Bundesregierung plant Ende-zu-Ende-Verschlüsselung für E-Mail-Anbieter vorzuschreiben, Voßhoff freut sich

In einem Interview vom 4. Juni mit iRights äußern sich der Parlamentarische Staatssekretär Ulrich Kelber und Staatssekretär Gerd Billen des Bundesministerium für Justiz und Verbraucherschutz über die geplanten Vorhaben der Bundesregierung bei der Europäischen Datenschutz-Grundverordnung. Dabei äußern sie sich auch zu einer Festschreibung der Pflicht für E-Mail-Anbieter, Ende-zu-Ende-Verschlüsselung standardmäßig anzubieten:

Kelber: […] natürlich kann man das Thema Datenschutz nicht allein der individuellen Verantwortung überlassen, sondern muss es rechtlich und international regeln. Da kommt die europäische Datenschutz-Grundverordnung ins Spiel, wo sich die neue Bundesregierung auch als treibende Kraft sieht, und in der es auch darum geht, festzuschreiben, dass Internetdienstleister privacy by design und Privatsphäre-freundliche Voreinstellungen anbieten müssen.

[…]Das läuft unter dem Stichwort Datenschutz oder privacy by design. Der Anbieter muss als Voreinstellung eine nach dem Stand der Technik sichere Variante anbieten – die der wissende Kunde, wenn er möchte, für sich unsicherer machen kann.

Eine solche Sicherheitsvorkehrung vorzuschreiben sollte ja eigentlich kein Problem sein, wie Billen hinzufügt:

Gerd Billen: Der Sicherheitsgurt bei Autos ist auch einmal vorgeschrieben worden. Das hat wunderbar gewirkt

Eine gesetzlich vorgeschrieben Ende-zu-Ende-Verschlüsselung als Standard bei E-Mail-Anbietern wäre ein wesentlicher Schritt vorwärts in der Frage, wie die Grundrechte der Bürger bei der allgegenwärtigen Überwachung noch zu schützen sind und eine grundlegende Verbesserung gegenüber der mangelhaften DE-Mail, die wir in diesem Blog schon ausreichend für fehlende Ende-zu-Ende-Verschlüsselung kritisiert haben.

Andrea Voßhoff. Bild: CDU/CSU-Fraktion. Lizenz: Creative-Commons BY-SA 3.0..
Begrüßt die Vorhaben der Bundesregierung: Andrea Voßhoff. Bild: CDU/CSU-Fraktion. Lizenz: Creative-Commons BY-SA 3.0.. - CC-BY-SA 3.0 CDU/CSU-Fraktion

Jetzt begrüßt auch unsere Bundesbeauftragte für den Datenschutz und die Informationsfreiheit diese Absicht der Bundesregierung.

Sollte diese Vorgabe bei den weiteren Gesprächen zur EU-Datenschutz-Grundverordnung aufgenommen werden, so wäre das ein echter Fortschritt für den Datenschutz und eine deutliche Verbesserung der Vertraulichkeit der Kommunikation im Internet für alle Bürgerinnen und Bürger in der Europäischen Union.

Sagen wir schon lange, finden wir auch. Jetzt kann man der deutschen Regierung nur wünschen, dass sie mit diesem Vorhaben in etwa so Durchsetzungsfähig ist wie bisher mit ihren ganzen Blockaden.

24 Ergänzungen

  1. Welche Ende-Zu-Ende-Verschlüsselung ist hier gemeint? Die von angela@web.de zu gerd@t-online.de

    Also die Nutzerkonto-zu-Nutzerkonto-Verschlüsselung oder richtige echte Ende-Zu-Ende-Verschlüsselung (welche auf dem Rechner von Angela bzw. Gerd stattfindet)?

    Person A -> Person-A-Rechner -> Person-A-E-Mail-Anbieter -> Person-B-E-Mail-Anbieter -> Person-B-Recher -> Person B

    Geht es hier also um die Strecke Person-A-Rechner -> Person-B-Rechner?

  2. Eine Regierung will also eine Ende zu Ende verschlüsselung ohne das sie einen Nachschlüssel besitzen. Ah ja und diese Regierung die eine sichere Kommunikation vorschreiben will hilft dem NSA wo es nur geht.
    Ah ja, ich verstehe.

  3. Ich würde eher vermuten, dass die Beiden das Wort „Ende-zu-Ende“ schlicht nicht verstanden haben- demnächst wird sie jemand vom Rosa Riesen darauf hinweisen, dass sie lieber von „sicherer“ oder „verschlüsselter“ Mail faseln sollen, und dann werden sie das tun.
    Eine PGP-Pflicht für alle und Kryptoparties mit der Einschulung, das wäre ja auch wirklich zu fortschrittlich…

    1. PGP/GPG ist zu kompliziert, das kann man den meisten Leuten schlichtweg nicht antun weil sie damit nicht zurecht kommen. Sowas als OpenSource Browser Extension oder so wäre schon geil.

      1. Gibt es doch schon längst als Extension für’s Email-Programm, z.B. für Thunderbird („Enigmail“)…

      2. Enigmail ist eine Katastrophe von der Benutzerführung. Wir leben (ob wir wollen oder nicht) in iPhone-Zeiten: Wenn eine Software beim Benutzen nicht _Spaß erzeugt_, wird sie nicht benutzt.

        Die Hälfte der Zeit sehe ich Infos, die ich nicht benötige- andere Infos, die ich benötige, bekomme ich nicht.
        Ausserdem schaltet sich Enigmail erstmal für alle Empfänger an, so dass ich es dann immer umständlich ausschalten will, wenn jemand meiner Empfänger kein PGP hat (ist eigentlich imer der Fall).
        Da müsste dringend mal ein Rudel UI-Designer drüber, dann würde das vielleicht sogar jemand benutzen. Also: Designstudenten vor!

  4. Ende-zu-Ende Verschlüsselung vom Anbieter? Das wäre in soweit bei webmail denkbar, wenn entsprechendes Krypto-JavaScript in den Portalen mitläuft und die Entschlüsselung mit zusätzlichem(!) Passwort oder key lokal im Browser läuft. Denkbar sind dazu allerdings auch viele Angriffsvektoren und der Moment, dass, wenn’s einmal geknackt ist, die Verschlüsselung aller Mails eines Anbieters hinfällig wäre.
    Schwieriger wird’s, wenn die Mails nicht direkt an Browser, sondern an unterschiedlichste Mailprogramme oder Mailserver ausgeliefert werden. Ohne weltweit einheitlichen Standard eher nicht denkbar. Und weltweite Standards haben den Nachteil, das sehr viele Interessengruppen sicher dafür sorgen würden, dass zumindest und im Mindesten das Vertrauen in die Zuverlässigkeit der Arithmetik anzweifelbar bleibt.

  5. Bei der demail hatte man doch argumentiert das es nur sicher ist wenn man nach Viren Scannen kann. Von daher schliesse ich mich der Meinung an das es Nachsclüssel sowohl für die Anbieter zum scannen als auch für die Staats-Sicherheitsbehörden geben wird. Das kann man ja gleich zum anlass nehmen, das für sämtliche Verschlüßelung (SSL, SSH, zip, Truecrypt, Bitlocker,…) vorzuschreiben.
    Ist ja schlieslich alternativlos.

    1. Nachtrag: Dazu muss man sagen grundsätzlich finde ich die Idee gar nicht so schlecht. Vielleicht sind diese DRM Module (Encrypted Media Extensions (EME)) die die Contentindustrie unbedingt haben will ja doch zu was gut und könnten für Webmail Verschlüßelung missbraucht werden.

  6. Es gibt längst Zertifikats-Standards. Und dann braucht man nur noch den Austausch der öffentlichen Zertifikate.

    Also:

    1) Ich erzeuge mit einer leicht zu bedienenden Software mein Schlüsselpaar. Meinen privaten Schlüssel lege ich unters Kopfkissen – oder so ;-))

    2) Ich erzeuge bei meinem Mail-Anbieter mit dem öffentlichen Schlüssel ein Zertifikat, das der Mail-Anbieter mit allen anderen Mail-Dienstleistern austauscht.

    3) Wenn ich eine Mail verschlüsselt verschicken will, sucht mein Mail-Client nach dem Zertifikat des Empfängers und verschlüsselt fröhlich – bei mir auf dem Rechner!

    4) Ich empfange eine verschlüsselte Mail, hole den privaten Schlüssel unter dem Kopfkissen hervor und entschlüssele den Inhalt bei mit lokal.

    Das ist so simpel, dass mir schlicht schleierhaft ist, warum die Mail-Anbieter dazu nicht gezwungen werden, diesen PKI-Dienst anzubieten.

    BTW: Für unsere zukünftigen Daten bei den intelligenten Zählern steht das nämlich genau so im Gesetz. Geht also!

    Dumm nur – die Metadaten bleiben trotzdem erreichbar für die Freunde von NSA und Co.

    Aber das wäre dann der nächste Schritt.

    1. Simpel :-D?
      Wir haben seit Jahren Probleme mit bestehenden PKI Lösungen (siehe z.B. SSL im Web) und du nennst das simpel…sehr gewagt ;-)

      Knackpunkt ist 3) (bzw. 2: austauschen der Zertifikate)
      Woher weis mein Client denn, ob das Zertifiat wirklich zu der Person gehört, mit der ich kommunizieren will? Wer verifiziert das?
      – Der Mail Anbieter? Dem will ich ja grade nicht vertrauen müssen. Außerdem kann jeder Mail Anbieter sein…
      – Ich selbst? Ist am sichersten, aber in der Praxis viel zu aufwendig
      – Eine dritte Partei? Welche denn? Der Staat?

  7. Und was für eine Verschlüsselung wird dann vorgeschrieben ? irgendein Krempel vom BSI mit Backdoor drinnen oder wirklich irgendwas quelloffenes ?

  8. Schwachfug, das ist technisch nicht machbar. Ende-zu-Ende definiert schon das es beim Nutzer stattfinden muss. e-Mail definiert eine e-Mail und die kann auch unverschlüsselt sein. Ergo man kann keine „e-Mail ende-zu-ende“ Verschlüsselung vorschreiben. Sobald ich privat nen Mail Server betrieben kann ist das hinfällig.

    Zumal für Firmen vorgeschrieben ist das die erreichbar sein MÜSSEN. wenn ich denen ne unverschlüsselte Mail schicke MÜSSEN sie die annhemen und verarbeiten können.

    1. Ich zitier mal aus dem Text:
      „Der Anbieter muss als Voreinstellung eine nach dem Stand der Technik sichere Variante anbieten – die der wissende Kunde, wenn er möchte, für sich unsicherer machen kann“

      Also (Ende-zu-Ende)Verschlüsselung wird standardmäßig angeboten, was aber nicht heißt, dass sich Leute nicht auch weiterhin dafür entscheiden können, unverschlüsselt zu senden/empfange. Es soll also kein Zwang werden, nur der voreingestellte Standard.

    2. Firmen „müssen“ erreichbar sein?
      Schon mal versucht Google zu erreichen.
      Die haben eine eMail, aber nutzbar ist die nicht:

      „Dieses ist eine automatisch generierte E-Mail. Antworten auf diese E-Mail sind aus technischen Gründen nicht möglich.

      Liebe Google-Nutzerin, lieber Google-Nutzer,

      vielen Dank, dass Sie sich an die Google Inc. wenden. Bitte beachten Sie, dass aufgrund der Vielzahl von Anfragen, E-Mails, die unter dieser E-Mail-Adresse support-de@google.com eingehen, nicht gelesen und zur Kenntnis genommen werden können.“

      So etwas verrücktes…

  9. Andrea Voßhoff, man lese ihre Vita.
    Und man ist sicher, den Bock zum Gärtner zu machen, wenn man ihr vertraut.

  10. Ich bin mir nicht sicher ob die Damen und Herren das Prinzip von „Ende-zu-Ende“ richtig kapiert haben. Ende-zu-Ende bedeutet dass auf dem Computer von Person A verschlüsselt wird, und auf dem Computer von Person B auf dessen Computer wieder entschlüsselt wird. Was genau haben die Mailprovider damit am Hut, die DÜRFTEN per Definition da nicht mit dran rumfummeln, denn dann haben sie Zugriff auf den Private-Key, dann ist es kein End-to-End mehr.

    Ich gehe mal sehr start davon aus dass Transportverschlüsselung gemeint ist?! Dafür ist der Mailprovider zuständig, das liegt in seiner Hand.

  11. Was mit „Ende-zu-Ende-Verschlüsselung für E-Mail-Anbieter“ gemeint sein soll, erschließt sich mir gerade auch nicht. Wozu genau sollen denn E-Mail-Anbieter hier verpflichtet werden?

    Insbesondere der Punkt, dass „der wissende Kunde“ dann wahlweise auf eine unsicherere Kommunikationsvariante wechseln können soll, ergibt schon wenig Sinn. Warum sollte denn ein wissender Kunde absichtlich unsicher kommunizieren wollen? Die derzeitige Situation ist doch, dass unwissende Kunden unabsichtlich unsicher kommunizieren. Die Prämisse vom „wissenden Kunden“ ist also schon mal falsch, und für unwissende Kunden wurde anscheinend noch nichts vorgeschlagen. Da kann man wohl fragen, ob überhaupt irgendetwas vorgeschlagen wurde.

  12. Dazu wird es nie kommen. Die Voßhoff kommt doch von der CDU oder? Damit dürfte alles klar sein.

  13. Mal sehn, was hinterher von den schönen Worten wirklich umgesetzt wird, Bedarf gibs ja genug.

    Auch wenn letzendlich der Client sich um die Verschlüsselung bei Ende-zu-Ende kümmern muss, können die Anbieter meiner Meinung nach sehr viel machen, um dabei zu helfen so eine Verschlüsselung zu verbreiten.

    – Kunden könnten, wenn sie einen neuen Account erstellen, darüber informiert werden, wie sie sowas einrichten.
    – eMail Anbieter könnten die Entwicklung vorantreiben, um entsprechende Software (wie Enigmail) benutzbarer zu machen
    – Die Möglichkeit, Ende-zu-Ende über den Browser zu nutzen steckt auch noch in den Kinderschuhen, hier könnten Anbieter mehr investieren. Wenn das mal in allen verbreiteten Browsern funktioniert, sind wird schon einen großen Schritt weiter.

  14. Man sollte ihr mal deutlich sagen, dass eine Ende-zu-Ende-Verschlüsselung bedeutet, dass auch BND und Co. keine Möglichkeit haben (sollten,) die eMail zu lesen. Auch nicht mit Gerichtsbeschluss.
    Schon wegen der Reaktion. Wenn Sie dann nicht von alleine widerspricht und sagt „natürlich werden die Behörden bei richterlicher Anordnung mitlesen können“, dann fragt man sie ob der Staat im Falle eines richterlichen Beschluss die Möglichkeit hat die emails zu lesen.

    Denn als Dissident entscheide ich selbst ob der Staat meine Kommunikation mitlesen oder hören kann.
    Es sollte ausländische VoIP-Anbieter geben, die gezielt auf dem Deutschen Markt werben. Mit Preisen wie im Deutschen Inland.
    Die auch deutlich machen, dass sie auch bei Beschluss eines Dt. Gerichtes keine Abhörschnittstelle bieten.
    Das ganze noch irgendwie verschlüsselt, evtl. über ein VPN bis zum VoIP-Provider.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.