1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
|
title: Chaos Computer Club: Sicherheit von De-Mail nur ein schlechter Witz
date: 2013-03-19 23:13:00
updated: 2013-03-21 12:07:12
author: 46halbe
tags: update, pressemitteilung
Am Mittwoch wird im Innenausschuß des Deutschen Bundestages eine öffentliche Anhörung von Sachverständigen zum Thema "Elektronische Verwaltung" stattfinden. [0] Der Chaos Computer Club (CCC) veröffentlicht seine Stellungnahme zu dem vorliegenden Gesetzesentwurf, die begründet, warum er abzulehnen ist. [1]
<!-- TEASER_END -->
Vor bereits zwei Jahren hatten der CCC und weitere Sachverständige der
De-Mail ein katastrophales Zeugnis ausgestellt. \[2\] Die Kritiker
fanden zwar in der Koalition kein Gehör, jedoch mittelbar: Die
Bevölkerung verweigerte dem Dienst bisher konsequent die Nutzung, und
auch die Bundesregierung ist zu der Einsicht gelangt, daß De-Mail den
eigenen Anforderungen für den Schutz sensibler Daten nicht genügt.
Mit dem "Gesetz zur Förderung der elektronischen Verwaltung sowie zur
Änderung weiterer Vorschriften" will die Bundesregierung beiden
Umständen nun Abhilfe verschaffen. Für die naheliegende Lösung, das
Sicherheitsniveau der De-Mail anzuheben, konnte man sich jedoch nicht
erwärmen. Stattdessen soll nun die Verwaltungsgesetzgebung durch
Ausnahmeregelungen für De-Mail aufgeweicht werden, um eine rechtliche
Basis für eine allgemeine Verwendung im Bereich des E-Governments zu
ermöglichen. Ziel des Gesetzes ist offenbar, durch die Vermeidung echter
Ende-zu-Ende-Verschlüsselung eine Abhör-Hintertür für Polizei und
Geheimdienste zu eröffnen – auch zum Einschleusen von staatlichen
Trojanern auf Bürgercomputer. Der CCC-Aprilscherz über den
Bundestrojaner in der Elster-Steuererklärung wird nun zur Realität.
\[3\]
"Es kann nur als Witz gemeint sein, daß De-Mail trotz lange bekannter
Schwächen per Gesetz nun zum Standard für Behördenkommunikation erhoben
werden soll. Damit wird sehenden Auges ein völlig lächerliches
Sicherheitsniveau festgeschrieben, das in der Industrie und bei
Berufsgeheimnisträgern niemals akzeptabel wäre. Da kann man seine
Steuererklärung gleich auf einer Postkarte abgeben. Und obendrein
bekommt man möglicherweise noch einen Staatstrojaner als Antwort
zurück", sagte Frank Rieger, Sprecher des CCC.
In der momentanen De-Mail-Spezifikation werden die Server zudem zu
attraktiven Angriffszielen. Wenn nun die Kommunikation der gesamten
Verwaltung des Bundes über diese wenigen Server abgewickelt werden soll
– obendrein mit einer Verschlüsselung, die ihren Namen nicht verdient –,
ist der Daten-GAU vorprogrammiert. Es ist nur eine Frage der Zeit, bis
KFZ-Anmeldungen, Steuererklärungen und private De-Mails in die Hände von
kriminellen Datenhehlern abwandern. Spätestens dann wird die
Bundesregierung sich der Verantwortung stellen und das Verfehlen von
seit Jahrzehnten existierenden Sicherheitsstandards rechtfertigen
müssen.
Der CCC rät dazu, das gescheiterte Projekt De-Mail ersatzlos zu
streichen und sich an existierenden Alternativen wie etwa OpenPGP, GNU
Privacy Guard oder S/MIME zu orientieren. Der untaugliche Versuch,
De-Mail durch Aufhebung gesetzlich gewährleisteter
Vertraulichkeitsstandards auf Kosten der Bürger zu mehr Relevanz zu
verhelfen, sorgt weder für Vertrauen in die Behördenkommunikation noch
für mehr Sicherheit.
**Links**:
- \[0\] 100. Sitzung des Innenausschusses am Mittwoch, 20. März 2013,
12 bis 14 Uhr im Paul-Löbe-Haus, Raum 4.400:
<http://www.bundestag.de/bundestag/ausschuesse17/a04/Anhoerungen/Anhoerung29/TO_100.pdf>
- \[1\] Stellungnahme zum Gesetz zur Förderung der elektronischen
Verwaltung sowie zur Änderung weiterer Vorschriften:
<http://ccc.de/system/uploads/126/original/stellungnahme-demail2013.pdf>
- \[2\] Sichere und vertrauenswürdige elektronische Kommunikation via
De-Mail: Stellungnahme des Chaos Computer Clubs 2011:
<http://www.ccc.de/system/uploads/64/original/CCC-de-mail-2011.pdf>
- \[3\] Bundestrojaner in ELSTER-Software entdeckt, Aprilscherz 2007:
<http://www.ccc.de/updates/2007/bundestrojaner-elster>
|