Wie wir bereits berichtet haben, (Verteidigung der De-Mail durch das BMI – Datenschutz trotz Entschlüsselung?) steht die Einführung der De-Mail bevor. Am 23.02.2011 ist nun ein Beschluss über den De-Mail-Gesetzentwurf im Innenausschuss ergangen. Erstaunlich ist, dass die De-Mail trotz großer Sicherheitsbedenken ohne Ende-zu Ende-Verschlüsselung gesetzlich geregelt wurde.
Der Inhalt im Überblick
Versprechen – De-Mail ist sicher
Hinsichtlich des Themas Verschlüsselung der De-Mail bleibt es bei dem einfachen Versprechen des Beauftragten der Bundesregierung für Informationstechnik, wonach gilt:
Die Inhalte einer De-Mail können auf ihrem Weg durch das Internet nicht mitgelesen oder gar verändert werden. Denn abgesicherte Anmeldeverfahren und Verbindungen zu dem Provider sowie verschlüsselte Transportwege zwischen den Providern sorgen für einen verbindlichen Versand und Empfang von De-Mails.
Fachexperten und der Bundesrat halten diesen Sicherheitsstandard der De-Mail für unzureichend und hatten Bedenken angemeldet.
Bedenken des Bundesrats nicht gefolgt
Der Bundesrat monierte in seiner Stellungnahme zum Entwurf eines Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften – Drucksache 17/3630 – zu Recht, dass mit der vorgeschlagenen Verschlüsselung der De-Mail auf den Transportwegen eine datenschutzgerechte Absicherung der De-Mail-Inhalte nicht vollständig gewährleistet sei.
Der Bundesrat hält eine Ende-zu-Ende-Verschlüsselung der Daten für erforderlich. Nach dem Gesetzentwurf ist lediglich eine Verschlüsselung durch gängige Standards für sicheren Mailversand (SSL, SMTP/TLS) gewährleistet, geht aber nicht darüber hinaus. Sie wird zudem nur innerhalb des De-Mail-Netzwerkes aufrecht erhalten. Verschlüsselt wird allein der Transport, nicht aber die Nachricht selbst.
Eine Ende-zu-Ende-Verschlüsselung findet nicht statt, die Nachrichten werden zur Überprüfung von Viren und zur Prüfung, ob es sich um eine SPAM-Mail handelt kurzfristig entschlüsselt. Während dieses Vorganges sind die Nachrichten einem erhöhten Risiko des Angriffes durch unbefugte Dritte ausgesetzt. Der Bundesrat hat daher datenschutzrechtliche Bedenken gegen die vorgesehene Verschlüsselung und fordert die Bundesregierung auf, eine Ende-zu-Ende-Verschlüsselung vorzusehen.
Sichtweise des BMI
Das zuständige Ministerium blockte diese Bedenken schon gegenüber dem Bundesrat ab. Eine Ende-zu-Ende-Verschlüsselung gefährde das gesamte Ziel von De-Mail, die einfache – und ohne spezielle Softwareinstallation mögliche – Nutzbarkeit durch die Bürgerinnen und Bürger.
Das BMI verweist auf die Eigenverantwortlichkeit der Bürger bei der Nutzung von De-Mail wonach jeder
De-Mail-Nutzer die Möglichkeit habe, die mit De-Mail übermittelten Inhalte noch zusätzlich selbst zu verschlüsseln (sog. „Ende-zu-Ende-Verschlüsselung“), wenn sie die hierfür zusätzlich erforderlichen Installationen auf ihren Computern vorgenommen haben. Die einfache Integration solcher zusätzlichen Lösungen ist mit De-Mail möglich. Das System ist speziell für diese Erweiterungsmöglichkeit konzipiert. Die De-Mail-Provider seien zudem verpflichtet, auf Wunsch der Nutzer deren Verschlüsselungsschlüssel im öffentlichen Verzeichnisdienst zu veröffentlichen.
Fazit
Die angebotene Verschlüsselungslösung der De-Mail, die faktisch für fast alle Nutzer Standard werden wird, stellt sich damals wie heute als unzureichend gemessen am Schutzbedarf der Daten dar. Der anschauliche Vergleich mit dem Postboten, der vor dem Ausliefern der Post diese öffnet, sie in einen neuen Umschlag legt und sie anschließend ausliefert, macht dies deutlich. Damit wäre jedenfalls das Fernmeldegeheimnis betroffen und eine Sicherheitslücke Gesetz.
Eine Abwägung der Nutzbarkeit gegen die Sicherheit zu Gunsten der Nutzbarkeit lässt die erhöhte Sensibilität der Bürger für den Datenschutz außer Acht, der die Sicherheit als Voraussetzung der Nutzung sieht. Jetzt ist es an den Bürgern zu entscheiden, ob sie die verbliebenen Risiken der Nutzung der De-Mail tragen möchten und tatsächlich Praktikabilitätserwägungen höher bewerten als den adäquaten Schutz ihrer Privatsphäre.
Das erschreckendste an diesem Szenario finde ich, dass die Politik per Gesetzesänderung diese de facto Nicht-Ende-zu-Ende-Sicherheit umdefiniert und als Ende-zu-Ende-Ssicherheit ausruft. Mit der Begründung, dass die Entschlüsselung beim Provider nur „kurzzeitig“ erfolgt. Seit wann, bitte schön, hat die DAUER einer Entschlüsselung etwas mit der Sicherheit zu tun ? Entscheidend ist, dass die Provider vollen Zugriff auf sämtliche Nachrichten haben. Und an wen die „vertrauenswürdigen“ Provider diese Informationen alles weitergeben, dafür haben uns ja Microsoft, Google & Co. eben im „Prism“-Programm tolle BEispiele geliefert. Und der Bundestag bewilligt dem BND jetzt 100 Millionen, damit der das in den nächsten 5 Jahren nachmachen kann …
Dann mal Vielen Dank für DE-Mail. Ich mache nicht mit !