Schlagwort-Archive: De-Mail

Wie (rechts-)sichere elektronische Kommunikation aussehen könnte

Am 31. August 2021berichtete die Tagesschau, dass die Telekom ihren De-Mail-Service zum 31. August 2022 einstellen wird. Diesen Schritt kann ich persönlich gut nachvollziehen, empfand ich die DE-Mail und den ePostbrief doch schon 2012 als Rohrkrepierer.

In diesem Beitrag möchte ich euch meine persönliche Vorstellung schildern, wie (rechts-)sichere elektronische Kommunikation aussehen könnte. Auf Fachchinesisch verzichte ich dabei bewusst und gehe bei der Technik nur soweit ins Detail wie absolut notwendig. So können möglichst viele Personen dem Text folgen.

Im ersten Abschnitt beschäftige ich mich damit, welche Merkmale eine (rechts-)sichere elektronische Kommunikationslösung aufweisen muss. Allerdings bin ich kein Jurist, so dass mir eine Beurteilung, ob etwas nach geltendem Recht tatsächlich rechtssicher ist, nicht möglich ist.

Anschließend beschreibe ich, warum es aus meiner Sicht bisher nicht geklappt hat, eine Lösung zu etablieren und was den existierenden Lösungen zum Erfolg fehlt.

Zum Schluss beschreibe ich meine Wunschlösung.

Welche Merkmale muss eine Lösung besitzen?

Eine Lösung für die Kommunikation mit und zwischen Behörden, Bürgern und Unternehmen muss gewisse Anforderungen an Authentizität, Integrität, Vertraulichkeit, Verbindlichkeit und Zurechenbarkeit erfüllen.

So muss hinreichend sichergestellt bzw. nachvollzogen werden können, von wem eine Nachricht stammt (Authentizität) und ob sie auf dem Weg vom Sender zum Empfänger verändert worden ist (Integrität). Ebenso muss sichergestellt werden, dass ein Sender einer Nachricht seine Willensbekundung nicht unzulässig abstreiten kann (Verbindlichkeit und Zurechenbarkeit). Üblicherweise sollen nur der Sender und die adressierten Empfänger Kenntnis über den Inhalt einer Nachricht erlangen (Vertraulichkeit).

In der analogen Welt dient zum Nachweis der Authentizität häufig die Vorlage eines Ausweisdokuments und/oder die eigenhändige Unterschrift. Bei einem Brief mit eigenhändiger Unterschrift wird in der Regel die Integrität unterstellt. Auch die Anforderungen an die Verbindlichkeit und Zurechenbarkeit gelten dabei in den meisten Fällen als erfüllt. Vertraulichkeit erreicht man häufig schon dadurch, dass man eine Nachricht in einem verschlossenen Briefumschlag verschickt, statt sie auf eine Postkarte zu schreiben. All diese Maßnahmen bieten keinen hinreichenden Schutz vor der Ausspähung und Manipulation durch Geheimdienste. Doch dies ist meines Wissens auch nicht die Anforderung, welche an die analogen Kommunikationsmittel gestellt wird.

Eine elektronische Lösung muss mindestens die gleichen Anforderungen erfüllen wie ihr analoges Gegenstück. Sonst bietet sie kaum einen Mehrwert und stellt den Nutzer sogar schlechter.

Das vermutlich wichtigste Merkmal kommt zum Schluss. Eine Lösung muss gleichermaßen auf dem Desktop-PC, Notebook, Tablet und selbstverständlich Smartphone nutzbar sein.

Digitale Signaturen für Authentizität, Integrität, Verbindlichkeit und Zurechenbarkeit

Ich belasse es hier bewusst bei einer ganz allgemeinen und un-technischen Beschreibung des Verfahrens.

Eine digitale Signatur besteht grundsätzlich aus zwei Komponenten. Einer Komponente zum Signieren einer Nachricht bzw. eines Antrags oder sonstigen Dokuments und einer Komponente, mit welcher eine solche Signatur überprüft und ihrem Besitzer zugeordnet werden kann.

Und technische Internetstandards dazu existieren bereits. Das Rad muss nicht neu erfunden werden:

Unbestritten ist, dass es im Bereich der nutzbaren Implementierung dieser Standards noch erhebliches Verbesserungspotenzial gibt.

Vertraulichkeit durch Verschlüsselung

Hierfür existieren in der IT bereits etablierte Ansätze. Diese sind oben in vier Punkten bereits aufgeführt.

Den größten Fehler, den man begehen kann, ist eine eigene Verschlüsselung für seine Anwendung zu entwickeln. Die Erfahrung zeigt, dass es nicht lange dauert, bis diese gebrochen ist. Auch hier gilt, erfindet das Rad nicht neu.

Ob es sich dabei stets um Ende-zu-Ende-Verschlüsselung handeln muss, stelle ich in Frage. Ein Brief wird häufig bereits im Posteingang geöffnet und dann intern an die bearbeitende Stelle weitergeleitet. Äquivalent und in vielen Fällen ausreichend wäre demnach eine Transport-Verschlüsselung, welche eine Nachricht verschlüsselt vom Sender an den Verantwortungsbereich einer Organisation bzw. des Empfängers transportiert, wo diese intern jedoch entschlüsselt weitergeleitet und bearbeitet werden kann. Dem spricht nicht entgegen, dass es Nachrichten einer erhöhten Vertraulichkeitsstufe geben kann, welche nur durch bestimmte Empfänger entschlüsselt werden können dürfen.

In diesem Bereich existieren bereits funktionierende Lösungen, welche die klassische E-Mail ergänzen. Zugegeben sind diese aktuell jedoch technisch versierten Personen vorbehalten, da es seit Jahren an einfach zu nutzenden Client-Implementierungen mangelt.

Einwurf-Einschreiben und das Fax mit Sendebericht

Sind Fristen zu wahren, ist es nach meiner Erinnerung ausreichend, wenn eine Nachricht innerhalb der Frist im Verantwortungsbereich des Empfängers eingeht. Damit kann der Briefkasten oder das empfangende Fax gemeint sein. Zum Nachweis dient dem Sender in diesen Fällen ein Einschreiben oder der Sendebericht des Fax.

Entsprechende rechtliche Rahmenbedingungen vorausgesetzt, wäre es ausreichend, wenn eine E-Mail den empfangenden Mailserver fristgerecht erreicht. Mit der „Delivery Status Notification (DSN)“ existiert auch hier bereits eine technische Lösung, bei welcher der Mailserver eine Status-E-Mail an den Absender der E-Mail versendet. Einziger Haken an dieser Sache ist, dass es aktuell allein in der Verantwortung des Mailserver-Betreibers liegt, ob diese Funktion aktiviert ist oder nicht. Man kann sich also nicht darauf verlassen, dass man eine entsprechende Benachrichtigung erhält.

Warum es bisher nicht geklappt hat

Hier lassen sich in meinen Augen zwei Problembereiche differenzieren.

Sicherheit und Nutzbarkeit

Die gute alte E-Mail an sich ist wie eine Postkarte. Jeder, der sie auf dem Transportweg in die Hände bekommt, kann sie lesen. Um die E-Mail für Authentizität und Integrität zu ertüchtigen, gibt es seit Jahren OpenPGP und S/MIME, welche für normale Nutzer völlig unbenutzbar sind. Selbst unter meinen IT-Kollegen sind diese Verfahren nicht weit verbreitet.

Selbst wenn das Projekt „pretty Easy privacy“ hier eine Vereinfachung der Handhabung anstrebt, bleibt hier das Problem, dass OpenPGP-Signaturen keine qualifizierten Signaturen nach Signaturgesetz darstellen.

Bei den Alternativen sieht es jedoch nicht besser aus. An dieser Stelle mache ich es mir einfach und verlinke die entsprechenden Abschnitte in der Wikipedia zu DE-Mail, ePostbrief und BeA.

Henne-Ei-Problem

Lange Zeit besaß ich sowohl eine DE-Mail- als auch ePostbrief-Adresse und wartete auf entsprechende Angebote, wo ich einen Mehrwert aus der Nutzung ziehen kann.

Ich bin jetzt jedenfalls für die De-Mail
gerüstet und hoffe, dass im Laufe des Jahres möglichst viele
öffentliche Einrichtungen und Unternehmen der Privatwirtschaft ebenfalls
die Möglichkeit schaffen, die Kommunikation via De-Mail abzuwickeln.
Denn nur wenn diese Institutionen mitziehen wird sich die De-Mail
durchsetzen können und einen echten Mehrwert bieten. Und so werde ich
skeptisch und gespannt die weitere Entwicklung der De-Mail beobachten.

Auf dem Weg zur DE-Mail Adresse

Das Zitat stammt aus einem Beitrag von 2013. Für diesen Beitrag habe ich noch einmal geprüft, welche der Organisationen eine DE-Mail-Adresse besitzen, mit denen ich gerne auf sicherem Wege kommunizieren möchte. Das Ergebnis lässt sich aus folgender Tabelle ablesen.

Name der Organisation/des Unternehmens/der BehördeDE-Mail ja/nein?
Meine Direkt-Banknein
Meine Hausbanknein
Mein Arbeitgebernein
LBV NRWja
Meine Krankenkassenein
Alle meine verschiedenen Versicherungsanbieternein
Meine Gemeindeverwaltungnein
Die Kreisverwaltungja
Von mir regelmäßig genutzter Online-Handelnein
Tabelle: Wer unterstützt DE-Mail?

Zumindest für mich persönlich ist das Angebot sehr überschaubar. Dabei sind die DE-Mail-Adressen dann auch noch häufig gut auf den Webseiten der Anbieter versteckt. Andere, komfortabel nutzbare Kontaktmöglichkeiten stehen bereit und im Vordergrund.

Obige Anbieter haben alle gemeinsam, dass es akzeptable Kontaktmöglichkeiten gibt. So ist auf Seite der Empfänger und auf meiner Seite als Absender die Motivation gering, DE-Mail zu nutzen.

Dieses Henne-Ei-Problem wurde bis heute nicht gebrochen. Und ich glaube nicht daran, dass sich dies noch ändern wird.

Ein ähnliches Henne-Ei-Problem sehe ich aktuell auch noch bei der eID-Funktion des elektronischen Personalausweises. Außer meiner Kfz-Zulassungsstelle habe ich noch keine weiteren Anbieter gefunden, wo mir diese Funktion einen Vorteil bringt.

Wie könnte eine Lösung aussehen?

Im ersten Abschnitt dieses Beitrags habe ich bereits etwas zu Authentizität, Integrität, Verbindlichkeit und Zurechenbarkeit geschrieben. Alle diese Punkte würde ich mit einem Produkt im Scheckkartenformat adressieren, das viele Deutsche Staatsbürger bereits ihr Eigen nennen. Mit dem Personalausweis:

Dieser Personalausweis bietet neben einer Online-Ausweis-Funktion auch die Möglichkeit, Signaturzertifikate für eine qualifizierte elektronische Unterschrift zu speichern.

Mit der Online-Ausweis-Funktion gibt es die Henne. Jetzt brauchen wir noch Eier. Und mit Eiern meine ich Angebote der Behörden, Ämter und Verwaltungen zur Nutzung dieser Funktion. Diese sind nicht durch Gewinnerzielungsabsicht gehemmt und können maßgeblich dazu beitragen, den Teufelskreis zu durchbrechen. Bei den notwendigen Prozessen muss ein Fokus darauf gelegt werden, die Hürde zur Adaption durch private Unternehmen nicht zu hoch zu legen, da diese sonst keine Motivation haben, ein weiteres Authentifizierungsverfahren anzubieten.

Es gibt Kartenlesegeräte und Apps. Hier fehlt es in meinen Augen eigentlich nur noch an Angeboten.

Etwas düsterer sieht es aktuell mit der Unterschrift aus:

Derzeit gibt es keinen Anbieter für Signaturzertifikate, die mit dem Personalausweis verwendet werden können.

URL: https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/der-personalausweis/funktionen/funktionen-node.html#doc14626304bodyText3

Das traurige Ende dieser Funktion ist in einem heise-Artikel aus Oktober 2018 nachzulesen. Die darin genannte Petition erreichte ihr Quorum leider nicht. Die Frage lautet nun, wo bekommen wir eine Henne für diese Funktion her? Hier wünsche ich mir, dass unsere Bundesregierung uns diese beschafft.

Denn ein Teil der Infrastruktur, welche zur Verwaltung von Signaturzertifikaten benötigt wird, existiert bereits. Um einen neuen Personalausweis zu beantragen, muss die Identität des Antragstellers festgestellt werden. Hier kann ein und derselbe Verwaltungsprozess sowohl zur Beantragung des Personalausweises, als auch zur Beantragung eines Signaturzertifikats benutzt werden.

Der Vorteil für die Bürgerinnen und Bürger ist offensichtlich. Mit einem Gang zum Amt erhalten sie ihren Personalausweis mit Signaturzertifikat. Sie müssen sich daheim nicht mehr damit beschäftigen, wie sie nun ein Zertifikat auf ihren nPA bekommen.

Alternativ dazu bietet die Möglichkeit der Fernsignatur evtl. die Chance, an unsere Henne zu kommen. Das BSI hat hierzu von 2019 bis 2020 ein Pilotprojekt durchgeführt und erfolgreich beendet.

Anschließend sind es auch hier die Behörden, Ämter und Verwaltungen, welche die ersten Eier legen müssen, um die kritische Masse zu erreichen. Andere Organisationen werden dann nachziehen. Denn ich bin mir sicher, das Interesse an einer sicheren digitalen Unterschrift ist groß.

Damit hätten wir eine Lösung, um sich online auszuweisen und um Dokumente digital zu unterschreiben (signieren). Was noch fehlt, ist eine Möglichkeit diese Dokumente, unter Einhaltung eines Mindestmaß an Vertraulichkeit, an den gewünschten Empfänger zu versenden.

Tja, hier fällt mir leider auch nichts besseres ein, als die gute alte E-Mail zu ertüchtigen. Alternativ kann ich mir jedoch auch einen SSL/TLS-geschützten Uploadbereich beim Empfänger vorstellen, in den ich meine Anträge/Dokumente hochladen kann und nach dem erfolgreichen Upload eine Quittung bekomme. Allerdings fehlt bei letztem Verfahren die Antwortmöglichkeit.

Mit dem nPA als Signaturkarte und der dazugehörigen Infrastruktur fehlt es hier allerdings nur noch an passenden Clientanwendungen, um diese Zertifikate praktisch nutzbar zu machen.

Stammen die für die Verschlüsselung benötigten öffentlichen Schlüssel eines Empfängers aus einem amtlichen Verzeichnis, wurde im Vorfeld geprüft, ob der öffentliche Schlüssel von Bob auch wirklich zu Bob gehört. Und nicht Trudy einfach einen Schlüssel auf einen Schlüsselserver hochlädt und behauptet, Bob zu sein.

Sicher ist es nicht ganz so einfach, wie hier geschrieben. Sonst hätte es ganz sicher schon jemand umgesetzt. Doch denke ich, dass man ausgehend vom Personalausweis und dem elektronischen Aufenthaltstitel hier eine Lösung schaffen kann. Unsere Regierung muss es sich dazu im „Neuland“ nur gemütlich einrichten und vorangehen.

PS: Und vielleicht klappt es ja irgendwann doch noch mit verschlüsselter E-Mail-Kommunikation. ;)

Der steinige Weg zu verschlüsselter Kommunikation

Nach dem in den Medien fast täglich eine neue Schlagzeile rund um die NSA Affäre auftaucht, habe ich beschlossen mich näher mit dem Thema „Vertrauliche Kommunikation“ zu befassen.

Dieser Artikel fasst meine Überlegungen zusammen und grenzt das Thema ein. Dabei gehe ich kurz auf meine Motivation ein, nenne gängige Verfahren zur vertraulichen Kommunikation und kommentiere diese. Dabei führe ich einige Links zu Quellen auf, die weiterführende Informationen zu den einzelnen Verfahren und Programmen bieten. Ich plane in folgenden Artikeln detaillierte Beschreibungen zu einzelnen Lösungen zu geben. Bei diesem Artikel handelt es sich damit sozusagen, um den Grundlagenartikel zum Thema.

Mein Ziel ist es eine Lösung zu finden, mit der eine möglichst sichere (denn 100%-ige Sicherheit gibt es nicht) und vertrauliche Kommunikation über das Internet machbar ist.

Vertrauliche Kommunikation

Vertraulich ist eine Nachricht dann, wenn nur der Absender und der oder die Empfänger von ihrem Inhalt Kenntnis haben. Überbringern bzw. Übermittlern dieser Nachricht ist ihr Inhalt entgegen nicht bekannt.

Dies ist z.B. beim klassischen Brief der Fall. Der Absender schreibt ihn, packt ihn in einen Umschlag, verschließt diesen und übergibt ihn der Post zur Zustellung. Die Post bzw. der Postbote, als Überbringer des Briefs, kann den Brief nicht lesen, ohne den Umschlag zu öffnen. Nur der Empfänger kann die enthaltene Nachricht nach Erhalt lesen. Erhält der Empfänger jedoch einen geöffneten Umschlag, so weiß er, dass die Authentizität und Integrität nicht mehr gewährleistet sind.

Im Gegensatz dazu gleicht eine E-Mail eher eine Postkarte. Jeder, der sie in die Hand bekommt, bzw. jeder Server der die E-Mail weiterreicht, kann den Inhalt im Klartext lesen, kopieren und ggf. verändern.

Möchte ich nun in bestimmten Fällen vermeiden, dass meine Nachricht für unbekannte Dritte lesbar ist, muss ich mir Maßnahmen überlegen, wie ich die Vertraulichkeit sicherstellen kann.

Bekannte Probleme

Vertraulicher Kommunikation im Internet stehen vor allem drei bekannte Probleme entgegen.

  • Die Verfahren sind für den Anwender meist extrem unkomfortabel in der Anwendung.
  • Die Verfahren sind so komplex, dass technisch wenig versierte Anwender sie nicht verstehen bzw. nachvollziehen können.
  • Ob die Verfahren wirklich ein hohes Maß an Sicherheit bieten lässt sich meist nur schwer einschätzen.

Alle drei Punkte sorgen dafür, dass auf eine digitale Signatur bzw. Verschlüsselung meist verzichtet wird.

Ich will es dennoch versuchen und schaue mir dazu die folgenden Lösungen an.

Mögliche Lösungen

Auf den ersten Blick bieten sich fünf Möglichkeiten, um das gesteckte Ziel zu erreichen:

  • DE-Mail,
  • E-Postbrief,
  • E-Mail „Made in Germany“,
  • Einsatz von GnuPG oder
  • S/MIME

Rufen wir uns nochmal kurz das Ziel in Erinnerung. Ich möchte, dass die Kommunikation zwischen dem Sender und dem Empfänger der Nachricht vertraulich bleibt. Dabei möchte ich so nah wie möglich an die Vertraulichkeit des klassischen Briefs herankommen.

Dabei bin ich mir bewusst, dass es Geheimdiensten unter Umständen trotzdem möglich ist an den Inhalt meiner Nachricht zu gelangen. Dieses Problem stellt sich jedoch auch beim klassischen Brief. Wie gesagt, 100%-ige Sicherheit gibt es nicht. Aber ich möchte versuchen es ihnen so schwer wie möglich zu machen. Wenn es mir dabei jedoch gelingt alle anderen Freunde von Big Data auszusperren, ist dies schon als Sieg zu werten.

Kommen wir zu den oben genannten Lösungen im Einzelnen.

DE-Mail und E-Postbrief

Meine Kritik an diesen beiden Produkten habe ich bereits in meinem Artikel „DE-Mail und E-Postbrief – Zwei echte Rohrkrepierer“ geäußert.

Beide Produkte bieten aktuell keine Ende-zu-Ende-Verschlüsselung. Während der Übertragung wird die Nachricht auf den Servern der Anbieter entschlüsselt, verarbeitet, wieder verschlüsselt und weitergeleitet. Nach Angaben der Anbieter wird die Nachricht entschlüsselt, um sie auf enthaltene Schadsoftware zu überprüfen. Der kritische Punkt ist jedoch, dass sie überhaupt entschlüsselt wird. Damit ist der Inhalt der Nachricht nicht mehr vertraulich. Aus diesem Grund kommen beide Produkte für mich nicht in Frage. Weder für den privaten Gebrauch, noch für die Kommunikation mit Ärzten, Versicherungen oder Behörden.

E-Mail „Made in Germany“

Die E-Mail „Made in Germany“ hat das gleiche Problem wie die DE-Mail und der E-Postbrief.

Zitat:

Entgegen zunächst anders lautender Angaben wird bei „E-Mail made in Germany“ genau wie bei De-Mail die Mail auf den Servern der beteiligten Unternehmen mit einem Virenscanner auf Virenfreiheit geprüft. Wer dies nicht wünscht, muss den Inhalt der Mail und etwaige Attachments verschlüsseln.

Die einzige „Neuerung“ im Vergleich zur bisherigen E-Mail Kommunikation besteht darin, dass die E-Mails beim Transport von Server zu Server nun endlich verschlüsselt übertragen werden und nicht an jedem Router, den sie passieren, mitgelesen oder verändert werden können. Dies ist jedoch keine echte Innovation, da die Technik zur Transportverschlüsselung bereits seit Ende der 90’er Jahre vorhanden ist.

Offen bleibt lediglich die Frage, ob man deutschen Providern mehr Vertrauen entgegen bringen kann, als anderen, oder eben nicht. Da ich auch mit Personen außerhalb Deutschlands oder Europas kommuniziere geht der Nutzen dieser Lösung für mich gegen Null.

GnuPG und S/MIME

GnuPG und S/MIME sind zwei verbreitete Möglichkeiten um Daten digital zu signieren und verschlüsseln zu können.

GnuPG wurde in RFC4880 definiert. Die Spezifikationen zu S/MIME finden sich in RFC1847, RFC2633, RFC3851 und RFC5751.

Zuerst die schlechte Nachricht. Beide Verfahren sind nicht kompatibel zueinander. Daher stellt sich als erstes die Frage, auf welches Verfahren man setzen sollte. Im Internet bin ich auf den Artikel „S/MIME vs. OpenPGP: Eine Entscheidungshilfe“ gestoßen. Dieser Artikel war mir bei der Entscheidungsfindung sehr hilfreich. Meine Entscheidung gegen S/MIME fiel unter anderem wegen des folgenden Zitats:

X.509 verwendet ein streng hierarchisches System zur Zertifizierung von öffentlichen Schlüsseln. Eine Certificate Authority (CA) steht an der Spitze der Zertifizierungs-Hierarchie und signiert entweder direkt oder über Sub-CAs die Schlüssel aller Teilnehmer innerhalb der Public Key Infrastruktur (PKI). Die einzelnen Benutzer sind im Besitz ihres eigenen Schlüssels und des öffentlichen CA-Schlüssels und können dadurch die Gültigkeit unbekannter Zertifikate überprüfen.

Dadurch ergibt sich ein Sicherheitsrisiko, welches bei Wikipedia wie folgt beschrieben wird:

Für die Nutzung von S/MIME-Zertifikaten zur Verschlüsselung und Signierung wird aufgrund des Public-Key-Verschlüsselungsverfahrens ein Schlüsselpaar aus öffentlichem und privatem Schlüssel benötigt. Im Gegensatz zum Zertifikat können und sollten diese Schlüssel lokal beim Anwender erzeugt und mit den Zertifikaten verbunden werden. Oft werden die Schlüssel aber gleich von der Zertifizierungsstelle zusammen mit dem Zertifikat generiert und an den Anwender übermittelt. Dadurch ist der Zertifizierungsstelle der private Schlüssel bekannt, was unbedingt im Rahmen der Sicherheit vermieden werden sollte, da der Schlüssel in falsche Hände gelangen kann. Es gibt aber auch Verfahren, bei denen die Schlüssel durch den Webbrowser des Anwenders erzeugt werden. Dabei verlässt der private Schlüssel den PC des Benutzers nicht.

Nach den Enthüllungen rund um die NSA Affäre stehe ich zentralen Zertifizierungsstellen skeptisch gegenüber. Die meisten dieser Zertifizierungsstellen haben ihren Sitz in den USA und es liegt der Verdacht nahe, dass die Geheimdienste durch Hintertüren oder eingebaute Schwachstellen, die mittels dieser Zertifikate geschützte Kommunikation mitlesen können. Auf gut Deutsch: Mein Vertrauen in diese Zertifizierungsstellen wurde schwer in Mitleidenschaft gezogen.

Aus diesem Grund, und aufgrund der Tatsache, dass ich privat vorwiegend auf die Betriebssysteme Linux und Android setze, fiel meine Entscheidung auf GnuPG, welches für alle gängigen Betriebssysteme frei verfügbar ist.

Fazit: Bisher haben wir nur ein paar Überlegungen zu vertraulicher Kommunikation und möglichen Lösungen getroffen. Ihr seht wie lang dieser Artikel geworden ist. Dabei haben wir noch nicht ein Programm installiert, keine Nachricht signiert und auch noch keine Nachricht verschlüsselt.

In einem der nächsten Artikel werde ich mich daran wagen, mit Hilfe von GnuPG ein Schlüsselpaar zu erzeugen und eine erste verschlüsselte Nachricht zu versenden.

Auf dem Weg zur DE-Mail Adresse

Vor noch nicht allzu langer Zeit habe ich die De-Mail und den ePostbrief an dieser Stelle
als Rohrkrepierer bezeichnet. Doch habe ich die beiden Angebote nicht
aus den Augen verloren und beobachte gespannt die weitere Entwicklung.

Bisher habe ich in Erfahrung gebracht, dass der ePostbrief weiterhin kein Angebot bietet, welches dem De-Mail Gesetz entspricht. Via Twitter teilte mir die verantwortliche Stelle der Post jedoch mit, dass ein entsprechendes Angebot in Vorbereitung ist, welches sich aktuell in der Auditierungs- und Akkreditierungsphase befindet. Ich bleibe hier am Ball und warte wann der De-Mail Service der Post an den Start geht.

Etwas weiter bin ich bei der De-Mail. Hier habe ich heute die Identitätsprüfung für den De-Mail Dienst der Deutschen Telekom abgeschlossen. Ein kurzer Besuch im Telekom Shop genügte. Hier wurde das Ident-Formular ausgefüllt und mit einem gültigen Lichtbildausweis die Identität des Antragstellers verifiziert. Besitzt man schon den neuen Personalausweis kann die Registrierung und Identifizierung komplett online erfolgen.

Doch wofür braucht man die De-Mail nochmal? Die Antwort ist eigentlich ganz einfach. Die klassische E-Mail kann mit einer Postkarte verglichen werden. Jeder der sie in die Hände bekommt kann sie lesen. Auf das Internet übertragen bedeutet dies, dass jeder Server, den die Mail auf dem Weg zum Empfänger durchläuft, den Inhalt der Mail lesen und auch verändern kann. Bei der De-Mail hingegen soll dies durch den Einsatz einer Transportverschlüsselleung (TLS) verhindert werden. Damit soll die De-Mail so sicher sein wie ein klassischer Brief, dessen Integrität durch das Briefgeheimnis sichergestellt wird.

Nun halten einige die De-Mail für überflüssig. Schließlich gibt es bereits seit Jahren Verfahren zur E-Mail Verschlüsselung, die eine sichere und vertrauliche Kommunikation auch via E-Mail sicherstellen. Doch jeder, der bereits versucht hat die E-Mail Verschlüsselung der Generation unserer Eltern näher zu bringen wird zugeben, dass dies alles andere als leicht ist. Denken doch die meisten Menschen, wenn sie GnuPG hören, eher an eine neue Tierart aus Afrika, als an den GNU Privacy Guard. Die Usability ist furchtbar und nur IT-Spezialisten und echte Nerds greifen darauf zurück. Daher konnte sich die E-Mail Verschlüsselung bisher auch nur in Bereichen durchsetzen, wo die vertrauliche Kommunikation zwingend erforderlich ist.

De-Mail bietet hier eine echte Chance die sichere, rechtsverbindliche und vertrauliche Kommunikation über das Internet massentauglich zu machen.

Auch preislich ist der Dienst nicht unattraktiv. Bei der Telekom kostet die
Standard De-Mail nach der Ausschöpfung des Freikontingents nur 0,39€
brutto. Im Vergleich zum Porto von 0,58 € für einen Standardbrief schon
eine deutliche Ersparnis.

Ich bin jetzt jedenfalls für die De-Mail
gerüstet und hoffe, dass im Laufe des Jahres möglichst viele
öffentliche Einrichtungen und Unternehmen der Privatwirtschaft ebenfalls
die Möglichkeit schaffen, die Kommunikation via De-Mail abzuwickeln.
Denn nur wenn diese Institutionen mitziehen wird sich die De-Mail
durchsetzen können und einen echten Mehrwert bieten. Und so werde ich
skeptisch und gespannt die weitere Entwicklung der De-Mail beobachten.

DE-Mail und E-Postbrief – Zwei echte Rohrkrepierer

Am 3. Mai 2011 trat das DE-Mail-Gesetz in Kraft. De-Mail und der E-Postbrief sollen dem Bürger die rechtssichere und vertrauliche Kommunikation im Internet ermöglichen. Wer noch nie etwas darüber gehört hat oder sein Gedächtnis auffrischen möchte, dem seien die verlinkten Wikipedia Artikel empfohlen.

Ich selbst besitze bereits seit Ende 2010 eine E-Postbrief Adresse. Damals faszinierte mich die Vorstellung keine Medien auf Cellulosebasis mehr verwenden zu müssen und endlich elektronisch und rechtsverbindlich mit Behörden, Ämtern und der Sparkasse kommunizieren zu können. Und was hat mir die Adresse bis heute genutzt? Richtig, rein gar nichts habe ich bisher davon.

Ich habe auf den Webseiten meiner Samtgemeinde, der Gemeinde meines Zweitwohnsitzes, des Landkreises, des Finanzamts und der Sparkasse gesucht. Vergeblich! Nirgendwo bei den öffentlichen Stellen oder Unternehmen der Privatwirtschaft konnte ich bisher eine De-Mail oder E-Postbrief Adresse finden. Was soll ich mir also Gedanken über die Vorbehalte machen, die es gegen De-Mail und den E-Postbrief gibt, wenn es nicht einmal einen Empfänger gibt, den ich auf diesem Weg kontaktieren kann?

Der Familie, Freunden, Bekannten oder Kollegen werde ich wohl kaum einen E-Postbrief schreiben. Warum sollte ich auch für etwas Geld bezahlen, dass ich auch kostenlos haben kann? All diesen Menschen ist gemein, dass sie sich in der Regel über eine schlichte E-Mail freuen. Adressaten für eine De-Mail wären Empfänger, die bisher auf schriftliche Mitteilungen via Brief oder Fax bestehen. Doch hier werden die Kommunikationsmittel des letzten Jahrhunderts wohl auch in Zukunft erste Wahl sein.

Die Entwicklung und Verbreitung schreitet hier so langsam voran, dass De-Mail und E-Postbrief die Chance haben zwei echte Rohrkrepierer zu werden.