„Volksverschlüsselung“

Veröffentlicht am von

Jede verschlüsselte Mail ist ein Gewinn, weiß Martin Schallbruch, vormals IT-Direktor des BMI, und rät deshalb allen: „Ganz einfach alles verschlüsseln, möglichst viele Daten- und Kommunikationsverkehre.“

Eine vermeintlich einfache technische Lösung haben nun für die E-Mail Fraunhofer SIT und die Telekom unter dem Namen „Volksverschlüsselung“ vorgestellt. Das ist zunächst eine Software zum Ver- und Entschlüsseln von Mails nach dem Standard S/MIME, einer Alternative zum oft als umständlich empfundenen PGP bzw. GnuPG. Sie übernimmt auch das Schlüsselmanagement. Der echte Mehrwert der „Volksverschlüsselung“ liegt beim Zertifikatsmanagement, das heißt bei der Public Key Infrastruktur: Fraunhofer und Telekom identifizieren die Nutzer und ordnen ihnen die Schlüssel zu, bieten einen Verzeichnisdienst und einen Sperrservice. Nicht anders letztlich als bei der qualifizierten elektronischen Signatur.

Die Initiative ist sicher lobenswert, verfolgt sie doch das Ziel, Verschlüsselung so selbstverständlich für die Online-Kommunikation zu machen wie den Sicherheitsgurt fürs Auto. Sie trifft aber auch auf berechtigte Kritik: Die Software ist nur unter Windows und dort bei den Mailprogrammen Outlook und Thunderbird nutzbar. Vor allem aber: Das System erfordert eine Identiifizierung mittels neuem Personalausweis oder Telekomdaten. Das schließt nicht nur große Teile des „Volkes“ aus, nämlich letztlich alle Nicht-Telekom-Kunden. Denn die Online-Funktion des neuen Personalausweises dürften noch weniger nutzen als De-Mail. Fraglich ist aber bereits die Notwendigkeit der Identifizierung überhaupt. Spiegel Online:

Die Ausweispflicht, die unter bestimmten Gesichtspunkten durchaus Sinn hat, erzeugt ein weiteres Problem: Die öffentlichen Zertifikate aller Volksverschlüssler sollen standardmäßig veröffentlicht werden. Sie aber enthalten den vollen Namen des jeweiligen Nutzers, und zwar, dank Ausweispflicht, praktisch garantiert den echten. Wer eine E-Mail-Adresse mit „Volksverschlüsselung“ kennt, kann über die Online-Abfrage herausfinden, zu wem sie gehört.

Anonyme E-Mails kann man volksverschlüsselt also nicht verschicken. Und weil die Metadaten eines jeden E-Mail-Austausches, auch wenn die Mails selbst verschlüsselt werden, stets einsehbar bleiben, hat das gravierende Auswirkungen: Wer an der richtigen Stelle sitzt – etwa beim Provider oder bei einem Geheimdienst mit entsprechenden Zugriffsrechten – der könnte vollständige Kommunikationsdiagramme aller Volksverschlüssler erstellen, und zwar mit Klarnamen. Metadaten aber sind, etwa für Geheimdienste, bekanntlich enorm wertvolle Informationsquellen.

Netzpolitik moniert darüber hinaus den eher losen Umgang der Initiative mit dem Begriff „Open Source“ und die Begrenzung der (kostenlosen) Lizenz auf die private Nutzung.

Die Zeit dagegen fragt zurecht: Kannibalisiert die Telekom damit nicht ihr Produkt De-Mail? Neinnein, das sei doch etwas ganz anderes:

Trotzdem sieht die Telekom die Volksverschlüsselung nicht als Konkurrenz zur DE-Mail, die sie ihren Kunden bereits seit 2012 anbietet. Der Unterschied: Nur die DE-Mail gilt im Sinne des deutschen Signaturgesetzes als eine rechtsverbindliche Kommunikation. Im Geschäftsverkehr und gegenüber Behörden ersetzt sie den Brief mit Unterschrift (dafür ist die Nutzung wesentlich komplizierter). Nach einer Identitätsprüfung erhalten Nutzer eine spezielle DE-Mailadresse, die nicht mit dem gewohnten E-Mail-Programm genutzt werden kann. Kostenlos ist das auch nur in der Einführungszeit und in begrenztem Umfang.

Ähm, nunja. Knapp daneben, zumindest am Anfang. Auch E-Mails können „rechtsverbindlich“ im Geschäftsverkehr sein, wenn die Beteiligten dies vereinbaren (§ 127 BGB). Allerdings gelten De-Mails als authentisch, wenn sie nach einer „sicheren Anmeldung“ des Nutzers verschickt wurden, § 371a Abs. 2 ZPO. Wo Behörden De-Mails akzeptieren, können sie ihnen gegenüber ohne Signatur versandt werden, § 3a Abs. 2 Satz 4 Nr. 2 und 3 VwVfG — das Signaturgesetz hat damit nichts zu tun. Richtig ist, dass De-Mail eine gesonderte Infrastruktur nebern dem E-Mail-System ist und sich daher nicht ohne weietres nahtlos einbinden lässt. Und was die Kosten angeht: es sieht derzeit nicht nach kostenpflichtigen privaten De-Mails aus.