Neulich am Stammtisch hatten wir eine kleine Diskussion darüber, warum DE-Mail so stark beworben wird, trotz aller bekannten Fehler und Lücken und trotz bereits erfolgreicher Systeme wie PGP und GPG. Meine Meinung hat vielleicht etwas von Verschwörungstheorie, aber dennoch:
Es geht meiner Meinung nach nicht darum, die Mails/Briefe vertraulich zu bekommen. Für den (unbedarften) Endkunden und die Behörden sieht das System sicher toll aus. Der Pluspunkt für den Bürger: die unkomplizierte Kommunikation mit den Behörden, die anscheinende Sicherheit. Der Pluspunkt für die Behörden: mit der Versendung gilt ein Schreiben als zugestellt, da sich ein Bürger mit Benutzung der Dienste verpflichtet, die Mails täglich abzurufen.
Ginge es alleine um eine sichere Ende-zu-Ende Kommunikation, wäre die einfachste Möglichkeit, das GPG/PGP-Prinzip (wieder weiter) auszubauen und Bürgern einfachere Software zur Verfügung zu stellen. Das BMWi und das BMI kennen sich damit ja schon aus, auch andere Behörden benutzten PGP zur verschlüsselten Kommunikation.
Und spätestens nach der Feststellung, dass es in den letzten 10 Jahren schon Anstrengungen in die Richtung gab, Bürgern eine Verschlüsselung nachezulegen, sie bei der Benutzung zu bestärken, ihnen überhaupt zu helfen, Verschlüsselung einzusetzen, fragt man sich, warum man 8 Jahre nachdem das Projekt eingestampft wurde, eine so lückenhafte Implementierung von „Verschlüsselung“ zulässt. Und auch, warum ein mündiger Bürger, der Verschlüsselung einsetzt, damit schon als Verdächtiger gilt.
Wie ich schon sagte: der Sinn und Zweck ist es bei De-Mail (vermutlich), dem Bürger Sicherheit und Vertraulichkeit vorzugaukeln und im Hintergrund die Kontrolle bzw. eine so genannte „Backdoor“ zu haben, um die Benutzer des Dienstes zu kontrollieren/überwachen. Im Sinne eventuell zukünftig geplanter Vorstöße gegen das Brief- und Fernmeldegeheimnis ist man hier dann schon vorbereitet.
Ach ja: Geld verdienen kann man damit auch. Auch das ist ein nicht zu unterschätzender Faktor, denn mit GPG und Thunderbird verdienen Behörden kein Geld. Warum aber eine vertrauliche Mail, die man kostenlos mit GPG bekommen kann, jetzt ausgerechnet Geld kosten soll, ist mir weiterhin unbegreiflich. Vor allem, wer dieses System am Ende nutzen wird.
Bei dem E-Postbrief kommt dabei dann nicht nur die Möglichkeit einer Öffnung eines vertraulichen Schreibens hinzu, nein, wenn ich den Brief an eine Offline-Adresse schicke, wird der Brief von der Post gedruckt. Erschreckend. Von der grausigen Werbung mal ganz zu schweigen. Vertraulich geht anders.
Aber spätestens sobald die ersten mit ACTA-Regelungen oder anderen Three-Strikes-Direktiven vom Netz getrennt werden und somit ihren De-Mail-Account nicht mehr abrufen können, die Behörden (u.a. ja auch die Gerichte) dann mittels De-Mail die Gerichtsdaten etc. an den Angeklagten schicken, werden wir lustige Fälle haben, die vermutlich vor dem BVerfG landen werden. Wahrscheinlich wird es aber schon vorher genut Furore geben. Ich vertraue den Jungs vom CCC dabei voll und ganz. Ich warte auf den großen Knall.
Ich für meinen Teil bleibe bis auf weiteres bei GPG.
Fehler, Lücken und offene Fragen im Konzept von De-Mail und dem E-Postbrief
- Die Mails werden nicht Ende-zu-Ende verschlüsselt – wer kontrolliert die Post hierbei?
- Warum implementiert man nicht ein Public-Private-Key-Verfahren?
- Die Wahrung des Briefgeheimnisses wird hier mit „Features“ ausgehebelt.
- Sendung wird mit Zustellung gleichgesetzt
- Was ist mit Urlaub ohne Internetzugang?
- Was ist, wenn die von der EU/ACTA geforderten Regelungen mit der Kappung des Internetzugangs durchgesetzt werden?
- Die Adressen werden nach dem Muster <vorname>.<nachname>.<id>@<provider>.de-mail.de erstellt.
Was machen Nutzer von bsp. T-Online-Email-Adressen wenn sie den Provider wechseln? Und was ist mit Mails die während der Übergangszeit ankommen?
Ich beschäftige mich auch seit geraumer Zeit mit dem Thema und muss sagen, dass die oft wiederholte Kritik sinnvoll ist. Oft wird aber die Kritik deutlich übertrieben. Bis hin zu Verschwörungstheorien. Zuvor muss ich sagen, dass ich kein Anwalt bin. Somit kann ich mich auch täuschen. Aber ein paar Punkte stimmen so nicht.
zu:
3. Das Briefgeheimnis wird nicht mir Features ausgehebelt, es gilt schlichtweg nicht für E-Mails und somit auch nicht für De-Mail und E-Postbrief. Artikel 10 GG gilt nicht alle drei Systeme. Leider nur TKG. Wem das zu „unsicher“ ist, darf die Systeme nicht verwenden.
4. stimmt so nicht. Wenn mein De-Mail beim Empfängerserver angekommen ist, schickt dieser eine Empfangsbestätigung (keine Lesebestätigung) an mich zurück. Da das alles sehr schnell geht kommt es einem so vor, als ob es das gleiche ist. Ist es aber nicht. Erst wenn mein De-Mail beim anderen Server angekommen ist, reagiert dieser mit einer Bestätigung. Bleibt das De-Mail irgendwo „hängen“ bekomme ich auch keine Bestätigung.
5. Was machst man wenn man im Urlaub ist und niemanden hat, der den Briefkasten leert? Wie lange ist man durchschnittlich im Urlaub damit man Fristen von 1-3 Monaten verhängt? Das ist meiner Meinung nach ein allgemeines Problem. Fristen gelten auch im Hausbriefkasten. Bei der Post bekommt man sogar ein kostenloses SMS welches auch im Ausland funktioniert. (Roaming vorrausgesetzt)
7. das stimmt. allerdings kostet mich ja der Empfang nichts. ich kann also auch mehrere De-Mail-Adressen gleichzeitig nutzen und dann langsam über mehrere Wochen mitteilen, dass meine Adresse sich geändert hat. Muss ich ja auch bei Postadressen so machen.
zum Thema gilt als zugestellt: Das ist doch für mich als Kunde genauso gut, wenn ich weiss, dass ein De-Mail innerhalb der Frist bei der Behörde oder einer Firma (z.B. Handykündigung am letzten Tag um 23:50 Uhr) eingegangen ist. Somit gilt auch für mich ein gewisser Schutz. Oder sehe ich das falsch?
zum Thema Geld: Sind es nicht die Firmen, die Geld verdienen? Der Staat verdient hierbei (abgesehen von Lizenzen) doch nichts?
zum Thema Ausdrucken: Interessant finde ich hierbei, dass es bereits ein paar Firmen gibt, die diese Dienstleistung anbieten. Da regt sich keiner auf. Macht das aber die Post oder De-Mail ist es ein Skandal. Wird da nicht mit 2 Massbändern gemessen?
zum Thema kein Zugang zum WWW: Wenn ich meine Hausbriefkastenschlüssel verliere gilt das auch nicht als Grund. Dann muss ich mir Ersatz beschaffen. Bei De-Mail muss ich halt in die Bücherei oder zu einem Kollegen.
Natürlich fände ich es super, wenn Behörden auf PGP umsteigen würden. Aber das wird kaum der Fall sein. Zumindest nicht in grösserem Masse. Wichtig ist noch zu sagen, dass ich kein Mitarbeiter o.ä von De-Mail und Co. bin. Es ist mir nur wichtig Kritik richtig und ausführlich darzustellen. Es gibt immer 2 Seiten der Medaille.
mfg Bätschman
Deine Kritik an Punkt 3 ist faktisch korrekt, allerdings wird das in der Werbung ja beworben. „Sicherheit“ bzw. Vertraulichkeit ist ja eines der Key-Features, bzw. soll es sein.
Deine Kritik an Punkt 5 ist im ersten Moment zwar richtig, aber bei Fristen die Du per Post gesetzt bekommst und sie aufgrund eines Urlaubs/Auslandsaufenthalts etc. verpasst gibt es (erprobte) juristische Möglichkeiten eine nachträgliche Fristaussetzung zu erreichen.
Und eine Fristverkürzung auf beiden Seiten wird dem Bürger sicher nicht zum Vorteil reichen, auch wenn die Frist bei De-Mail wohl „Tag des Erhaltens + 3 Tage“ lauten soll. Oder hast Du Rechtsabteilungen und Callcenter, die sich um sowas im Zweifel rund um die Uhr kümmern?
Und das Firmen Geld verdienen wollen ist mir klar. Nur schafft der Bund auf Kosten des Steuerzahlers dieses System an und am Ende verdienen Firmen daran, weil mich jede Mail kostet? Ist das in deinen Augen gerechtfertigt?
Was das Ausdrucken angeht, kommt es meiner Meinung nach auch drauf an, was ausgedruckt werden soll. Und hier werden über De-Mail vermutlich früher oder später sensible Dokumente ausgedruckt. Wer heute einen solchen Service in Anspruch nimmt, wird dafür Gründe haben, der Einsatzzweck liegt aber vermutlich eher auf ner Art „Postkarte“ bzw. Massenmailings. Bin ich zwar kein Fan von, sehe ich aber als legitim an.
Danke für deine ausführliche Kritik an der Kritik, ich freue mich immer, wenn jemand mitliest, durchliest, sich Gedanken macht und mir wieder mitteilt.
Im Übrigen kann ich nochmal auf die Links oben hinweisen, besonders der Chaosradio-Podcast ist sehr zu empfehlen.
Danke für deine Antwort. Ein paar Punkt hätte ich allerdings noch.
„Und eine Fristverkürzung auf beiden Seiten wird dem Bürger sicher nicht zum Vorteil reichen, auch wenn die Frist bei De-Mail wohl “Tag des Erhaltens + 3 Tage” lauten soll. Oder hast Du Rechtsabteilungen und Callcenter, die sich um sowas im Zweifel rund um die Uhr kümmern?“
Diesen Satz verstehe ich nicht ganz. Wenn ich meinen Handy-Vertrag 10 Minuten vor Ablauf der Frist kündige und ich eine Serverbestätigung habe, dass mein rechtsverbindliches De-Mail angekommen ist, kann es mir doch egal sein wann das Callcenter und die Firma das De-Mail liest. Die Frist wurde laut Server eingehalten. Das ist doch genau der Kritikpunkt, den die Kritiker anmerken. Dass eine De-Mail Frist auch läuft, wenn die Person das De-Mail nicht liest. Hier ist es nur spiegelverkehrt. Oder reden wir da jetzt aneinander vorbei?
„Und das Firmen Geld verdienen wollen ist mir klar. Nur schafft der Bund auf Kosten des Steuerzahlers dieses System an und am Ende verdienen Firmen daran, weil mich jede Mail kostet? Ist das in deinen Augen gerechtfertigt?“
Das stimmt natürlich. Aber was ist mit Betrugsversuchen über Internet, bei welchen die Ermittlungen den Steuerzahler auch Geld kosten. Ich finde in die Richtung sollte man auch mal überlegen. Ist zwar kein absolutes Gegenargument, aber die Denkrichtung wäre mal interessant. Welche Steuergelder können eingespart werden, WENN weniger Internetbetrügerei durch ein sicheres System aufkommen. Ich weiss natürlich, dass das Wörtchen WENN hier ganz wichtig ist und das De-Mail System alles andere als unknackbar ist, aber auch diesen Punkt sollte man mal in die Diskussion mit einbringen, wenn es um Steuergelder geht. Auch wenn es lächerlich klingt sind auch Papierkosten nicht zu vernachlässigen (http://bit.ly/95H0vP). Und es ist ja so, dass wenn eine Stadt oder eine Firma einen eigenen De-Mail Server hat, keine Fremdfirma mitverdient. Die Firmen verdienen ja nur fürs Abschicken. Wenn z.B. meine Versicherung mir ein De-Mail schickt bekommt mein Provider kein Geld dafür und die Firma bezahlt wegen dem eigenem Server ja auch kein Geld, da sie der Betreiber des Server ist. (IT-Kosten und interne Kostenstellen mal ausgenommen)
„Und hier werden über De-Mail vermutlich früher oder später sensible Dokumente ausgedruckt.“
Also ich als Nutzer kann ja bestimmen ob sensible Daten von mir ausgedruckt werden. Wenn ich das wirklich nicht will kann ich immer noch den Brief per Hand schicken. Lässt mein Kommunikationspartner sensible Daten über mich drucken, habe ich auch heute bereits kaum einen Einfluss darauf. Da ist kein Problem von De-Mail sondern von Kosteneinsparungen auf Grund Druckvergabe an externe Anbieter. Das machen alles grossen Firmen so und jetzt vielleicht sogar die Regierung selber. (http://bit.ly/bX714Q) Hier sollte ein umdenken in Richtung Datensicherheit vor Kostensenkung passieren.
Thema Schriftform (Kommentar 18. August)
Es ist ja so gedacht, dass De-Mail nur dort als Ersatz verwendet wird, wo es auch geht. Steht im Mietvertrag z.B. Kündigung in „schriftlicher Form“ geht es nicht per De-Mail. Es wird nur für einen Teil der rechtlichen Kommunikation als Ersatz gelten.
Thema nachträgliche Fristaussetzung:
Ich bin mir fast sicher, dass solche Präzedenzfälle bei De-Mail und Co. Auch kommen werden. Das De-Mail Gesetzt ist auch nicht in Stein gemeiselt. Damals hat man ohne Internet vielleicht nicht das „Fristengesetzt“ Buchstabe für Buchstabe auseinander genommen wie heute. Vielleicht hatten die Bürger damals mehr Vertrauen zum Staat. Das spielt aber hier erstmal keine Rolle. Ich bin mir sicher, dass es die nächsten Jahre Gerichtsverhandlungen geben wird, die das De-Mail Gesetz nachträglich mitformen werden. Das wird die Zeit zeigen. Bitte nicht falsch verstehen. Das soll nicht heissen, dass man nicht kritisieren sollten und das ganze auf sich zukommen lassen sollte und abwarten. Das soll nur heissen, dass auch hier das letzte Wort noch nicht gesprochen ist.
Thema Werbung und Sicherheit:
Salopp ausgedrückt. Mein Waschmittel wäscht auch nicht so weiss wie in der Werbung versprochen. Also ich finde hier sollte man trennen. Werbung ist halt Werbung. Die Diskussion, welche wir und alle Datenschützer im WWW führen wird von 95% der Bevölkerung eh nicht oder kaum wahrgenommen. Jemand der sich mit Datensicherheit auskennt bekommt natürlich eine Wutanfall, wenn diese in Werbung versprochen wird, in Realität nicht aber nicht haltbar ist. Es ist immer eine Frage, wie man sich in einem Thema auskennt. Vielleicht bekommt jemand der sich mit Autos auskennt einen Wutanfall wenn ein „sicheres“ Auto beworben wird. Eine Hausfrau regt sich über das schlechte Waschmittel auf, das aber in der Werbung das Beste ist usw.
Sorry, Antwort wurde wieder etwas länger.
Mit freundlichen Grüßen
Bätschman
So berechtigt und wichtig die Kritik an den genannten Systemen ist, du vergisst einen wichtigen (wenn nicht den zentralen Aspekt):
Rechtssicherheit.
Per E-Post oder De-Mail verschickte Nachrichten sind rechtlich bindend – das werden die übrigens nicht dadurch, dass der Empfang irgendwie sichergestellt wird, sondern dass es in einem Gesetz steht. So ein Dienst ist für Behörden und Firmen durchaus interessant, und der Staat hat natürlich ein Interesse daran, so einen Dienst zu regulieren und reglementieren (da er sonst ja die Rechtssicherheit nicht durchsetzen kann).
Für private Kommunikation ist die ganze Veranstaltung ja eigentlich nicht primär gedacht, und einer Benutzung hierfür muss natürlich auch unbedingt abgeraten werden.
Dass die Umsetzung außerdem in vielen Belangen schlicht beschissen ist und die Leute in falscher Sicherheit wiegt, liegt wahrscheinlich einerseits an der Stümperhaften Ausgestaltung der Gesetze (durch Leute, die keine Ahnung haben), andererseits dürfte aber auch die von dir angesprochene Motivation eine Rolle spielen.
Die viel grundlegendere Frage, ob SMTP überhaupt eine sinnvolle technische Basis für einen solchen Dienst mit den rechtlichen Anforderungen hinten dran ist, lasse ich mal außen vor – rein technisch müsste man aber die Diskussion schon mal auf dieser Ebene führen.
Also ich für meinen Teil werde keine Fundamentalopposition üben. Am wichtigsten ist IMHO, die Leute für die Unzulänglichkeiten der Systeme zu sensibilisieren, und weiterhin an allen Ecken für echte Privacy-Technologien Werbung zu machen.
Em. Jein. Solange ein bestimmtes Geschäft oder ein bestimmter jusistischer der Schriftform (nicht zu verwechseln mit „schriftlicher Form“) bedarf, ist De-Mail nicht qualifiziert, da die elektronische Signatur der De-Mail nicht „voll qualifiziert“ ist, weil außerhalb des Einflusses des Users.
Und das ist kein Startproblem sondern wird aller Wahrscheinlichkeit nach auch in Zukunft so bleiben (systemisch bedingt).
[MARKED AS SPAM BY ANTISPAM BEE | Server IP]
Eine spannende Diskussion mit pro und contra – vielen Dank. Ich finde es hier gut, dass nicht nur negativ geredet wird, sondern auch Vorteile – zumindest mal gesehen werden.
Zum Thema Geld verdienen. De-Mail wird weder vom Staat subventioniert – noch verdient der Staat daran Geld. Privatunternehmen investieren in die Lösung, lassen sich akkreditieren und haben dann unterschiedliche Geschäftsmodelle, um mit dem De-Mail Angebot dann auch Geld zu verdienen. Und das die Anbieter damit Geld verdienen ist doch erstmal legitim. Geht hier im Forum ohne Lohn irgendjemand zur Arbeit? Verdienen Freemailer mit Userinformationen und gezielter Werbung (gibts übrigens bei De-Mail nicht) wesentlich mehr Geld? Ich glaube, solche Dinge müssen immer ein wenig ganzheitlicher betrachtet werden…ich kann ja den De-Mail Anbietern nicht verbieten, mit einem Angebot auch Geld zu verdienen.
Und nochmal „rechtssicher“: Rechtssicher ist der Zugangsnachweis (mit allen unterschiedlichen Ausprägungen) und nicht die gesamte De-Mail (genau wie ein Einschreiben mit Rückschein – da wird auch nicht der Inhalt quittiert). Eine Ende-zu-Ende Verschlüsselung ist ja trotzdem einfach möglich, wenn gewünscht.
Und zum Unterschied zu PGP, usw.: Damit kann man halt nur (relativ kompliziert) verschlüsseln und hat eben nicht die rechtssichere Zustellung gemäß Gesetz. Eigentlich ganz einfach und klar. Daher gabs auch nie wirklich Konkurrenz zwischen E-Postbrief und De-Mail, weil der E-Postbrief ja auch nie gesetzeskonform war. Und wie immer: Der Erfolg wird vom Markt bestimmt – und der ist für ein Verfahren, welches den Brief ersetzt und dabei deutlich schneller und preiswerter ist – und mal enorm
Aus Transparenz(tm)-Gründen. De-Mail-Anbieter, dessen IP-Adressen auf Spamlisten stehen… Soso. Vertrauenswürdig. (Man beachte den Antispam Bee-Kommentar oben)
Jürgen Vögler arbeitet übrigens bei http://www.francotyp.com bzw. kommentiert in deren Auftrag.