CCC übt Kritik an De-Mail

Der Chaos Computer Club (CCC) erneuert seine Kritik am Gesetzentwurf zu De-Mail in einer Stellungnahme anläßlich der Expertenanhörung (PDF) im Innenausschuß des Bundestages am Montag, den 7. Februar 2011. Insbesondere […]

Der Chaos Computer Club (CCC) erneuert seine Kritik am Gesetzentwurf zu De-Mail in einer Stellungnahme anläßlich der Expertenanhörung (PDF) im Innenausschuß des Bundestages am Montag, den 7. Februar 2011. Insbesondere aufgrund der fehlenden Ende-zu-Ende-Verschlüsselung und des einfachen Zugriffes staatlicher Bedarfsträger lehnt der CCC den Entwurf ab.

De-Mail soll in Zukunft eine verbindliche Adresse für „sichere“ Kommunikation sowie Speicherplatz für digitale Unterlagen (elektronischer „Dokumenten-Safe“) anbieten. Die kostenpflichtigen De-Mail-Adressen werden von Anbietern wie GMX, Web.de oder T-Online als rechtssicher, vertraulich und zuverlässig gepriesen. Die Bundesregierung beschloß die Einführung von De-Mail im Februar 2009. Nach dem Willen des Gesetzgebers soll De-Mail der Papierbriefbürokratie ein Ende setzen.

Eine sichere, vertrauensvolle Kommunikation setzt die Verschlüsselung der E-Mail vom Anfang bis zum Ende des Versandweges voraus. Im Gesetzentwurf fehlt diese verpflichtende Ende-zu-Ende-Verschlüsselung. Damit läßt sich weder Datenschutz noch eine Vertrauenswürdigkeit der verschickten Daten garantieren. Gerade vor dem Hintergrund, daß De-Mail für sensible Kommunikation mit Behörden genutzt werden soll, wäre aber die Ende-zu-Ende-Verschlüsselung eine zwingende Voraussetzung.

Zudem sind die Identitätsinformationen und Zugangsdaten des Benutzers auf Anforderung an Polizei, Verfassungsschutz, Bundesnachrichtendienst und Militärischen Abschirmdienst ohne eine richterliche Anordnung herauszugeben (Paragraph 112, 113 TKG). Dem unkontrollierten Zugriff staatlicher Stellen auf die De-Mail-Nachrichten wird hier, im Gegensatz zur klassischen Briefpost, ganz nonchalant der Weg geebnet.

„Bei De-Mail wird bewußt auf eine wirklich vertrauenschaffende Kommunikation verzichtet. Die Chance, eine sichere, standardisierte Ende-zu-Ende-Kommunikation für Behörden- und Geschäftsbriefe zu entwickeln, wurde vertan – vor allem weil staatliche Ermittler und Geheimdienste möglichst einfach mitschnorcheln wollen“, sagte CCC-Sprecher Frank Rieger.

Für die Benutzer entsteht außerdem die Gefahr ungewollter und unbemerkter rechtsverbindlicher Zustellungen, insbesondere dann, wenn sie nicht regelmäßig ihr digitales Postfach prüfen. Ein weiteres Problem ist, daß zwar De-Mail die gleichen Übertragungs- und Datenformate wie normale E-Mail verwendet, aber absichtlich nicht interoperabel ist. Diese gewollte Inkompatibiltät wird zu Verwechslungen und fehlgeschlagener Kommunikation bei fachlich nicht mit der Bezahl-De-Mail vertrauten Anwendern führen. Die Form der De-Mail
vorname.nachname[.nummer]@dienstanbieter.de-mail.de (beispielsweise )
ist einer normalen E-Mail so ähnlich, daß Verwechslungen kaum zu vermeiden sein werden.

Das Konkurrenzprodukt E-Postbrief krankt an den gleichen strukturellen Problemen wie De-Mail. Auch dort wurde unter anderem keine Ende-zu-Ende-Verschlüsselung implementiert, man muß schlicht dem Server-Betreiber vertrauen. Die einmalige Gelegenheit, einen umfassenden Standard für sichere, vertrauenswürdige E-Mail-Kommunikation zu schaffen, wurde nicht genutzt.

Die Tatsache, daß man sein Postfach mit Post-Ident identifiziert hat, heißt angesichts der Menge an Trojanern auf den PCs der Nutzer noch lange nicht, daß dieser als einziger auf den eigenen Rechner und somit auf das Postfach Zugriff hat. Wie sich im Mißbrauchsfall die Haftungsfrage gestaltet – schließlich geht es um rechtsverbindliche Schreiben –, wird vom Gesetzentwurf bewußt ausgelassen. Die Lehre, daß selbst der elektronische Personalausweis keine Gewißheit über die Identität des Absenders verschaffen kann, wurde nicht gezogen.