De-Mail: Die Schnüffelpost ist da.

Über das „De-Mail“-Projekt habe ich schon hinlänglich gebloggt, ausnahmslos vernichtend. Bescheuert und traumbehaftet.

Ich bin da weiterhin ganz offen und halte De-Mail für nichts anderes als ein kläglicher Versuch, deutsche Behörden auf modern zu trimmen. Und für einen Versuch, den Bürgern ein System aufzuschwatzen, das sie besonders einfach kontrollieren und die dort verschobenen Inhalte im Zweifelsfall sehr einfach beschnüffeln können – so als ob tatsächlich gerade die Leute, die im Internet herumgaunern, so bescheuert sind, ausgerechnet beim Staat ein Postfach zu eröffnen, um darüber andere Leute zu betrügen. Ich kann aber inzwischen wirklich nicht mehr mit gutem Gewissen ausschließen, dass es hier und da tatsächlich durchgeknallte Politiker und Beamte gibt, die auf solche fast schon obszöne Zufälle hoffen und denen so Begriffe wie Privacy kilometerweit vorbeigehen, wenn es darum geht, den eigenen Hintern durch Aktionismus abzusichern. Das machen schon genügend Spitzenpolitiker und Spitzenbeamte mit mehr oder weniger hübsch versteckten Versuchen, Gestapo-Methoden zu etablieren, vortrefflich vor. Warum sollte es da bei den weniger begabten Politikern und Beamten anders sein?

De-Mail ist daher nichts, was man als freier Bürger nutzen will. Der Sinn ist ohne vernünftige Reform des „Backends“, also den Behörden und Ämtern, die auf elektronische Anfragen reagieren soll, zweifelhaft und der Staat ist mit seiner nach wie vor nicht vorhandenen Vision über eine vernünftige Netzpolitik und genügend nicht vertrauenswürdigen Protagonisten in verantwortlichen Stellen nicht vertrauenswürdig als Diensteanbieter. Negropontes Feststellung, dass niemand im Internet wissen könne, ob du ein Mensch oder ein Hund bist, gilt in meiner Empfindung da auch für den Staat. Mit dem Unterschied, dass es dem Staat nach wie vor völlig egal ist, ob im Internet ein Mensch oder ein Hund mit ihm kommunizieren will, er antwortet so oder so nicht. Dass das jetzt mit De-Mail fundamental anders werden soll, das glaube ich sogar nicht, wenn es als Satire in der Titanic stehen würde.

Aber auch aus technischer Sicht ist De-Mail in einem Detail das, was man in der Kryptoanalyse schon aufgrund von einfachsten Informationen über die grundlegende Architektur sofort als nicht vertrauenswürdig einstufen würde: Keine funktionierende Ende-zu-Ende-Verschlüsselung, über die dankenswerterweise die Frankfurter Rundschau und auch netzpolitik.org schreiben.

Zwar ist der Zugriff zum De-Mail-System verschlüsselt, so dass ein Absender tatsächlich eine Nachricht verschlüsselt von seinem Rechner zu De-Mail bekommt. Allerdings wird für den Weg von De-Mail zum Empfänger die zu übertragende Information neu verschlüsselt. Und das stört offensichtlich niemanden der Projektentwickler:

„Die Deutsche Telekom bestätigt, dass die De-Mails kurz geöffnet werden. Gert Metternich, Projektleiter der Telekom, sagte der FR: ‚Im De-Mail-System werden die Mails für den Bruchteil einer Sekunde auf den Servern der Provider entschlüsselt und sofort wieder verschlüsselt und dann weitergeschickt.‘ Dies geschehe auf Servern, die staatlich überprüften Sicherheitsstandards entsprächen und abgeschottet seien. ‚Insofern haben wir überhaupt keine Bedenken, dass die De-Mails nicht sicher sind.'“

Würde man diese Vorgehensweise auf den normalen Briefdienst herunterbrechen, hieße das: Sie schreiben einen Brief an Ihre Omi. Sie packen den Brief in einen Kuvert und stecken ihn in den Briefkasten. Der Brief wird von Ihrem Briefzusteller abgeholt. Der nimmt den Brief in sein Verteilzentrum, packt den Brief aus dem Briefumschlag und steckt ihn in einen neuen, mit dem dann der Brief zu Ihrer Omi kommt.

Wer, bitteschön, hält das für eine vertrauenswürdige Kommunikation? Und wer soll bitteschön nicht glauben, dass der Kommunikationsdienstleister das niemals deswegen tun würde, um damit für den Zweifelsfall einen perfekten Zugang zum Schnüffeln zu haben? Eine nicht durchgehende Verschlüsselung ist wie gemacht für das, was man in der Fachsprache als Man-in-the-middle-Attacke versteht und wer als so genannter Projektleiter das entweder nicht versteht oder dieses Potential für unbedenklich hält, dem ist eigentlich nicht mehr zu helfen.

Eine gute IT-Landschaft ist eine, in der eine Staatsgewalt möglichst wenig selbst herumpfuscht. Es hat sich praktisch ausnahmslos gezeigt, dass staatliche Regulierungen des Internets lobbygesteuert sind und teilweise zu groben Benachteiligungen des Verbrauchers geführt haben. Das französische HADOPI ist so eine herausragende Nullnummer, die nichts anders tut, als die Staatsmacht zum Handlanger einer skrupellosen Unterhaltungsindustrie zu machen, die ihre alten Businessmodelle nicht mehr im Griff hat und zynischerweise ihre Lobbyarbeit mit dem Geld der Leute bezahlt, die sie zu knebeln versucht.

Ich bleibe nach wie vor dabei: Dem Staate ist in Sachen Internet und Netzpolitik nach wie vor schon im Ansatz nicht zu trauen. Und bei den Unternehmen, die am De-Mail-System partizipieren, kollaborieren und offenkundig gewollte Schwachstellen herunterspielen, darf sich jeder selbst Gedanken darüber machen, was er davon zu halten hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *