Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsDe-Mail soll Standard zur Behördenkommunikation werden
Lange war es still um das einst groß propagierte und laut Eigenwerbung „sichere, vertrauliche und nachweisbare Verfahren zum Geschäftsverkehr für jedermann im Internet“ geworden. Jetzt betreibt die Bundesregierung ein Gesetzesvorhaben mit dem Ziel, De-Mail als Standard bei der Behördenkommunikation vorzuschreiben.
Wenn die De-Mail für öffentliche Forderungen wie Steuererklärung genutzt wird(macht man das nicht über Elster?), warum wird dann ne Ende-zu-Ende Verschlüsselung gefordert?
Mir ist es ehrlichgesagt Wumpe, ob jetzt der Geheimdienst meine öffentlichen Dokumente abfängt oder sich die bei der zustelligen Behörde sichert.
Ich zitiere in einer 5 Minuten Recherche mal die deutsche Wikipedia:
"Die hinterlegten persönlichen Daten des Nutzers sind für eine Vielzahl von Sicherheitsbehörden und Geheimdiensten ohne richterliche Anordnung anforderbar (§ 113 TKG), die Identität hinter einer De-Mail-Adresse ist für etwa 250 bei der Bundesnetzagentur registrierte Behörden in einem Online-Verfahren abrufbar (§ 112 TKG), in dem bei ca. 140 Telekommunikationsanbietern täglich nahezu 100.000 Zugriffe auf Kundendaten erfolgen.[45] Nach § 16 des De-Mail-Gesetzes erhalten in bestimmten Fällen zudem Private Auskunft über Namen und Anschrift eines Nutzers. Voraussetzung ist unter anderem, dass der Dritte die Daten benötigt, um einen Rechtsanspruch gegen den Nutzer zu verfolgen, der unter Nutzung von De-Mail entstanden ist."
Nutzerkennung und Passwort zu einem De-Mail-Postfach sind auf Anforderung einer Strafverfolgungsbehörde, einer Polizeibehörde, des Bundesamts für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes ohne richterliche Anordnung herauszugeben (§ 113 TKG). Die im De-Mail-Postfach liegenden Dokumente und Informationen sind damit keineswegs so geschützt wie Papierdokumente oder Briefe in der eigenen Wohnung.
Das erledigen ja dann die Rechner und Programme. Dafür braucht es dann keine Mitarbeiter mehr.
Wieso lässt man nicht dem Nutzer die Wahl? Für wen PGP zu "kompliziert" ist, weil er kein "IT-Spezialist" ist, der kann ja die eingebaute Verschlüsselung verwenden - mit allen Konsequenzen.
Wayne, wird eh kaum einer benutzen.
Wer zahlt denn für nen Email-Account, der zu kaum was zu gebrauchen ist außer ner Behörde Mails zu schreiben ? Dürfte sich für die meisten kaum lohnen.
Mich wundert sowieso warum die jetzt was für Deutschland bauen statt wenigstens auf EU-Ebene anzusetzen (oder einfach PGP als de-facto Standard zu übernehmen).
Wenn die Bundesregierung sowas jemals verlangt, werde ich wohl niemals wieder aus meinem Lieblingspostfach "Ivan.der.Schreckliche@mail.ru" Spam-Mails an Angie schreiben können. In diesem Sinne beste Grüße "Gott und der Großfürst wissen alles"
"Im Rahmen des E-Government-Gesetzes, auch "Gesetz zur Förderung der elektronischen Verwaltung" genannt, soll De-Mail als sicherer Standard zur innerbehördlichen sowie zur Kommunikation zwischen Behörden und Bürgern etabliert werden."
So ein Bullshit. Mit der Verwaltungs-PKI hat man bereits einen defacto sicheren Standard bei der innerbehördlichen Kommunikation, bei der eine sichere Ende-zu-Ende-Verschlüsselung besteht. Somit macht man nun sogar einen Schritt zurück und sorgt lediglich für eine Kanalverschlüsselung.... Toller Fortschritt.
Was ich immer bedenklich finde: Die Leute verstehen die Technik offenbar einfach nicht. Einen Brief kennt man, sodass man ihn, sofern man will, öffnen kann. Eine verschlüsselte und signierte e-Mail mit entsprechenden Cipherstärken (AES-128 usw.) kann nicht ohne weiteres gelesen werden. Ich vermute dies wird einfach Angst aufgrund von Unverständnis schüren. Die Kontrolle gibt man damit aus der Hand. Aber wenn dies so ist, sollten auch WLANs mit entsprechner WPA2-PSK Sicherung Unbehagen bereiten.
Finde den Ansatz der De-Mail im Grund gut, weil ich so kein Fax mehr vorhalten muss, und Papier stapelt sich in meinen Ordnern im Schrank ohnehin. Dafür könnten Quelloffene etablierte (und teilweise verifizierte (Modelchecking / FSM-basierte Modellprüfung)) Verfahren wie Secure Multipurpose Internet Mail Extensions (S/MIME) oder Pretty Good Privacy (PGP) verwendet werden. Wie auch die Zertifikate im Browser über x509 Zertifikatketten zur "Vertrauen" führen, da sie von beispielsweise von VeriSign oder dem deutschen Telekom-Root-Zertifikat abgeleitet sind. Durch aktuelle Versionen von TLS (vormals SSL) vertrauen wir auch Banken unsere Transaktionen an. Dieses Vertrauen ist technisch rechtfertigbar, sodass da eigentlich kein Grund besteht ein proprietäres Verfahren vom Zaun zu brechen. Allerdings möchte man den Inhalt wohl einfach kontrollieren können.
Zusammenfassend: Zum Konzept ja, zur egenbrödlerischen Umsetzung ein ganz klares nein.
Schon jetzt haben Behörden aus aller Welt unbegrenzten Zugang zu E-Mail Postfächern und in den USA sogar zu sämtlichen Cloud- Google- und Facebookdaten, auch zu den gelöschten. Schon vor ca. 10 Jahren gab es ein Gesetz dass seit dem in Deutschland den Zugriff auf sämtliche E-Mail Postfächer sicherstellt.
PGP ist aber wirklich unzumutbar, dir Schlüsselverwaltung müsste man vollständig automatisieren, so dass der Endanwender davon überhaupt nichts mitbekommt und erst recht nicht mehr Klicks investieren muss als ohne Verschlüsselung.
Und irgendwann wird wie im Iran die Nutzung von Verschlüsselung und VPN gesperrt oder sogar zum Straftatbestand.
PGP ist aber wirklich unzumutbar, dir Schlüsselverwaltung müsste man vollständig automatisieren, so dass der Endanwender davon überhaupt nichts mitbekommt und erst recht nicht mehr Klicks investieren muss als ohne Verschlüsselung.
Es würde beispielsweise nichts (aus meiner spontanen Überlegung heraus) dagegen sprechen die öffentliche Schlüsselkomponente durch einen privaten Schlüssel der Regierung zu unterzeichen. (Auch wieder eine Zertifikatkette.) Somit kann JEDER prüfen, ob eine Nachricht von dir versendet worden ist (und damit echt ist). Integritätscheck usw. sind damit heute kein Problem mehr. Würde man ein kleines Tool entwickeln, dass den Upload auf einen Keyserver umsetzt und entsprechende Anträge auf Validierung automatisiert stellt (natürlich für Windows, Linux und Mac gleichermaßen), wäre dieses Problem passé. Dann die Frage beim Versenden, ob die Mail nun nach allen Regeln der Kunst sicher sein soll, oder ob es sich um eine einfache "Spaßmail" handelt. Gut ist.
Sehe da wenig Hürden. Außer ggf. fehlende Kontrollierbarkeit von "oben".
Die automatische PGP Verschlüsselung wäre übrigens überhaupt nicht schwer. Da die Demail Anbieter die Datenbank der öffentlischen Schlüssel ohne Probleme bereitstellen könnte. Für das Versenden würde man im Client (Webclient besonders einfach) vor dem Versenden zu einer DeMail Adresse von seinem Provider den öffentlichen Schlüssel abrufen, verschlüsseln und dann verschicken. Updates der öffentlichen Schlüssel können die DeMail Anbieter unter sich austauschen. PGP kann jetzt schon halb automatisiert eingesetzt werden.
Wie hier schon erwähnt, ist das offensichtlich nicht erwünscht eine tatsächliche End-zu-End Verschlüsselung anzubieten. Solange der Provider nur bei sich verschlüsselt und damit ohne Zutun des Endnutzers entschlüsseln kann ist davon nix sicher. Das ist genauso sicher wie die Sony Playstation Accounts. (Ja ich weiß, ein persönlicher PGP Schlüssel kann auch auf dem eigenen Rechner kompromittiert werden)
Für das Versenden würde man im Client (Webclient besonders einfach) vor dem Versenden zu einer DeMail Adresse von seinem Provider den öffentlichen Schlüssel abrufen, verschlüsseln und dann verschicken.
Dies setzt voraus, dass du den Betreiber deines Mailservices als Vertrauenswürdig einstufst. Selbst wenn deine Verbindung mit Diffie Hellman oder RSA etabliert und dann nach TLS symmetrisch verschlüsselt ist, heißt dies nicht, dass der Server den Content vorher noch verbreitet. Daher müsste ein lokaler Mailclient verwendet werden, sodass deine Mail deinen PC nur verschlüsselt verlässt. Sobald auch nur ein Wort davon als plaintext über die Ethernetleitung oder das WLAN verlässt ist das imho schon problematisch.
PGP ist aber wirklich unzumutbar, dir Schlüsselverwaltung müsste man vollständig automatisieren, so dass der Endanwender davon überhaupt nichts mitbekommt und erst recht nicht mehr Klicks investieren muss als ohne Verschlüsselung.
Ich sehe es halt genau andersrum. Der Schlüssel sollte halt nicht irgendwo beim Provider auf dem Server liegen (dürfen), sondern beim User.
Ich stelle mir das so vor: Man bekommt vom Meldeamt oder ähnlich seinen Key (z.B. auf nem kleinen USB Stick oder nen Code auf Papier mit dem man den runterladen kann).
Alles was man damit signiert gilt dann behördlich wie ein Brief.
So braucht man bestenfalls ein Plugin im Mailclient um den Key zu importieren (muss ja nicht so buggy und kompliziert sein wie GnuPG).
Somit kann man den bestehenden Mailaccount weiter benutzen und ist nicht an bestimmte Anbieter gebunden, imo deutlich besser als die Umsetzung hier.
Sofern Verschlüsselung gewollt ist, die public keys kann man ja zentral lagern und überall verteilt Mirrors davon anlegen, das sollte ja das kleinste Problem sein wenn die Keys eh zentral erstellt werden.
