Thursday, August 5, 2010

De-Mail: Sinn, Unsinn und Missverständnisse

Da De-Mail in letzter Zeit verstärkt durch die Presse geht, und sowohl Pressemeldungen als auch Diskussionen darüber von vielen Missverständnissen geprägt sind, möchte ich ein paar Gedanken zu dem Thema äußern. 

Was ist De-Mail?

De-Mail ist ein Projekt der deutschen Bundesregierung in Zusammenarbeit mit Service Providern, um einen Beitrag dazu zu liefern, Online-Kommunikation sicherer zu machen. Man beachte den Komparativ in diesem Satz - absolute Sicherheit gibt es nicht, sondern es gibt immer nur Sicherheit gegen ein bestimmtes Angriffsszenario.

Bei der Bewertung von De-Mail sollte man zwischen dem Konzept an sich, der Implementierung dieses Konzeptes und der juristischen Würdigung unterscheiden. Ich möchte hier nur auf das Konzept an sich eingehen.

Wie ist die aktuelle Situation bei E-Mail?

Die beiden wichtigsten Unterschiede betreffen die Datensicherheit und die Zustellungssicherheit.

E-Mails sind wie Postkarten. Jeder, der sie in die Finger bekommt, kann sie lesen, verändern oder sogar verschwinden lassen. Der Weg, den eine Mail durch das Netz nimmt, ist vom Absender nicht beeinflussbar. Außerdem kann prinzipiell jeder eine E-Mail fälschen, also von einem beliebigen Absender an einen beliebigen Empfänger schicken. E-Mail ist damit ein extrem unsicheres Medium.

Es existieren bereits seit langem Methoden, eine E-Mail effektiv zu verschlüsseln und durch eine digitale Unterschrift als "echt" und "unverändert" zu kennzeichnen. Da allerdings das Netz zwischen Sender und Empfänger nicht vertrauenswürdig ist, muss dies Verschlüsselung bzw Signatur direkt beim Absender erfolgen, und Entschlüsselung bzw Überprüfung der Signatur beim Empfänger. Diese Technik wird auch End-zu-End-Verschlüsselung genannt.

Dieses System ist zwar mit aktuellen Mailprogrammen relativ leicht anzuwenden, konnte sich aber leider trotzdem nicht durchsetzen - trotz Förderung von z.B. dem BSI.

Aber selbst, wenn End-zu-End-Verschlüsselung sich durchsetzen würde, könnte damit nicht das Problem der Zustellungssicherheit gelöst werden. Die einzige Möglichkeit für einen Absender einer E-Mail, sich sicher zu sein, dass seine Mail auch angekommen ist, wäre, dass der Empfänger freiwillig eine signierte Empfangsbestätigung zurückschickt. Dieses System basiert also inhärent auf dem Wohlwollen des Empfängers. Ein Äquivalent zu einem (Einwurf-)Einschreiben ist damit nicht umsetzbar. Was nun, wenn ich meinen Mobilfunk-Vertrag fristgerecht kündigen will, aber der Anbieter behauptet, nie eine Kündigung erhalten zu haben? E-Mail ist in dem Fall nicht benutzbar.


Was macht De-Mail nun anders?

De-Mail geht von der Beobachtung aus, dass End-zu-End Verschlüsselung aufgrund des Mehraufwandes bei Sender und Empfänger keine breite Akzeptanz findet. Man baut deshalb ein in sich geschlossenes, vertrauenswürdiges Netz auf, in dem die Nachrichten signiert und verschlüsselt weitergereicht werden. Der Anwender authentifiziert sich also beim Server, und schickt dann seine Nachrichten (bis auf normale Transportverschlüsselung) unverschlüsselt an selbigen. Der Server verschlüsselt und signiert die Nachricht, und leitet sie an den Server des Empfängers weiter. Wenn der Empfänger seine Nachrichten abholen will, entschlüsselt der Server des Empfängers die Nachricht, und reicht sie (bis auf normale Transportverschlüsselung) unverschlüsselt an den Empfänger weiter.

Was wurde also gewonnen? Während früher die Nachricht völlig ungesichert durch irgend welche (eventuell feindlichen) Netze ging, wandert sie bei De-Mail gesichert durch das Netz - und zwar ohne Mehraufwand beim Endnutzer. Es gibt nur noch zwei Stellen, an denen die Nachricht prinzipiell einsehbar und veränderbar ist: An der Schnittstelle ins De-Mail Netz, und aus ihm heraus, also bei den Anbietern von Sender und Empfänger. Diese Anbieter sind aber jetzt nicht mehr irgendwelche beliebigen anonymen Administratoren, sondern Betreiber, die aufwändige Zertifizierungs- und Kontrollprozesse durchlaufen mussten, um überhaupt am De-Mail Netz teilnehmen zu dürfen.

Das ist ohne Zweifel schon mal eine Verbesserung. Was aber, wenn ich meinem Provider und/oder dem Zertifikator (also dem Staat) nicht vertrauen will - wenn ich also noch mehr Datensicherheit brauche? Nun, wenn man niemandem vertrauen will, kommt man um End-zu-End Verschlüsselung nicht herum. Das ist aber keine Einschränkung von De-Mail - zusätzliche End-zu-End-Verschlüsselung bleibt weiterhin möglich, und ist bei De-Mail auch explizit vorgesehen (inklusive Infrastruktur z.B. zum Schlüsseltausch).

Wie siehts bei der Zustellungssicherheit aus? Wie oben beschrieben, ist diese im bisherigen E-Mail Netz nicht umsetzbar. Im abgeschlossenen De-Mail Netz hingegen kann die Zustellung garantiert werden, inklusive signierter Zustellberichte. Man hat also effektiv ein elektronisches Einschreiben. Genau genommen hat man sogar noch mehr, denn man kann sogar den Inhalt der Nachricht, die man versendet hat, belegen (bei Analog-Post wäre das vergleichbar mit der Beauftragung eines Gerichtsvollziehers). Der Mobilfunkanbieter hat nun keine Chance mehr, zu behaupten, meine Kündigung wäre nicht rechtzeitig angekommen. Ich habe also selbst dann einen Netto-Gewinn, wenn ich Verschlüsselung/Signatur selbst mache.

Fazit

Konzeptionell finde ich De-Mail sehr interessant, eine Empfehlung für oder gegen eine Registrierung kann ich aber nicht aussprechen. Dazu müssen neben dem Konzept auch die technische Umsetzung sowie die rechtliche Würdigung akzeptabel sein, und beide Punkte kann ich momentan nicht beurteilen. Noch habe ich keine De-Mail Adresse, und ich weiss auch noch nicht, ob ich mir eine holen werde.

4 comments:

  1. Interessanter Artikel: DE-Mail: So ein Mist? – Nein, aber …
    http://www.prlog.org/10864668
    Opolis Secure Mail (http://www.opolis.eu) ist eine DE-Mail Alternative: Diesen Dienst gibt es bereits, er kann mehr als DE-Mail, ist einfach und ist gratis noch dazu! Anmeldung nur mit Email.
    Anders als bei DE-Mail bleiben bei Opolis Nachrichten vom Zeitpunkt des Absendens bis zum Eintreffen beim Empfänger jederzeit und durchgehend verschlüsselt. Nachrichten können nur vom autorisierten Empfänger gelesen werden, und sonst niemand.
    Auch weitere Opolis Funktionen finden sich bei DE-Mail nicht: Vor Absenden entscheidet der Autor einer Nachricht, ob der Empfänger diese sodann kopieren, drucken, darauf antworten oder sie weiterleiten darf. Wenn der Absender dies verbiete, so ist dies auch nicht möglich. Damit wird absolut sichergestellt, dass Nachrichten und deren Inhalte unter keinen Umständen an nicht autorisierte Dritte gelangen.

    ReplyDelete
  2. Ich sehe nicht, wie Opolis eine De-Mail Alternative sein kann, wenn es nichtmal die grundlegensten Anforderungen dafür erfüllt. Es fällt schon wegen "Anmeldung nur mit Email" raus, was in dem Zusammenhang kein Feature ist, sondern für sich genommen schon Grund genug, dass Opolis De-Mail nicht ersetzen kann (denn sichere Identifikation des Kommunikationspartners als reale natürliche oder juristische Person ist eins der Kern-Konzepte).

    Auch sonst hat Opolis nicht mehr Features, sondern nur andere (die zudem meiner Meinung nach noch fragwürdig sind), und diverse Design-Schwächen. Es benötigt ein eigenes, proprietäres Programm (blocker-fail), das nur für Windows und Apple verfügbar ist (fail). Die Features, dass der Absender entscheidet, ist zwar lustig, kann aber nur client-seitig umgesetzt werden und ist damit schon im Voraus zum Scheitern verurteilt. "Absolut" wird zudem garnichts sichergestellt - was hindert mich daran, einen Screenshot zu machen, auszudrucken und an die Kirchentür von Wittemberg zu hängen? (von Exploits ganz abgesehen)

    ReplyDelete
  3. Da es eine absolute Sicherheit nicht gibt, muss man sich denke ich auch fragen vor wem man seine Daten schützen möchte. Eine Sicherheit zumindest gibt es. Der Staat hat eine besonders große Neugier. Ob ich diesem meine E-Mails zum mitlesen verschlüsselt sende oder nicht dürfte da eher nachrangig sein.

    ReplyDelete
  4. "Dann hat man in seinem MUA halt zusätzlich zum GMail, GMX und Hotmail Account auch noch einen De-Mail Account. Dass eine kostenpflichtige Dienstleistung in einigen Teilen des Freibier-Netzes auf wenig Gegenliebe stößt, ist schon klar."

    das ist doch schon das hauptargument warum sich de-mail schwerlich durchsetzen wird. warum für etwas bezahlen wenn man es mit gnupgp kostenlos haben kann. der grund warum gnupgp sich bislang kaum durchgesetzt hat ist doch im grunde der, dass die meißten elektronisch kommunizierten informationen kaum sensibel sind. das liegt denke ich vor allem an einer gewissen technikskepsis der benutzer.
    ich kann mir nicht vorstellen dass de-mail daran wirklich etwas ändern wird.

    ReplyDelete