De-Mail soll Standard zur Behördenkommunikation werden
Lange war es still um das einst groß propagierte und laut Eigenwerbung „sichere, vertrauliche und nachweisbare Verfahren zum Geschäftsverkehr für jedermann im Internet“ geworden. Jetzt betreibt die Bundesregierung ein Gesetzesvorhaben mit dem Ziel, De-Mail als Standard bei der Behördenkommunikation vorzuschreiben.
Im Rahmen des E-Government-Gesetzes, auch "Gesetz zur Förderung der elektronischen Verwaltung" genannt, soll De-Mail als sicherer Standard zur innerbehördlichen sowie zur Kommunikation zwischen Behörden und Bürgern etabliert werden. Im Vorfeld einer Anhörung im Innenausschuss des deutschen Bundestages am gestrigen 20. März wurde die Frage diskutiert, ob die Übertragung von Sozial- und Steuerdaten per De-Mail legitim sei. Knackpunkt ist hier, dass derzeit De-Mail keine „Ende-zu-Ende-Verschlüsselung“ bietet. Die Mails werden vielmehr beim jeweiligen Provider automatisch kurzzeitig entschlüsselt, um Schadsoftware zu entdecken. Daraufhin forderte nicht nur der CCC-Abgesandte Linus Neumann die „Ende-zu-Ende-Verschlüsselung“ als Muss, sondern auch Reinhard Dankert, Mecklenburg-Vorpommerns Landesbeauftragter für den Datenschutz. Neumann kritisierte die Pläne, De-Mail für die Kommunikation von Bürgern und Behörden einzusetzen, wenn die Sicherheit nicht stark angehoben wird. "Da kann man seine Steuererklärung gleich auf einer Postkarte abgeben“, so der Sprecher.
Der Chaos Computer Club hat daraufhin eine Stellungnahme veröffentlicht (PDF), in der der Club Bezug auf die Sicherheit der De-Mail nimmt. Darin wird CCC-Sprecher Frank Rieger zitiert: “Es kann nur als Witz gemeint sein, dass De-Mail trotz lange bekannter Schwächen per Gesetz nun zum Standard für Behördenkommunikation erhoben werden soll. Damit wird sehenden Auges ein völlig lächerliches Sicherheitsniveau festgeschrieben, das in der Industrie und bei Berufsgeheimnisträgern niemals akzeptabel wäre. Da kann man seine Steuererklärung gleich auf einer Postkarte abgeben. Und obendrein bekommt man möglicherweise noch einen Staatstrojaner als Antwort zurück“.
Das Bundesinnenministerium hat indes die Vorwürfe des CCC zurückgewiesen, der bereits vor zwei Jahren zusammen mit weiteren Sachverständigen der De-Mail ein „katastrophales Zeugnis“ bezüglich der Sicherheit ausgestellt hatte, und betont, „dass sich Nutzerinnen und Nutzer von De-Mail auf eine vollständige Verschlüsselung der Mails verlassen können.“ Es kommen laut eines Ministerium-Sprechers weltweit standardisierte sichere Verschlüsselungstechniken zur Anwendung und die De-Mail-Anbieter unterlägen dem Fernmeldegeheimnis. Der Sprecher führt weiter aus: „Jeder Einblick in die Inhalte der Mails ist strafbar. Technisch ist zudem sichergestellt, dass kein einzelner Mitarbeiter der Anbieter irgendeine Möglichkeit hat, De-Mails mitzulesen. Damit ist der Transport vertraulicher Informationen per De-Mail um ein Vielfaches sicherer als die Nutzung von E-Mail und sogar noch sicherer als der Transport per normalem Papierbrief.“
Weiterhin heißt es, der CCC setze auf „komplizierte Speziallösungen“ wie etwa OpenPGP, die nur für „versierte IT-Spezialisten“, nicht aber für normaler Internet-Nutzer anwendbar seien. Dr. Bernhard Rohleder vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) wandte sich ebenso gegen überzogene Sicherheitsbedenken, die er für „absolut kontraproduktiv“ hält.
Als wahren Grund für die offenbar bewusste Absenkung von Verschlüsselungsstandards sieht der CCC die Notwendigkeit einer „Abhör-Hintertür für Polizei und Geheimdienste“. Diese wären sehr unglücklich, würden sie durch eine „Ende-zu-Ende-Verschlüsselung“ plötzlich vom Datenverkehr ausgeschlossen. Zusätzlich kritisiert der CCC, dass sich der Austausch der De-Mails nur auf wenige Server beschränken würde. Eine solche Konzentration lasse angesichts der mangelhaften Sicherheit den „Datengau“ als vorprogrammiert erscheinen.