Wer hätte das gedacht? Die Idee des nun auch für Verbraucherschutz zuständigen Justizministeriums, mit der Ende-zu-Ende-Verschlüsselung für E-Mails einen „Sicherheitsgurt“ im Internet einzuführen, stößt auf Widerstand bei dem für die „Sicherheitsbehörden“ zuständigen Innenminister. Thomas De Maizière sprach sich Medienberichten zufolge ausgerechnet auf der DuD-Konferenz 2014 gegen einen staatlichen Eingriff auf diesem Gebiet aus.

Er widersprach damit nicht nur den Staatssekretären des BMJV, sondern auch der Bundes-Datenschutzbeauftragten Voßhoff. Diese

begrüßt Überlegungen der Bundesregierung die Ende-zu-Ende-Verschlüsselung bei eMail-Diensten vorzuschreiben

Sollte diese Vorgabe bei den weiteren Gesprächen zur EU-Datenschutz-Grundverordnung aufgenommen werden, so wäre das ein echter Fortschritt für den Datenschutz und eine deutliche Verbesserung der Vertraulichkeit der Kommunikation im Internet für alle Bürgerinnen und Bürger in der Europäischen Union.

Die Argumente Das Argument des Innenressorts sind ist hinlänglich bekannt. Auf Anfrage von Golem schreibt das BMI:

„Ende-zu-Ende-Verschlüsselung ist für den ’normalen‘ Internetnutzer mit relativ großen Hürden verbunden“, hieß es. Dazu zähle die Installation einer Verschlüsselungssoftware sowie die Verwaltung von Schlüsseln. Um diese Hürden nicht zu hoch zu setzen, gebe „es bei De-Mail keine verpflichtende, sondern eine optionale (zusätzliche) Ende-zu-Ende-Verschlüsselung“, schrieb das Ministerium. Es sei aber sichergestellt, „dass die Nachrichten auf ihrem Weg durch das Internet nicht mitgelesen werden können“.

Ja, ja.

Philipp Otto hat für iRights.info mit Gerd Billen und Ulrich Kelber, den Staatssekretären im BMJV, dem Bundesministerium für Justiz und Verbrauscherschutz gesprochen. Gegenstand war der Verbraucherschutz in der digitalen Welt. Da fielen zunächst Begriffe wie Partnervermittlung, Unterlassungsklagegesetz, Schlichtungsstelle im Telekommunikationsbereich, In-App-Käufe, E-Books, Marktmacht von Google. Dann ging es um Datenschutz, die Datenschutz-Grundverordnung, und ganz zum Schluss um die Verschlüsselung von E-Mails.

iRights.info: Sollte man überlegen, ob man E-Mail-Anbieter dazu verpflichtet, als Standardeinstellung eine Ende-zu-Ende-Verschlüsselung anzubieten? Oder greift das zu sehr in die Autonomie der Unternehmen ein?

Ulrich Kelber: Das ist einer unserer Vorschläge für die europäische Datenschutz-Grundverordnung. Das läuft unter dem Stichwort Datenschutz oder privacy by design. Der Anbieter muss als Voreinstellung eine nach dem Stand der Technik sichere Variante anbieten – die der wissende Kunde, wenn er möchte, für sich unsicherer machen kann…

 

Gerd Billen: Der Sicherheitsgurt bei Autos ist auch einmal vorgeschrieben worden. Das hat wunderbar gewirkt, die Zahl der Toten und Verletzten ist zurückgegangen. Bei elementaren Fragen von Sicherheit muss man schauen, was schreibt man vor. Wenn wir vorschreiben, dass wir in neuen Wohnungen überall Feuermelder haben müssen, dann kann man auch mit gutem Recht rechtfertigen, dass bei einem alltäglich genutzten Dienst wie E-Mail eine Verschlüsselung grundlegend ist.

Das klingt doch, als ließe sich auch für die Ende zu Ende verschlüsselte De-Mail kräftige Fürsprecher finden.

… behauptet die AKDB, die Anstalt für Kommunale Datenverarbeitung in Bayern, eigener Einschätzung nach „deutschlandweiter Marktführer im Bereich Kommunalsoftware„. Sie behauptet auch, dass „Kommunen profitieren von der De-Mail-Kooperation zwischen T-Systems und der AKDB“, von den „Sonderkonditionen und sechs Monaten ohne Grundgebühren“, von der Unterstützung bei der Identifizierung der Behördenmitarbeiter.

tl;dr: Die AKDB möchte gern das De-Mail-Angebot von T-Systems verkaufen.

Stefan @friiyo Schulz stellt auf seinem FAZ-Blog „digital twin“ die neuesten Verlautbarungen von Google und Facebook vor, verstärkt auf Ende-zu-Ende-Verschlüsselung zu setzen, und setzt sie in Beziehung zur De-Mail.

Tatsächlich ist es bemerkenswert, dass rund um den Jahrestag der Snowden–Enthüllungen neben Apple sowohl Google wie auch Facebook mit Ende-zu-Ende-Verschlüsselung experimentieren. Denn „Ende-zu-Ende“ heißt eben auch, dass nicht nur die „criminals“ keinen Zugriff auf die Nachrichteninhalte haben, sondern auch der Transporteuer nicht. Dabei verdienen ja gerade diese Unternehmen an ihrem Zugriff auf die und an der Auswertung der Nachrichteninhalte. Sollte es wirklich so sein, dass sie das Vertrauen der Nutzer als letztlich wertvoller einschätzen? Dass der Verlust nicht des Zugriffs, sondern der des Nutzers insgesamt ihr Geschäftsmodell stärker bedroht?

Weiterlesen →

Auf Antrag der Linksfraktion im Thüringer Landtag beschloss dieser auf die Empfehlung seines Rechtsausschusses am gestrigen 22. Mai 2014 die Aufforderung an die Landesregierung, sich verstärkt für den Einsatz von Ende-zu-Ende-Verschlüsselung einzusetzen:

Der Landtag bittet die Landesregierung,
1. zukünftig Wege zu ermöglichen, welche die Vertraulichkeit des Inhalts elektronischer Kommunikation mit öffentlichen Stellen des Landes und der Nutzung ihrer elektronischen lnformationsdienste sowie des Inhalts elektronischer Kommunikation zwischen öffentlichen Stellen des Landes durch Angebote einer sicheren End-to-End-Verschlüsselung (Kryptografie) eröffnen,
2. die Bürger des Freistaats Thüringen in geeigneter Weise über die Möglichkeiten der Verschlüsselung elektronischer Kommunikation, insbesondere auf den Web-Seiten der Landesregierung, zu informieren.“

Die Landesregierung soll also 1. Gutes tun und 2. darüber reden. Sie soll die Nutzung Ende zu Ende verschlüsselter Kommunikation ermöglichen, und zwar in der Kommunikation zwischen Bürgern mit Behörden („mit öffentlichen Stellen des Landes“) und zwischen den Behörden untereinander („zwischen öffentlichen Stellen des Landes“). Und sie soll dies ausreichend publik machen. Das soll auch die Bürger ermutigen, untereinander verschlüsselt und damit etwas stärker gegen Massenüberwachung geschützt zu kommunizieren. Die Behörden sollen also mit gutem Beispiel vorangehen.

Der Antrag der Linksfraktion bezieht sich explizit auf die vom BSI angebotene PGP-Variante gpg4win – möglich sind aber wohl auch andere Gestaltungen. Entscheidend ist, darauf weist Golem zu Recht hin, das Erfordernis einer Ende-zu-Ende-Verschlüsselung. De-Mail ist hiervon also nicht erfasst. Das lässt aber nicht die weitergehende Schlussfolgerung zu,

„Nach dem heutigen Beschluss dürfte De-Mail künftig für die Behördenkommunikation in Thüringen nicht mehr in Frage kommen.“

Denn die Behörden in Thüringen müssen aufgrund dieser in erster Linie politisch wirkenden Bitte künftig nur die zusätzliche Möglichkeit einer durchgehend verschlüsselten elektronischen Kommunikation anbieten. Es ist nicht ausgeschlossen, dass sich das Land im Wege der Simultangesetzgebung ebenso wie der Bund in § 2 Abs. 2 EGovG* für eine Öffnung der Verwaltung auch zugunsten der De-Mail entscheidet. (Bislang gibt es indes keine Planungen für ein Thüringer E-Government-Gesetz.)

* Nach dieser Vorschrift ist nur „jede Behörde des Bundes […] verpflichtet, den elektronischen Zugang zusätzlich durch eine De-Mail-Adresse im Sinne des De-Mail-Gesetzes zu eröffnen“. Es sei denn, die Behörde „hat keinen Zugang zu dem zentral für die Bundesverwaltung angebotenen IT-Verfahren, über das De-Mail-Dienste für Bundesbehörden angeboten werden.“ Ohnehin ist bislang unklar, wann die Vorschrift in Kraft tritt.

Der erstmals in der 18. Legislaturperiode eingerichtete Bundestagsausschuss Digitale Agenda befasste sich am 7. Mai 2014 in einer Expertenanhörung mit dem Thema „IT-Sicherheit“ (Bericht bei Golem.) Geladen waren neben

• dem Präsidenten des BSI Michael Hange

fünf Sachverständige, namentlich

• Sandro Gaycken, Mitglied der Computersicherheits-Forschungsgruppe der FU Berlin,
• Rechtsanwalt Prof. Niko Härting,
• Sicherheitsberater Pascal Kurschildgen,
• Linus Neumann für den CCC und
• IT-Sicherheitsexperte Thorsten Schröder der Fa. modzero.

Mit insgesamt elf Fragen suchte der Ausschuss den Stand der IT-Sicherheit in der Ära nach Snowden zu bestimmen. Ihm ist „die Verletzlichkeit der digitalen Infrastrukturen“ bewusst und die Möglichkeit einer „sicheren Kommunikation über die bestehenden Infrastrukturen“ wichtig. Er fragt nach den „Angriffsmöglichkeiten und Kompromittierungen“ der Technik wie nach den „Maßnahmen (auch gesetzgeberische)“, die ergriffen werden müssten, „um den Grundrechtsschutz und die Vertraulichkeit der Kommunikation wieder sicherzustellen“. Ebenfalls wichtig sind ihm die „Abwehrmöglichkeiten (Hard- und Software)“, die „privaten Nutzerinnen und Nutzern, Unternehmen, Behörden und Verfassungsorganen“ zur Verfügung stehen, und danach, wie sie verpflichtend werden können. In dem etwas zu breiten Themenfeld kommen noch der Heartbleed-Bug und der Datenschutz bei WhatsApp zur Sprache.

Weiterlesen →

Neues von der Mogelpackung „sicheren Variante der E-Mail“ namens „E-Mail made in Germany“ (siehe schon hier und hier): 1&1 und die Telekom haben eine handliche Grafik zum Vergleich ihres neuesten Produktes mit der De-Mail online gestellt:

Anders als gewöhnliche E-Mails (viermal rotes X, also Finger weg!) bietet „E-Mail made in Germany“ danach „Deutsche Rechenzentren“ und ist „SSL verschlüsselt“. Bei De-Mail sind darüber hinaus (vier grüne Häkchen, also nichts wie zugreifen!) der „Absender identifiziert“ und der „Empfänger identifiziert“.

Durchgehende Mail-Verschlüsselung gibt es weder hier noch da noch dort. Die Anbieter beschränken sich auf eine Transportverschlüsselung. Diese ist gegenüber der herkömmlichen TLS-Verschlüsselung gehärtet, um Man-in-the-middle-Attacken und Angriffe auf die Zertifikate zu erschweren. Die Eigenentwicklung trägt den Arbeitstitel „Inter Mail Provider Trust“. heise.de erklärt die Einzelheiten und die Unterschiede zum erst jüngst fertig gestellten offenen Standard DANE, auf den etwa der kleine Mailanbieter Posteo setzt. Dieser verlangt nichts weiter als einen Euro im Monat für das Basispaket einschließlich Verschlüsselung, insbesondere also kein „Porto“ und vor allem: keine persönlichen Daten. Das freilich irritiert Lieschen Müller: Ist das nun ein grüner Haken (Datensparsamkeit!) oder ein rotes X (Absender und Empfänger nicht amtlich identifiziert!)?

Der bereits hier vorgestellte Kommissions-Entwurf einer „Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ – KOM (2012) 238 – ist in erster Lesung im wesentlichen vom Europäischen Parlament gebilligt worden. Mit großer Mehrheit (534 zu 76 bei 17 Enthaltungen) billigten die Angeordneten einen mit der Kommission abgestimmten, gegenüber der ersten Fassung erheblich ergänzten und modifizierten Verordnungsentwurf.

Die in der Zusammenfassung des Parlamentes aufgelisteten Änderungen erfassen De-Mail bzw. „elektronische Zustelldienste“ nicht explizit. Sie nennt vielmehr nur Zweck und Anwendungsbereich, gegenseitige Anerkennung, Notifizierung, Sicherheitslücken, Haftung, Interoperabilität, Drittstaatenregelung, Barrierefreiheit, Aufsicht sowie ein neu angedachtes Gütesiegel für die Vertrauensdienste-Anbieter.

Ein paar Änderungen sieht der Entwurf aber auch zur De-Mail vor. So heißt es nun in Erwägungsgrund 66:

Es ist von wesentlicher Bedeutung, dass ein Rechtsrahmen geschaffen wird, um die grenzüberschreitende Anerkennung zwischen den bestehenden nationalen rechtlichen Regelungen in Bezug auf elektronische Einschreib-Zustelldienste zu erleichtern. Dieser Rahmen könnte Vertrauensdiensteanbietern der Union außerdem neue Marktchancen eröffnen, denn sie werden europaweit neue elektronische Einschreib-Zustelldienste anbieten können.

Weiterlesen →

Im November 2012 hieß es noch, die kostspielige Wette von United Internet auf die De-Mail habe zwar den Gewinn geschmälert, sei aber als Investition von den Aktionären positiv aufgenommen worden.

Reuters berichtet nun vom Ergebnis dieses offenbaren Lernprozesses:

United Internet will die Anlaufverluste in seinen neuen Geschäftsfeldern im laufenden Jahr drosseln und den operativen Gewinn dadurch kräftig steigern.
Die Verluste im Geschäft mit vorgefertigten Internet-Auftritten, dem sicheren E-Mail-Versand oder neuen Internetadressen-Endungen sollen auf 40 Millionen von 108 Millionen Euro im vergangenen Jahr gedrückt werden, wie Vorstandschef Ralph Dommermuth am Donnerstag in Frankfurt sagte…
Auch die verschlüsselten E-Mails unter dem Namen „De-Mail“ erfüllten die Erwartungen nicht ganz. Um das Geschäft anzukurbeln, will United Internet sie an Privatkunden von web.de oder GMX verschenken. Weitere Produktneuheiten seien in diesem Jahr nicht geplant, sagte Dommermuth. „Ich sehe keine neuen Trends“, sagte er.

* * *

Das sehen auch die Mitbewerber so. Die Deutsche Post etwa sieht jetzt überraschenderweise doch keine Notwendigkeit, die De-Mail-Akkreditierung voranzutreiben. In der Wirtschaftswoche schreibt Neele Hansen:

Zwischenzeitlich sah es so aus, als wolle die Post doch noch auf den De-Mail-Zug aufspringen. „Wir befinden uns in sehr vielversprechenden Gespräche über die De-Mail-Zertifizierung“, sagte ein Sprecher Ende letzten Jahres gegenüber der FAZ. Daraus ist bisher nichts geworden. „Wir haben uns noch nicht akkreditieren lassen und sehen zurzeit keine Veranlassung dazu“, sagte ein Postsprecher gegenüber der WirtschaftsWoche.

Den Bericht krönt ein ganz entzückender Schlussatz:

„Bislang hat noch kein Kunde nach De-Mail gefragt.“

Welche Unternehmen könnten das so auch formulieren?