summaryrefslogtreecommitdiff
path: root/updates/2011/stellungnahme-gesetzentwurf-demail.md
blob: 01ca5e5a190a9f86fabf774ca8587f7a5d8b010f (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
title: Chaos Computer Club erneuert Kritik am Gesetzentwurf zur De-Mail
date: 2011-02-07 00:53:00 
updated: 2011-02-07 01:21:29 
author: erdgeist
tags: update, pressemitteilung

Der Chaos Computer Club (CCC) erneuert seine Kritik am Gesetzentwurf zu De-Mail in einer Stellungnahme [1] anläßlich der Expertenanhörung [2] im Innenausschuß des Bundestages am Montag, den 7. Februar 2011. Insbesondere aufgrund der fehlenden Ende-zu-Ende-Verschlüsselung und des einfachen Zugriffes staatlicher Bedarfsträger lehnt der CCC den Entwurf ab.

<!-- TEASER_END -->

De-Mail soll in Zukunft eine verbindliche Adresse für "sichere"
Kommunikation sowie Speicherplatz für digitale Unterlagen
(elektronischer "Dokumenten-Safe") anbieten. Die kostenpflichtigen
De-Mail-Adressen werden von Anbietern wie GMX, Web.de oder T-Online als
rechtssicher, vertraulich und zuverlässig gepriesen. Die Bundesregierung
beschloß die Einführung von De-Mail im Februar 2009. Nach dem Willen des
Gesetzgebers soll De-Mail der Papierbriefbürokratie ein Ende setzen.

Eine sichere, vertrauensvolle Kommunikation setzt die Verschlüsselung
der E-Mail vom Anfang bis zum Ende des Versandweges voraus. Im
Gesetzentwurf fehlt diese verpflichtende Ende-zu-Ende-Verschlüsselung.
Damit läßt sich weder Datenschutz noch eine Vertrauenswürdigkeit der
verschickten Daten garantieren. Gerade vor dem Hintergrund, daß De-Mail
für sensible Kommunikation mit Behörden genutzt werden soll, wäre aber
die Ende-zu-Ende-Verschlüsselung eine zwingende Voraussetzung.

Zudem sind die Identitätsinformationen und Zugangsdaten des Benutzers
auf Anforderung an Polizei, Verfassungsschutz, Bundesnachrichtendienst
und Militärischen Abschirmdienst ohne eine richterliche Anordnung
herauszugeben (Paragraph 112, 113 TKG). Dem unkontrollierten Zugriff
staatlicher Stellen auf die De-Mail-Nachrichten wird hier, im Gegensatz
zur klassischen Briefpost, ganz nonchalant der Weg geebnet.

"Bei De-Mail wird bewußt auf eine wirklich vertrauenschaffende
Kommunikation verzichtet. Die Chance, eine sichere, standardisierte
Ende-zu-Ende-Kommunikation für Behörden- und Geschäftsbriefe zu
entwickeln, wurde vertan – vor allem weil staatliche Ermittler und
Geheimdienste möglichst einfach mitschnorcheln wollen", sagte
CCC-Sprecher Frank Rieger.

Für die Benutzer entsteht außerdem die Gefahr ungewollter und
unbemerkter rechtsverbindlicher Zustellungen, insbesondere dann, wenn
sie nicht regelmäßig ihr digitales Postfach prüfen. Ein weiteres Problem
ist, daß zwar De-Mail die gleichen Übertragungs- und Datenformate wie
normale E-Mail verwendet, aber absichtlich nicht interoperabel ist.
Diese gewollte Inkompatibiltät wird zu Verwechslungen und
fehlgeschlagener Kommunikation bei fachlich nicht mit der Bezahl-De-Mail
vertrauten Anwendern führen. Die Form der De-Mail\
`vorname.nachname[.nummer]@dienstanbieter.de-mail.de` (beispielsweise
klaus.hacker.99\@t-online.de-mail.de)\
ist einer normalen E-Mail so ähnlich, daß Verwechslungen kaum zu
vermeiden sein werden.

Das Konkurrenzprodukt E-Postbrief krankt an den gleichen strukturellen
Problemen wie De-Mail. Auch dort wurde unter anderem keine
Ende-zu-Ende-Verschlüsselung implementiert, man muß schlicht dem
Server-Betreiber vertrauen. Die einmalige Gelegenheit, einen umfassenden
Standard für sichere, vertrauenswürdige E-Mail-Kommunikation zu
schaffen, wurde nicht genutzt.

Die Tatsache, daß man sein Postfach mit Post-Ident identifiziert hat,
heißt angesichts der Menge an Trojanern auf den PCs der Nutzer noch
lange nicht, daß dieser als einziger auf den eigenen Rechner und somit
auf das Postfach Zugriff hat. Wie sich im Mißbrauchsfall die
Haftungsfrage gestaltet – schließlich geht es um rechtsverbindliche
Schreiben –, wird vom Gesetzentwurf bewußt ausgelassen. Die Lehre, daß
selbst der elektronische Personalausweis \[4\] keine Gewißheit über die
Identität des Absenders verschaffen kann, wurde nicht gezogen.

### Links:

-   \[1\] [Stellungnahme des CCC – Sichere und vertrauenswürdige
    
elektronische Kommunikation via
    De-Mail](http://www.ccc.de/system/uploads/64/original/CCC-de-mail-2011.pdf "Stellungnahme des CCC – Sichere und vertrauenswürdige 
elektronische Kommunikation via De-Mail")
-   \[2\] [Expertenanhörung zur geplanten Regelung von De-Mail-Diensten
    am 7.Februar um 15 Uhr im Paul-Löbe-Haus (Raum
    E 200)](http://www.bundestag.de/presse/hib/2011_02/2011_042/01.html "Expertenanhörung zur geplanten Regelung von De-Mail-Diensten am 7.Februar um 15 Uhr im Paul-Löbe-Haus (Raum E 200)")
-   \[3\] [Chaosradio 159 – Digitale
    Postkarten](http://chaosradio.ccc.de/cr159.html "Chaosradio 159 – Digitale Postkarten")
-   \[4\] [CCC demonstriert praktische Sicherheitsprobleme beim
    elektronischen
    Personalausweis](http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa "CCC demonstriert praktische Sicherheitsprobleme beim elektronischen Personalausweis")