitung in der privaten und Unternehmenskommunikation. Schließlich ist das Verfahren so sicher, dass es das einzige von der Regierung akzeptierte ist!

Ein Beweggrund mag die Verwertbarkeit elektronischer Daten in der Strafverfolgung und Geheimdienstarbeit sein: Eine Ende-zu-Ende-Verschlüsselung ließe interessierte Stellen außen vor, wenn im Rahmen einer gesetzlichen oder ungesetzlichen Maßnahme auf die Kommunikation eines Verdächtigen zugegriffen werden soll. Für BKA und BND wäre eine flächendeckende Ende-zu-Ende-Verschlüsselung, die noch dazu vom BSI zertifiziert ist, ein Alptraum. Für diese Überwachungsmöglichkeit opfert die Regierung die Sicherheit ihrer Bürger vor Angreifern.

Sichere Verfahren zur Email-Verschlüsselung existieren seit über 20 Jahren und funktionieren recht einfach. Es ist ein fatales Signal, dass ein im 21. Jahrhundert erzwungener Standard weit hinter der Sicherheit dieser Verfahren zurück bleibt.

Ich werde morgen, um 12:00h meine Argumente als Sachverständiger in der Anhörung des Innenausschuss des Bundestages vortragen. Die Anhörung ist öffentlich und findet im Paul-Löbe-Haus, Raum 4.400 Konrad-Adenauer-Str. 1, 10557 Berlin statt

Update: In seiner Rede vom 21.02.2013 setzt der Abgeordnete Jan Korte das Gesetzesvorhaben in den größeren Zusammenhang:

Verwaltungsverfahrensgesetz, Sozialgesetzbuch, Abgabenordnung, Passgesetz, Personalausweisgesetz, Gesetz über Umweltverträglichkeitsprüfung, Umweltschutzprotokoll-Ausführungsgesetz, Aufenthaltsgesetz, Bundesstatistikgesetz, Rechtsdienstleistungsgesetz, Satellitendatensicherheitsgesetz, Gesetz zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern, Gewerbeordnung, Handwerksordnung, Sprengstoffgesetz, Berufsbildungsgesetz, Berufsqualifikationsfeststellungsgesetz, Straßenverkehrsgesetz etc. pp. Überall gibt es irgendwo ein lästiges Schriftformerfordernis, das man kippen und durch De-Mail ersetzen möchte.

23 Ergänzungen

  1. Naja, die Überprüfung auf Schadsoftware kann schon Sinn machen. Oft genug wird Schadsoftware ja von gekaperten Rechnern/Accounts verschickt. Die könnte dann wahrscheinlich den De-Mail des gekaperten Rechners verwenden. Einen eigenen De-Mail Account braucht der Übeltäter dazu nicht.

    Insofern sehe ich die Überprüfung auf Schadsoftware zwar als richtiges, aber nicht als schlagendes Argument an und bin somit dagegen.

  2. Am Ende sieht die Sicherheit der De-Müll so aus: Dem Betreff wird automatisch ein „Unbefugte bitte nicht lesen. Liste der Befugten entnehmen Sie der De-Mail“ vorgesetzt.

  3. Liebe Naivlinge!

    Niemand in den staatlichen Institutionen hat ein Interesse an Datenschutz, Privatsphäre, Bürgerrechten oder rechtsstaatlichen Prinzipien. Kapiert es endlich!

    Der Kampf ist verloren. Beinahe täglich tauchen neue Frontlinien auf. Der Gegner ist übermächtig.

    Innere Emigration war schon einmal in dunklen Zeiten die beste Lösung für das eigene Seelenheil.

    Wer die Massen beherrscht, beherrscht alles.
    Die Massen wollen totale Überwachung. Sicherheit über alles.
    Datenschutz ist Täterschutz. Die Polizei, Dein Freund und Helfer. Diese Propaganda verfing auch schon zu Nazi-Zeiten.

  4. De-Mail Produzent secunet gehört zum Security Industrial Complex:

    Giesecke & Devrient hält 79 % der Anteile an der secunet Security Networks AG, in dessen Aufsichtsrat Karsten Ottenberg und andere G&D Akteure sitzen. secunet und eine weitere G&D-Tochter, Giesecke & Devrient Egypt Ltd., waren bei der Produktion von Ausweisen und Chipkarten für Telekommunikation, Kartenzahlung, Industrie- und Regierungsanwendungen in Ägypten verantwortlich. Hierbei kooperierte die ägyptische Tochter von G&D mit dem Telekommunikationsunternehmen Orascom Telecom, dessen Vorstandsvorsitzender und Großaktionär Naguib Sawiris der reichsten Familie des Landes angehört, die dem Mubarak-Regime nahe stand. Sawiris vertraute bis zum Rücktritt Mubaraks auf dessen Vizepräsidenten und Geheimdienstchef Omar Suleiman, der in Programme zur Verschleppung von Terrorverdächtigen durch den US-Geheimdienst CIA involviert war. Die secunet Security Networks AG war darüberhinaus gemeinsam mit G&D Egypt Services Ltd. für die Errichtung der IT-Sicherheitsinfrastruktur in Ägypten verantwortlich. secunet präsentiert sich selbstbewußt auf der Rüstungsmesse IDEX und kümmert sich um den zunehmenden Bedarf am Schutz von kritischen Infrastrukturen und Informationssicherheit im arabischen Raum.

    secunet, Gewinner des Big Brother Awards, Sicherheitspartner der BRD und Mitglied des eingetragenen Vereins ITSMIG profitiert überwiegend von Regierungsaufträgen (ELSTER, De-Mail,digitale Lesegeräte für elektronische Ausweisdokumente, SINA-Komponenten für Bundeswehr/ NATO und Internet-Provider):

    ” Die Förderung der IT-Sicherheit liegt im gemeinsamen Interesse und der beiderseitigen Verantwortung von Staat und Wirtschaft. Das Bundesministerium des Innern hat deshalb nach den Anschlägen vom 11.September 2011 den Dialog mit Vertretern und Vertreterinnen aus der IT-Sicherheitsindustrie intensiviert. Für die Umsetzung ihrer Strategien zur IT-Sicherheit benötigt die Bundesregierung starke Partner in der Wirtschaft, zum Beispiel für die Herstellung geeigneter Produkte.”

    secunet wurde 1997, als Ausgliederung des RWTÜV Essen gegründet. Mit der Übernahme der amerikanischen Firma seculab Inc.(vorher TUViT Inc.) gelang secunet der Einstieg in den weltweit größten Markt für IT-Sicherheit . Seculab zählte unter anderem die IBM Tochter Tivoli Systems Inc. und Daimler Chrysler zu ihren Kunden. TUViT war eines der ersten unabhängigen, von der National Security Agency (US-Geheimdienst NSA) und dem National Institute of Standards and Technology (NIST) akkreditierten Common Criteria Evaluation Labore. „It is the first accredited both in this country and Europe. Products that meet the international Common Criteria for information technology security are given preference in U.S. government purchasing. By July next year, certification will be mandatory for all secure products bought by agencies.“ PR Newswire schrieb am 16.Oktober 2000:

    „TUViT, Incorporated ( http://www.tuvit.net ), a provider of information technology (IT) security evaluation and consulting services, has been approved by the National Security Agency (NSA) and the National Institute of Standards and Technology (NIST) to perform security testing according to the Common Criteria (IEC/ISO 15408) scheme.“

    Begleitet wurde dieser Prozeß von Roland Müller, der für Daimler, secunet, TUVit tätig war. 1999 diskutierte Müller mit Computer Experten und Geheimdienstlern über internationale Sicherheitsstandards im IT-Bereich und hielt in den USA einen Vortrag zum Thema „The European Directive on Privacy and its Implications to U.S. Companies“ . Wer http://www.tuvit.net aufruft landet beim TÜV NORD. Seit der Fusion von TÜV NORD und RWTÜV zur TÜV NORD Gruppe im Jahr 2004 gehört ein weiterer Dienstleister auf dem Gebiet der Informations- und Kommunikationstechnik zu dieser Gruppe: TÜViT. Zum Angebot der TÜViT gehört die Bewertung, Prüfung und Zertifizierung von IT-Prozessen, IT-Systemen und IT-Produkten, u.a. nach Common Criteria. Im Aufsichtsrat der TÜV Informationstechnik GmbH und der TÜV NORD sitzen Vorständler und Aufsichtsratmitglieder von secunet und Giesecke und Devrient, die sich selbstverständlich ihre eigenen Produkte von TÜViT zertifizieren lassen.

  5. Ergänzend dazu möchte ich auf einen Blogbeitrag hinweise, der sich mit einer Publikation „Heckmann und Albrecht zum E-Government-Gesetz“ befasst. Hier wird daruf verwiesen, dass das Gesetz technologieneutral ausgestaltet sein sollte und „sonstige bundeseinheitliche Übermittlungswege [zulassen sollte], bei denen die Authentizität und Integrität der Daten gewährleistet werden und im Falle der Nutzung allgemein zugänglicher Netze ein Verschlüsselungsverfahren angewandt wird, das die Vertraulichkeit der übermittelten Daten sicher[ge]stellt [ist}”.

    http://skrobotz.de/de-mail/?p=374

  6. De-Mail ist ein nationaler geschlossener Irrweg, der genauso scheitern wird, wie die Experimente am offenen Herzen vorher auch: Qualifizierte Signatur, MailTrustT, eiD mit nPA. Es ist europafeindlich, unwirtschaftlich, ineffizient, teuer. Man muss für Schrifterfordernis den Webzugang nehmen statt Outlook, Lotus Notus oder Thunderbird.
    Die Hürden bei dieser E-Mail sind höher als bei Papierpost, die Gebühren teurer. Im Gegenzug fällt dann die Urkundenfälschung weg und es gibt kein Briefgeheimnis. Vollständiger Rückbau. Einzigartig in der Welt.

    Wenn man es trotzdem als Standard für das E-Government-Gesetz durchpeitschen wird, wird wie in den letzten 16 Jahren auch, Deutschland als einziges Land in Europa seine Verwaltung von den Bürgern abschotten:

    Zu der 16 Jahre währenden Abschottung der Verwaltung in der Trutzburg:
    http://wk-blog.wolfgang-ksoll.de/2012/02/e-government-in-der-trutzburg-das-rheingold/

    Zu Sachmängeln in De-Mail
    http://www.heise.de/newsticker/foren/S-Sachmaengel-bleiben-De-Mail-ist-ein-Irrweg/forum-250682/msg-23219362/read/

    Einfacher wäre es wie im Rest der Welt normale Mail zu nehmen, sie mit dem Straftatbestand Urkundenfälschung zu schützen (wie z.B. in der Schweiz), ein elektronisches Briefgeheimnis einzuführen, als Unterschriften einfache Signaturen nach der EU-Signaturrichtlinie zu akzeptieren (wie z.B. in England: ASCII-Zeichenkette mit Namen oder eingescannte Unterschrift), die elektronische Form der Schriftform gleichzusetzen. Wenn wir uns so verhalten würden wie andere Staaten, könnten wir viele Milliarden sparen und der Bürger mit der Verwaltung genauso kommunizieren wie mit der Wirtschaft. Hier haben Juristen ein national einzigartiges System kreiert ohne einen einzigen Wirtschaftlichkeitsnachweis zu erbringen, ohne auf Nachbarstaaten oder gar die EU Rücksicht zu nehmen und nicht mal ein Feasability-Nachweis erbracht. Zum Schaden von Bürger und Wirtschaft.

  7. Überschrift verfehlt! Es ist doch wohl jedem selbst überlassen, wie er seine elktronische Post verschickt! Das sich damit jetzt auch noch die Bundesregierung beschäftigen soll, kann doch wohl nur ein Witz sein. Niemand wird gezwungen De-Mail zu nutzen! Es gibt sichere Alternativen. Das Problem ist nur, dass man denen nichts verdienen kann. De-Mail und E-Post Brief werden unter gehen, wie die Titanik.

    1. Oha, hier hättest du genau hinlesen sollen: Es geht um die Regelung der Behördenkommunikation. Das Gesetz definiert, was die Behörden als Kontaktmöglichkeit anbieten, was also zu nutzen ist.

      Im vorliegenden Gesetzesentwurf geht es darum, dass die Regierung nun ihre eigenen Sicherheitsanforderungen herunter schraubt, um den de-Mail-Standard als rechtssicher akzeptieren (und folglich: anbieten) zu können. Somit wird de-Mail zu quasi-Standard, was PGP etc. nie erreicht haben.

      Deinen PGP-signierten Antrag wird die Behörde nie akzeptieren.

      1. Leider wahr. Mit PGP braucht man weder den meisten Firmen, noch Behörden kommen. Es enthält für viele unüberwindbare intellektuelle Hürden, daher wird es sich nie in der Masse verbreiten lassen.

  8. Juhu ich freue mich schon auf per Gesetz als „sicher“ deklarierte perforierte Kondome zur Verhütung. Damit kann man dann gleich noch den Geburtenrückgang kompensieren.

  9. Warten wir also noch ein Weilchen. Dann erklären unsere Vertreter, folgerichtig, das Briefgeheimnis als nur eingeschränkt gültig. Wegen der dringend notwendigen Terrorabwehr. Und wer nichts zu verbergen hat…

  10. Mit der Signaturkarte war Ende-zu-Ende Verschlüsselung zumindest möglich, wenn auch die mitglieferte Software diese Funktion in der Praxis oft nicht angeboten hat.

  11. Damit ist es geschafft. Genausogut hätte man alle Behörden anweisen können, alle Daten sofort in die Ermittlungsdatenbanken aller deutscher Geheimdienste einzuspielen.

    Einfach eine Behörde auffordern, den interessierenden Datenbestand elektronisch einer anderen Behörde zuzusenden. Wem ist egal, die Daten werden halt einfach unterwegs beim Provider abgegriffen.

    Großartig.
    Und JA, so läuft das. Da braucht mir jetzt niemand mit Paranoia zu kommen – der ganze Humbug ist GENAU DAFÜR da. „Mal kurz reingucken… der Schädlinge wegen“, dass ich nicht lache.

  12. Eine Ende-zu-Ende-Verschlüsselung ist leider ganz und gar nicht leicht einzurichten. Meine Verwandten und Freunde haben keine Ahnung, wozu man auf irgendeiner Seite Zertifikate erstellen soll, wie man das Ganze auf den Rechner bekommt, aufs iPhone etc. Selbst mit Anleitung tun sie sich da reichlich schwer. So muss ich das denen immer selbst einrichten.

    Und meiner Meinung liegt die geringe Verbreitung von E-Mail-Verschlüsselung an der komplizierten Einrichtung. Warum gibt es bis heute keine einfache Lösung. Per Knopfdruck im Mail-Programm gleich ein Zertifikat erstellen lassen und fertig. Verschlüsselung an oder aus. Mehr darf das nicht sein. Solange das auf diese Art und Weise nicht geht, wehre ich mich dagegen zu behaupten, dass Ende-zu-Ende-Verschlüsselung einfach sei.

  13. Und weil De-Mail so sicher ist, wird die gesamte regierungsinterne Kommunikation auf De-Mail umgestellt und das BSI verzichtet noch dazu auf Verschlüsselung für Verschlusssachen, wenn De-Mail genutzt wird.
    Kann sich das irgendjemand vorstellen? Nein? Merkwürdig.

  14. „zum Zweck der Weiterleitung an den Adressaten“

    wieso sollte man den Inhalt zum Zweck der Weiterleitung entschlüsseln? Das ist doch mal wieder alles totaler Schwachsinn und drückt von Oben irgendein Industrie- und Behördeninteresse durch. Man stelle sich vor Unternehmen schicken ihre Rechnungen demnächst auf Postkarten an die Behörden.

  15. … frage mich, ob hier nicht ein bisschen viel Paranoia herrscht. Interessanterweise spricht kein Mensch von der höchst problematischen (Un-)Sicherheit der Briefpost. Einen Brief abzufangen, im Postverteilzentrum zu öffnen, etc., ist doch ein Kinderspiel.

    Die De-Mail, die – wenn ich es richtig verstehe, den Brief ersetzen können soll – wurde von den Initiatoren mit deutlich höheren Anforderungen an Sicherheit und Datenschutz konfrontiert. Darüber hinaus kann jeder auch bei der Kommunikation über De-Mail eine e2e-Verschlüsselung nutzen.

    Ich erstehe ehrlich gesagt diese Überwachungsstaat-Debatte nicht.

  16. Wer glaubt, wir leben in einer Demokratie ( was die jüngsten Untersuchungen bei Schulkindern widerspiegelt ), der sollte sich im Klaren sein: echte Demokratie ist was für Philosophen.

    Praktiziert wird heutzutage eine diktatorische Demokratie. Wer es nicht glaubt, der sollte bitte im Bundestag jeden Abgeordneten nach seiner zweit Tätigkeit befragen. Wer eine hat, wird von mir als Lobbyist bezeichnet. Und schon geht die Demokratie dahin.
    Ok – wir haben mit unserer Stimme demokratisch gewählt, aber das war’s auch schon mit der Demokratie. Alles danach wird von uns nicht mitenschieden. Also so heißt es – … auf Vertrauensbasis … – werden wir unserem Gewählten glauben schenken, das er, was er macht, auch richtig macht.
    Da riecht es doch schon förmlich nach Korruption oder möglichen Angriffspunkten, die ebenfalls bei De-Mail zum tragen kommen.

    Traue unserem Dienst, denn wir befinden ihn für richtig, gut und sicher.

    Verbesserungsvorschläge:

    – Unabhängige Institutionen ( Universitäten ) die Inhaber sämtlicher DE-Server sein müssten
    – Tests der Sicherheit beim auffinden realer Malware beim versenden von Mails
    – beliebige Verschlüsselungsverfahren zulassen, wo bei Registrierung dann entsprechend die Schlüsselgeneration erfolgt und Bestandteil des Anmeldevorgangs ist

    Wir leben auf der Welt seit den 60’ern auf einer Überwachten Welt – egal in welchem Land !!!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.