$>
you're reading...
Datenschutz, Netzwelt, Politik

Chaos Computer Club erneuert Kritik am Gesetzentwurf zur De-Mail


CCC Logo

Image via Wikipedia

2011-02-07 00:53:00, erdgeist

Der Chaos Computer Club (CCC) erneuert seine Kritik am Gesetzentwurf zu De-Mail in einer Stellungnahme [1] anläßlich der Expertenanhörung [2] im Innenausschuß des Bundestages am Montag, den 7. Februar 2011. Insbesondere aufgrund der fehlenden Ende-zu-Ende-Verschlüsselung und des einfachen Zugriffes staatlicher Bedarfsträger lehnt der CCC den Entwurf ab.

De-Mail soll in Zukunft eine verbindliche Adresse für „sichere“ Kommunikation sowie Speicherplatz für digitale Unterlagen (elektronischer „Dokumenten-Safe“) anbieten. Die kostenpflichtigen De-Mail-Adressen werden von Anbietern wie GMX, Web.de oder T-Online als rechtssicher, vertraulich und zuverlässig gepriesen. Die Bundesregierung beschloß die Einführung von De-Mail im Februar 2009. Nach dem Willen des Gesetzgebers soll De-Mail der Papierbriefbürokratie ein Ende setzen.

Eine sichere, vertrauensvolle Kommunikation setzt die Verschlüsselung der E-Mail vom Anfang bis zum Ende des Versandweges voraus. Im Gesetzentwurf fehlt diese verpflichtende Ende-zu-Ende-Verschlüsselung. Damit läßt sich weder Datenschutz noch eine Vertrauenswürdigkeit der verschickten Daten garantieren. Gerade vor dem Hintergrund, daß De-Mail für sensible Kommunikation mit Behörden genutzt werden soll, wäre aber die Ende-zu-Ende-Verschlüsselung eine zwingende Voraussetzung.

Zudem sind die Identitätsinformationen und Zugangsdaten des Benutzers auf Anforderung an Polizei, Verfassungsschutz, Bundesnachrichtendienst und Militärischen Abschirmdienst ohne eine richterliche Anordnung herauszugeben (Paragraph 112, 113 TKG). Dem unkontrollierten Zugriff staatlicher Stellen auf die De-Mail-Nachrichten wird hier, im Gegensatz zur klassischen Briefpost, ganz nonchalant der Weg geebnet.

„Bei De-Mail wird bewußt auf eine wirklich vertrauenschaffende Kommunikation verzichtet. Die Chance, eine sichere, standardisierte Ende-zu-Ende-Kommunikation für Behörden- und Geschäftsbriefe zu entwickeln, wurde vertan – vor allem weil staatliche Ermittler und Geheimdienste möglichst einfach mitschnorcheln wollen“, sagte CCC-Sprecher Frank Rieger.

Für die Benutzer entsteht außerdem die Gefahr ungewollter und unbemerkter rechtsverbindlicher Zustellungen, insbesondere dann, wenn sie nicht regelmäßig ihr digitales Postfach prüfen. Ein weiteres Problem ist, daß zwar De-Mail die gleichen Übertragungs- und Datenformate wie normale E-Mail verwendet, aber absichtlich nicht interoperabel ist. Diese gewollte Inkompatibiltät wird zu Verwechslungen und fehlgeschlagener Kommunikation bei fachlich nicht mit der Bezahl-De-Mail vertrauten Anwendern führen. Die Form der De-Mail
vorname.nachname[.nummer]@dienstanbieter.de-mail.de (beispielsweise klaus.hacker.99@t-online.de-mail.de)
ist einer normalen E-Mail so ähnlich, daß Verwechslungen kaum zu vermeiden sein werden.

Das Konkurrenzprodukt E-Postbrief krankt an den gleichen strukturellen Problemen wie De-Mail. Auch dort wurde unter anderem keine Ende-zu-Ende-Verschlüsselung implementiert, man muß schlicht dem Server-Betreiber vertrauen. Die einmalige Gelegenheit, einen umfassenden Standard für sichere, vertrauenswürdige E-Mail-Kommunikation zu schaffen, wurde nicht genutzt.

Die Tatsache, daß man sein Postfach mit Post-Ident identifiziert hat, heißt angesichts der Menge an Trojanern auf den PCs der Nutzer noch lange nicht, daß dieser als einziger auf den eigenen Rechner und somit auf das Postfach Zugriff hat. Wie sich im Mißbrauchsfall die Haftungsfrage gestaltet – schließlich geht es um rechtsverbindliche Schreiben –, wird vom Gesetzentwurf bewußt ausgelassen. Die Lehre, daß selbst der elektronische Personalausweis [4] keine Gewißheit über die Identität des Absenders verschaffen kann, wurde nicht gezogen.

Kommentar:

DE-Mail und ähnliche Systeme haben einen eigenen Verschlüsselungsalgorithmus. Das bedeutet aber, das Nutzer gezwungen sind, den Mechanismus zu verwenden der von den Dienstleistern zur Verfügung gestellt wird. Man kann sich hierbei nie absolut sicher sein kann, wie die Ende-zu-Ende-Verschlüsselung abläuft oder Teile auf dem Server entschlüsselt werden. Wie erdgeist schon geschrieben hat, ist der Datenschutz nicht gesichert. Mein Vertrauen in diese Technologie geht gegen Null da ich selbst überwiegend PGP verwende, würde ich auch hierbei meinen eigenen Schlüssel für DE-Mail nutzen wollen. Was aber aus staatlicher Sicht nicht gewollt ist.

Links:

Quelle: Chaos Computer Club

Diskussionen

Es gibt noch keine Kommentare.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Member of The Internet Defense League

Kalender

Februar 2011
M D M D F S S
« Jan   Mrz »
 123456
78910111213
14151617181920
21222324252627
28  

Kategorien

Archiv

Legal Guide For Bloggers

Bloggers' Rights at EFF

Interessantes

Link Anonymizer

Independent Tests of Antiv-Virus Software

BSD Aktuell

Hacker News

Blog Stats

  • 260,143 hits

Haftungsausschluss

disclaimer

%d Bloggern gefällt das: