Security Theater

Veröffentlicht am von

Das knallt: Die De-Mail wird mit Waffen gesichert!

Das Deutschlandradio berichtet – ebenso wie bereits Detlef Borchers für heise.de (vgl. auch hier) vom Besuch „im  Frankfurter DE-Mail-Rechenzentrum mit Sicherheitszäunen und regelrechten Panzersperren“, dem De-Mail-Serverzentrum von Telekom und United Internet:

Wer den Server-Käfig im Frankfurter Rechenzentrum betreten will, benötigt einen Begleiter. Hier ist in allen Bereichen das Vier-Augen-Prinzip vorgeschrieben. Selbst wenn ein Techniker eine defekte Festplatte austauschen will, darf er das nur unter Aufsicht tun. Mit bewaffneten Sicherheitskräften auf dem Rechenzentrumsgelände will die Telekom die Botschaft sichtbar demonstrieren: De-Mail ist sicher. Fragen nach den Sicherheitsrisiken durch das zweimalige Entschlüsseln und erneute Verschlüsseln der DE-Mails wiegelt Sicherheitschef Christian Scharff denn auch ab.

Bewaffnete Sicherheitskräfte! Regelrechte Panzersperren! Käfige! Bruce Schneier nennt solche augenfälligen „Sicherheitsmaßnahmen“ „Security Theater„:

the practice of investing in countermeasures intended to provide the feeling of improved security while doing little or nothing to actually achieve it.

Das passt auch hier. Denn Gefahr droht den De-Mail-Nachrichten weniger von Überfällen mit Panzern, sondern auf elektronischem Wege. Wer auf diesem Zugang zu den wenigen zentralen Servern erlangt, hat Zugriff auf die dort jeweils unverschlüsselt vorliegenden Daten. Eine Ende-zu-Ende-Verschlüsselung, das heißt eine Lösung auf der Ebene der Daten selbst, machte all diese martialischen Anforderungen wie die an die „Wanddicken“ (so der Chaos Computer Club in der Anhörung zum De-Mail-Gesetz) unnötig.

Entsprechend schimpft Peter Welchering, Journalist des Deutschlandradios:

Ich habe die [Sicherheitsmaßnahmen] als falsches Sicherheitsverständnis mit Zutrittskontrollen, Perimeterschutz und allem Pipapo empfunden. Die Datensicherheit ist eben nicht gewährleistet. Und da kann dann auch ein bewaffneter Mitarbeiter, der durch das Rechenzentrum patrouilliert, eigentlich wenig ausrichten. Also da wird eigentlich ein kleiner Etikettenschwindel, was Datenschutz und Datensicherheit angeht, veranstaltet. Das sollte man nicht tun.

(Etwas ganz Anderes ist das amüsante Format, in dem diese Äußerungen fallen: Der Journalist des Deutschlandradios Peter Welchering wird interviewt von Manfred Kloiber, einem anderen Journalisten des Deutschlandradios. Kennt man in Köln nicht den sogenannten „Kommentar„?)

Und wirklich: Die Gefahr droht von innen. Etwa von einem Provider, der seinen Auftrag, „Sicherheit“ zu gewährleisten, falsch versteht. So sagt der bereits erwähnte „Sicherheitschef“ Christian Scharff dem Deutschlandradio:

„Die Daten, die eingehen, werden auf dem entsprechenden Server auf Spam und auf Viren geprüft und dann umgehend wieder verschlüsselt, bevor sie irgendwo gespeichert werden….“

Wenn dem wirklich so sein sollte, wäre das höchst bedenklich. Die De-Mail-Provider dürfen nach § 3 Abs. 4 Nr. 3 De-Mail-Gesetz nur die Einwilligung der Nutzer einholen betreffend „die Prüfung seiner Nachrichten auf Schadsoftware“, das heißt auf Viren. Hintergrund dieser sehr ungewöhnlichen und immer wieder kritisierten zwangsweisen Ermächtigung durch die Nutzer ist – vordergründig – der von den Diensteanbietern zu gewährleistende Schutz des De-Mail-Systems als Ganzes (vgl. BT-Drs. 17/3630, S. 27).

Aus dem Kommentar (K § 3 Rdnr. 30):

[Der Schutz] des Gesamtsystems wie aller Beteiligter, seien sie Anbieter oder Nutzer […] rechtfertigt es, die Nutzung an das Einverständnis zu koppeln (Spindler, CR 2011, 309/312; zur Problematik bei E-Mail vgl. Hoeren/Sieber/ Stadler 12.1 Rdnr. 48). Voraussetzung ist freilich, dass die Kontrolle der Nachrichten auf „Schadsoftware“ im engeren Sinne begrenzt bleibt, das heißt auf Viren und ähnliche Computerschädlinge, die unmittelbar das E-Mail-System und die angeschlossenen Computer zu gefährden oder zu schädigen geeignet sind. Eine Kontrolle auf sonst unliebsame – selbst kriminelle – Inhalte darf damit nicht verbunden sein.

Genau das leistete freilich die hier in Aussicht gestellt Kontrolle auf „Spam“ – Nachrichten übrigens, für deren Transport der Absender nach der gesamten Konzeption des De-Mail-Gesetzes gezahlt hat, fast soviel wie für einen Brief. Und wer beurteilt, was „Spam“ ist und was nicht? Ist es Aufgabe von Praktikanten bei der Telekom, die über den Server laufenden De-Mail-Nachrichten nach hierauf hindeutenden Schlüsselwörtern („Penis“, „Viagra“, „Nigeria“) zu durchsuchen?

Dann sind Panzersperren und Pistolen wahrlich nur Sicherheitstheater.