Message in a Bottle – Warum ich De-Mail und Co für Humbug halte

Im TV läuft Dauerwerbung für ‚E-Mail made in Germany‘ und unser Innenminister stellt fest, dass die ‚kritische  Masse‘ der Nutzer für De-Mail noch nicht erreicht ist. Oder anders formuliert: keine Sau will den Quatsch nutzen, obwohl uns die Werbung weiß machen will, dass unsere Kommunikation so sicherer wäre. Ich möchte kurz erläutern, warum ich das eine für eine Marketingstrategie und das andere für undurchdacht halte.

De-Mail made in Germany

De-Mail und E-Mail made in Germany: schwarzrotgoldene elektronische Post

Als Snowden uns davon berichtete, dass die Geheimdienste 1984 als Handbuch benutzen und die Weltbevölkerung anlasslos totalüberwachen, war es nur eine Frage der Zeit, bis zwei Dinge passierten. Zum einen scheint ein Teil der deutschen Politiker reflexartig bei jeder Erwähnung des Wortes „Terror“ eine Ausweitung der Überwachungsmaschinerie zu fordern (Lieblingswort Vorratsdatenspeicherung). Zum andern aber versuchen Telekommunikationsanbieter Produkte anzubieten, die der allgemeinen Verunsicherung in der Bevölkerung Rechnung tragen und „sichere Kommunikation“ ermöglicht. Statt aber wirklich zu versuchen, den Versäumnissen der bisherigen Kommunikation entgegen zu wirken und verschlüsselte Übertragungen bereit zu stellen, die nur der Absender und Empfänger lesen können, scheinen die Anbieter die Massenunsicherheit als Geschäftsmodell entdeckt zu haben und nennen es „E-Mail made in Germany“.
Die Politik hat sich derweil überlegt, es wäre ja mal so langsam Zeit, eine Möglichkeit zu schaffen, dass Bürger digital mit Ämtern kommunizieren können. Also wurde mit viel Tamtam und Aufwand (und offensichtlich ohne auf Leute zu hören, die Ahnung haben) die Totgeburt „De-Mail“ geschaffen.

Die Gedanken sind frei

Ich erwische mich angesichts der technischen Hintergründe von „E-Mail made in Germany“ regelmäßig dabei, dass ich einen Brechreiz bekomme, wenn ich die TV-Werbung schön unterlegt mit dem alten deutschen Volkslied „Die Gedanken sind frei“ sehe.
Die ganze Werbung möchte uns vermitteln, dass im Gegensatz zu anderen Anbietern die Kommunikation hier sicher ist, denn sie ist ja verschlüsselt. Schauen wir uns diese Verschlüsselung mal an.
Vor Snowden und der Erkenntnis, dass man mit dem Thema Sicherheit Geld scheffeln kann, wurde eine E-Mail bei den Anbietern vom PC in Klartext an den Server übertragen und von dort in Klartext vom Empfänger abgeholt. Jeder, der irgendwo auf dem Transportweg Zugriff hatte, konnte alles lesen und alle, die Zugriff auf die Server haben ebenfalls. Dabei gab es bereits vor über 16 Jahren einen Standard um zumindest die Übertragungswege zu verschlüsseln. Diese Empfehlung wird also nach anderthalb Jahrzehnten umgesetzt und das wird jetzt als Fortschritt verkauft.

Schlüsselmeister

nur Halbtagsjob: der Schlüsselmeister

Damit aber nicht genug. Diese Umsetzung gilt nur für den Transportweg, also den Weg vom PC zum Server und vom Server zum Empfänger. Wer aufgepasst hat, wird es bemerkt haben: da fehlt doch was. Auf dem Server liegt das ganze nämlich wieder wie eine Postkarte auf die jeder schauen kann. Wenn die Anbieter von ‚E-Mail made in Germany‘ also von Verschlüsselung sprechen, ist in diesem Kontext nicht das gemeint, was man allgemein erwarten würde. Nämlich eine „Ende-zu-Ende“-Verschlüsselung, bei der eben keiner in der Mitte mitlesen kann. Das ist anscheinend auch nicht gewollt, möglicherweise weil dann zum Beispiel die Geheimdienste (oder wer auch immer noch Zugriff erhält) nicht mehr mitlesen könnten? Als Grund dafür wird die Überprüfung auf Schadsoftware genannt, das finde ich an dieser Stelle zumindest diskussionswürdig. Übertragen in die analoge Welt packen wir den Brief also in einen Umschlag, den wir mit einem Vorhängeschloss verrrammeln, beim Postamt rupfen die den raus, tragen ihn durchs Postamt und packen ihn wieder neu ein.
Kurios ist es ebenfalls, dass versucht wird, diese Technik als Alleinstellungsmerkmal zu verkaufen. Denn die Verschlüsselung auf dem Transportweg, die jetzt das tolle neue sein soll, gibt es selbstverständlich auch bei etlichen anderen Anbietern (de facto bieten das so ziemlich alle an). Wenn mein Gedächtnis mich nicht trügt, dann gab es zur Einführung von GMail 2005 schon keine andere Möglichkeit, als die Übermittlung verschlüsselt zu nutzen (nicht, dass das GMail jetzt besser machen würde, aber die verkaufen zumindest nicht 16 Jahre alte Vorschläge als innovativ).
Der letzte große Knackpunkt ist das „Germany“, das einem natürlich suggeriert, dass eine E-Mail nicht den deutschen Boden verlassen wird und somit jederzeit unter deutschen Datenschutzgesetzen und Kontrolle bleibt. Das ganze wird natürlich dann weiter eingeschränkt, so dass z.B. die Telekom versichert, die Mail wird nur über deutsche Server geroutet, wenn beide Teilnehmer bei der Telekom sind. OK, ich schreibe also dann mal an meinen Schwager in Philadelphia und …. achne der ist ja in den USA, da bleibt die Mail dann ja doch nicht in Deutschland. OK, dann schreibe ich eine Mail an meinen Freund in Köln, das is ja um die Ecke…achne der hat ja eine GMail-Adresse und das läuft dann ja wieder über die USA. Dann schreibe ich an meinen Vater, der wohnt im selben Ort und ist bei der Telekom… achne, der ist ja gerade auf Malle und ruft seine Mails auf dem Handy per Roaming ab, bleibt auch nicht in Deutschland. Was will ich damit sagen? Die Aussage, dass Mails bei einem Anbieter das Land nicht verlassen, hängt von einer Vielzahl von Faktoren ab, die der Anbieter gar nicht alle beeinflussen kann. Insofern ist so eine Garantie mit dermaßen vielen Fußnoten versehen, dass sie nahezu hinfällig ist. Vor dem Versenden einer Mail zu überlegen, in welchem Land, aus welchem Netz ruft der Empfänger sie ab, welchen Provider hat er und ist er vielleicht mobil unterwegs oder in einem fremden WLAN angemeldet, klingt nicht wirklich zielführend.
Ich nutze die Provider, die hinter ‚E-Mail made in Germany‘ stehen seit langem und werde das auch weiter tun, aber es ist anscheinend nicht das erste Mal, dass die großen E-Mail-Provider mit der Angst der Kunden spielen und sie marketingtechnisch benutzen. Das einzige was hier frei ist, sind die Geschäftsmodelle, nicht die besungenen Gedanken.

De-Mail oder: Politik versucht Technologie

Der Grundgedanke, der hinter De-Mail steckt, ist an sich ein guter. Nach wie vor gibt es in unserer zunehmend digitalen Welt keine rechtssichere Möglichkeit, Verträge elektronisch abzuschließen und auch keine Standards für die Kommunikation zwischen Bürger und Amt. Da sich aber anders, als Bill Gates es damals prophezeite, das Internet wohl doch durchsetzt, möchte man auch dem geänderten Kommunikationsverhalten der Menschen Rechnung tragen (und vielleicht auch Bürokräfte entlasten oder einsparen). Soweit so gut, nur scheint das, was dabei heraus kam, nicht wirklich durchdacht zu sein. Darüber hinaus gewinne ich den Eindruck, dass wirtschaftliche Interessen bei der Erschaffung von De-Mail eher im Vordergrund standen als das Bürgerwohl.
Es fängt bereits bei dem Porto für eine De-Mail an. Jetzt hör auf zu lachen, das ist kein Witz, eine De-Mail kostet 0,39 € Porto. Dafür kann man aber auch drei pro Monat kostenlos versenden. Ob es digitale Sonderbriefmarken zu bestimmten Anlässen gibt oder Nachporto, wenn der Anhang zu groß ist, ist mir jetzt nicht bekannt.

Hacker bei der Arbeit

Hacker bei der Arbeit

Die Provider, die De-Mail anbieten wollen, müssen sich vorher zertifizieren. Das klingt zwar sinnvoll, aber wenn man sich anschaut, welche bürokratischen Hürden es dabei anscheinend zu bewältigen gilt, dann versteht man, warum es deutschlandweit nur vier Unternehmen gibt, die zertifiziert sind. Amüsant im Hinblick auf die völlige Untätigkeit der Regierung zur NSA-Affäre und der wiederholten Hinderung des NSA-Untersuchungsausschusses: für die Akkreditierung ist ein Nachweis notwendig, dass man datenschutzrechtliche Anforderungen erfüllt.
Statt einen bereits existierenden Standard zur Verschlüsselung zu nutzen, nämlich DANE, hat man sich außerdem entschlossen, was total neues zu machen und nennt es Inter Mail Provider Trust. Das ist dummerweise inkompatibel mit DANE, deshalb müssten Provider, die sich dem System anschließen wollen, zuerst ihre Infrastruktur ändern und sich beim TÜV zertifizieren lassen. Warum sollte man auch offene Internetstandards nutzen, wenn man was eigenes machen und Geld damit verdienen kann. Vielleicht will man ja auch absichtlich Anbieter fernhalten, wie Mailbox.org mutmaßt.
Die Anbieter für De-Mail bieten natürlich auch serverseitige Virenscanner an. Fernab der Frage, warum sollte ein Bösewicht wohl 39 Cent zahlen, um einen Virus zu verschicken, birgt das ganze aber eine Tücke. De-Mail suggeriert dem Nutzer ja, dass er in einer sicheren Umgebung ist. Links auf schadhafte Seiten oder Schadsoftware zum Download, Flash-Exploits und Java-Exploits funktionieren aber alle trotzdem.
Gerade bei De-Mail ist das wiederum natürlich ein gefundendes Fressen für die Fießlinge dieser Welt. Denn während ein Otto-Normal-Postfach vermutlich zu 90% Werbung für Viagra und Amazon enthält und der Rest private Korresponderenz ist, ist ja gerade der Sinn und Zweck des De-Mail-Postfaches, die Übermittlung von sensiblen Inhalten, wie die letzten Blutwerte, der Bausparvertrag oder die Vorladung, weil man jemanden mit einem Trecker überfahren hat. Wenn es sich also lohnt einen Account zu kompromittieren, dann ist das ein De-Mail-Account.
Die Vorteile für den Nutzer durch De-Mail sind überschaubar. Richtet man sich eine solche Adresse ein, hat man jedoch unter Umständen sogar rechtliche Nachteile. Man verpflichtet sich nämlich seine De-Mails regelmäßig abzurufen. Klingt unspektakulär, allerdings gelten laut Verwaltungszustellungsgesetz elektronische Dokumente via De-Mail automatisch nach 3 (in Worten: drei) Tagen als zugestellt. Ich verpflichte mich also regelmäßig in meinen elektronischen Briefkasten zu schauen. Wenn ich es nicht tue, gilt unter Umständen etwas automatisch als zugestellt.
Noch etwas amüsantes zum Schluss. Laut Anlage zum Bundesdatenschutzgesetz sollen sensible Daten verschlüsselt übertragen werden. De-Mail erfüllt diese Voraussetzung jedoch wie zuvor beschrieben nicht vollständig. Was hat man also getan? Man hat einfach im Sozialgesetzbuch definiert:

„das Senden von Sozialdaten durch eine De-Mail-Nachricht an die jeweiligen akkreditierten Diensteanbieter – zur kurzfristigen automatisierten Entschlüsselung zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht – ist kein Übermitteln“.

Technisches Problem einfach juristisch gelöst.

TL;DR

Die Sicherheit bei E-Mail made in Germany ist nicht höher als bei anderen Anbietern. De-Mail ist inkompatibel mit offenen Standards. Beide bieten Verschlüsselung nur auf dem Transportweg. Für Nutzer gibt es wenig Vorteile, lediglich die Wirtschaft und Abhörbarkeit werden gefördert.

I just came here because of the title and expected music, dude

The Police – Message in a Bottle
1979, Musikvideo

Die Kommentarfunktion ist geschlossen.