DE-Mail

Mit DE-Mail will der deutsche Staat zusammen mit dem Unternehmen Telekom sichere und vertrauenswürdige E-Mail implementieren. Dazu gibt es eine öffentliche “E-Konsultation” auf einem Server von Zebralog e.V. , die am 12. Dezember endet.

Die dort abgegebenen Kommentare zu lesen ist sehr spannend. Der Tenor ist immer derselbe, ich greife als Repräsentant mal

Es ist auch jetzt schon möglich, sicher im Internet zu kommunizieren. Und das auch weitestgehend kostenlos mit z.B. OpenPGP oder mit kostenlosen Angeboten von Verisign oder Thawte. Trotzdem fände ich es wichtig und richtig, wenn auch der unbedarfte Internet - Nutzer auf einfache Weise an diese Techniken herangeführt werden würde. Was aber unbedingt vermieden werden müsste, wäre, dass sich staatliche Mitleser per Gesetz einen Zugang hierzu verschaffen.

heraus. Andere Kommentare verweisen gleich auf §3, Absatz 6 des BSI Gesetzes .

So wird aus dem ganzen Projekt dann bald wieder ePost , die 2005 eingestellte , lebenslang gültige E-Mail-Adresse der Deutschen Post - es gibt in der gesamten Konsultation kaum positive oder auch nur relativierende Stimmen.

Update: Die interessieren aber wahrscheinlich eher nicht - jedenfalls wenn man sich der Analyse von Alexander Finger anschließen will, der das ganze Projekt eher als eine Initiative zum Streicheln der armen Telekom interpretiert und das auch begründen kann.

Die weitaus meisten Kommentare gehen in dieselbe Richtung:

Wieso sollten die Nutzer gerade in den Punkten IT-Sicherheit und Datenschutz ausgerechnet dem Bundesinnenministerium (heimliche Online Durchsuchung) und der Telekom (Bespitzelungsaffäre, Kundendatenverlust) vertrauen.

und

Es gibt heute schon signierte E-Mails und auch verschlüsselte E-Mails. Warum wird dies nicht flächendeckend eingesetzt? Ich habe das so verstanden, das weiterhin Pop3 und SMTP-Protokolle verwendet werden soll. Basierend auf dieser Aussage macht es doch keinen Sinn, wieder etwas Neues zu erschaffen, was es eigentlich schon gibt. Vereinfachen Sie einfach die Zertifikatserstellung und eventuell eine zentrale Zertifikatsverwaltung in der Hand oder Kontrolle einer Regierungsbehörde und sie haben Ihren sicheren E-Mails. Viel kostengünstiger und genauso sicher.

und

Eine verbindliche Kommunikation haben wir bereits eingeführt (PGP). Das staatliche Angebot kommt zu spät, auch ist es uns nicht sicher genug. PGP ist generell sehr populär und allgemein wird eine Schulung von vorhandener Software gegenüber DE-Mail favorisiert: Soweit ich das sehe, gehen Ihre Vorstellungen klar an der Realität vorbei.

und

Wer sichere E-Mail verschicken will, nimmt seit 10 Jahren PGP und fertig. Die Integration in gängige E-Mail-Programme wie Thunderbird ist vorbildlich; einzig das Wissen um die Bedienung ist noch verbesserungsfähig. Hier wäre ein Schulprojekt aber hundertmal besser als eine ‘Zertifizieren’, bei der man als Bürger ohnehin nicht weiß, was da eigentlich bewertet wird. Ihr Ansatz sieht mir sehr nach Aktionismus aus und liefert die falsche Antwort auf ein nicht existierendes Problem.

Wie man beim Durchlesen der Kommentare schnell bemerkt, sind die Eckpunkte um überhaupt eine Akzeptanz für das Projekt schaffen zu können:

• Vollständige Transparenz der verwendeten Software und Prozesse, das schließt insbesondere die Verwendung von Open-Source-Software mit ein, die wiederholt gefordert wird.
• Vollständige Kontrolle des Endanwenders über die Generierung und Speicherung der verwendeten privaten Schlüssel, um Key Escrow und Backdoors auszuschließen.
• Verwendung von Anbietern und Behörden die nicht wie das Innenministerium und das BSI in einem Interessenkonflikt stehen und nicht wie die Telekom durch Abhörskandale und Kundendatenverlust in ihrer Vertrauenswürdigkeit kompromittiert sind.