De-Mail: Die Schnüffelpost ist da.

Über das „De-Mail“-Projekt habe ich schon hinlänglich gebloggt, ausnahmslos vernichtend. Bescheuert und traumbehaftet.

Ich bin da weiterhin ganz offen und halte De-Mail für nichts anderes als ein kläglicher Versuch, deutsche Behörden auf modern zu trimmen. Und für einen Versuch, den Bürgern ein System aufzuschwatzen, das sie besonders einfach kontrollieren und die dort verschobenen Inhalte im Zweifelsfall sehr einfach beschnüffeln können – so als ob tatsächlich gerade die Leute, die im Internet herumgaunern, so bescheuert sind, ausgerechnet beim Staat ein Postfach zu eröffnen, um darüber andere Leute zu betrügen. Ich kann aber inzwischen wirklich nicht mehr mit gutem Gewissen ausschließen, dass es hier und da tatsächlich durchgeknallte Politiker und Beamte gibt, die auf solche fast schon obszöne Zufälle hoffen und denen so Begriffe wie Privacy kilometerweit vorbeigehen, wenn es darum geht, den eigenen Hintern durch Aktionismus abzusichern. Das machen schon genügend Spitzenpolitiker und Spitzenbeamte mit mehr oder weniger hübsch versteckten Versuchen, Gestapo-Methoden zu etablieren, vortrefflich vor. Warum sollte es da bei den weniger begabten Politikern und Beamten anders sein?

De-Mail ist daher nichts, was man als freier Bürger nutzen will. Der Sinn ist ohne vernünftige Reform des „Backends“, also den Behörden und Ämtern, die auf elektronische Anfragen reagieren soll, zweifelhaft und der Staat ist mit seiner nach wie vor nicht vorhandenen Vision über eine vernünftige Netzpolitik und genügend nicht vertrauenswürdigen Protagonisten in verantwortlichen Stellen nicht vertrauenswürdig als Diensteanbieter. Negropontes Feststellung, dass niemand im Internet wissen könne, ob du ein Mensch oder ein Hund bist, gilt in meiner Empfindung da auch für den Staat. Mit dem Unterschied, dass es dem Staat nach wie vor völlig egal ist, ob im Internet ein Mensch oder ein Hund mit ihm kommunizieren will, er antwortet so oder so nicht. Dass das jetzt mit De-Mail fundamental anders werden soll, das glaube ich sogar nicht, wenn es als Satire in der Titanic stehen würde.

Aber auch aus technischer Sicht ist De-Mail in einem Detail das, was man in der Kryptoanalyse schon aufgrund von einfachsten Informationen über die grundlegende Architektur sofort als nicht vertrauenswürdig einstufen würde: Keine funktionierende Ende-zu-Ende-Verschlüsselung, über die dankenswerterweise die Frankfurter Rundschau und auch netzpolitik.org schreiben.

Zwar ist der Zugriff zum De-Mail-System verschlüsselt, so dass ein Absender tatsächlich eine Nachricht verschlüsselt von seinem Rechner zu De-Mail bekommt. Allerdings wird für den Weg von De-Mail zum Empfänger die zu übertragende Information neu verschlüsselt. Und das stört offensichtlich niemanden der Projektentwickler:

„Die Deutsche Telekom bestätigt, dass die De-Mails kurz geöffnet werden. Gert Metternich, Projektleiter der Telekom, sagte der FR: ‚Im De-Mail-System werden die Mails für den Bruchteil einer Sekunde auf den Servern der Provider entschlüsselt und sofort wieder verschlüsselt und dann weitergeschickt.‘ Dies geschehe auf Servern, die staatlich überprüften Sicherheitsstandards entsprächen und abgeschottet seien. ‚Insofern haben wir überhaupt keine Bedenken, dass die De-Mails nicht sicher sind.'“

Würde man diese Vorgehensweise auf den normalen Briefdienst herunterbrechen, hieße das: Sie schreiben einen Brief an Ihre Omi. Sie packen den Brief in einen Kuvert und stecken ihn in den Briefkasten. Der Brief wird von Ihrem Briefzusteller abgeholt. Der nimmt den Brief in sein Verteilzentrum, packt den Brief aus dem Briefumschlag und steckt ihn in einen neuen, mit dem dann der Brief zu Ihrer Omi kommt.

Wer, bitteschön, hält das für eine vertrauenswürdige Kommunikation? Und wer soll bitteschön nicht glauben, dass der Kommunikationsdienstleister das niemals deswegen tun würde, um damit für den Zweifelsfall einen perfekten Zugang zum Schnüffeln zu haben? Eine nicht durchgehende Verschlüsselung ist wie gemacht für das, was man in der Fachsprache als Man-in-the-middle-Attacke versteht und wer als so genannter Projektleiter das entweder nicht versteht oder dieses Potential für unbedenklich hält, dem ist eigentlich nicht mehr zu helfen.

Eine gute IT-Landschaft ist eine, in der eine Staatsgewalt möglichst wenig selbst herumpfuscht. Es hat sich praktisch ausnahmslos gezeigt, dass staatliche Regulierungen des Internets lobbygesteuert sind und teilweise zu groben Benachteiligungen des Verbrauchers geführt haben. Das französische HADOPI ist so eine herausragende Nullnummer, die nichts anders tut, als die Staatsmacht zum Handlanger einer skrupellosen Unterhaltungsindustrie zu machen, die ihre alten Businessmodelle nicht mehr im Griff hat und zynischerweise ihre Lobbyarbeit mit dem Geld der Leute bezahlt, die sie zu knebeln versucht.

Ich bleibe nach wie vor dabei: Dem Staate ist in Sachen Internet und Netzpolitik nach wie vor schon im Ansatz nicht zu trauen. Und bei den Unternehmen, die am De-Mail-System partizipieren, kollaborieren und offenkundig gewollte Schwachstellen herunterspielen, darf sich jeder selbst Gedanken darüber machen, was er davon zu halten hat.

Die Wiederauferstehung von ePost.

Wie man sich aus lauter Eifer, der Beste zu sein, nebenbei lächerlich macht, macht uns aktuell die Deutsche Post AG vor. Denn die Deutsche Post AG ist aus dem Konsortium um das Projekt „De-Mail„, mit dem jedem Bürger eine Plattform zum sicheren Kommunizieren mit dem Staat angeboten werden soll, im März mit viel Getöse ausgestiegen und kündigt nun selbst eine entsprechende Plattform an.

Und damit fängt die Deutsche Post AG plötzlich da wieder an zu graben, wo sie vor Jahren mit dem „ePost“-Projekt Schiffbruch erlitten hat, denn schon mit genau diesem Projekt hat man damals, Ende der 1990er Jahre, großspurig ein „Postfach auf Lebenszeit“ angekündigt, dass noch nicht mal zehn Jahre hielt und am Ende auch noch ziemlich rüde verkauft und kurz darauf eingestampft wurde. Da macht es natürlich phantastisch kompetenten Eindruck, wenn die Deutsche Post AG im Alleingang nun plötzlich wieder die ePost-Leiche aus dem Keller holt.

Sehr spannend ist übrigens, mit welcher Intention die Deutsche Post AG an elektronisch sicherer E-Mail arbeitet. Man erwartet einen Rückgang des Briefverkehres durch Etablierung von elektronischen Kommunikationsformen und möchte das kompensieren. Ob die vermutlich sehr gut bezahlten Analysten schon begriffen haben, dass die meiste Kommunikation, die gesichert im Internet durchgeführt werden muss, bereits über das Web abgewickelt wird, beispielsweise das Online-Banking? Auch das De-Mail-Projekt lebt unter anderem mit der Intention, dass der Bürger damit dann sicher mit staatlichen Institutionen kommunizieren kann. Nur: Wer kommuniziert regelmäßig mit dem Staat und dann gar per E-Mail, die zukünftig dann mit De-Mail oder Konkurrenzprojekten zu verschlüsseln wäre?

[via Golem.de]

Ehren-Bambi für Martin Schallbruch, bitte!

Ich schlage Martin Schallbruch, Staatssekretär im Bundesinnenministerium, für einen Ehren-Bambi vor. Der zuständige Staatssekretär für das so genannte De-Mail, dem geplanten E-Mail-System für die absolut bombensichere Kommunikation zwischen Bürger und Staat, hat heute sein Projekt zu verteidigen gesucht und dabei eine hübsche Argumentation an den Tag gelegt, die pure Comedy ist:

Vielmehr habe das zertifizierte Postfach den Vorteil, dass Spammen schon aufgrund technischer Restriktionen beim E-Mail-Versand erschwert werde. Zudem dürfte es sich jeder Verbreiter unerwünschter Werbemails angesichts der klaren Identifizierbarkeit des Absenders zweimal überlegen, ob er den Dienst für solche Ziele missbrauche.
[via Heise.de]

Ich sehe schon – De-Mail wird sowas von staatstragend und bewundernswert, da werden die Viagra-Spammer, die Nigeria-Connections und natürlich auch die ganzen Botnetze weltweit richtig viel Respekt haben.

Deshalb: Ehren-Bambi für Martin Schallbruch!