Brainweich

Kürzlich hatte ich wieder einen Kollegen im Büro stehen, der das Gespräch mit den Worten “Du kennst dich doch aus” begann. Er schilderte mir ein Problem, dass heutzutage nicht ungewöhnlich ist. Ein ebay-Trickbetrüger hatte ihn als Opfer auserkoren. Und obwohl er bei Gericht diverse E-Mails vorlegen konnte, die seine Position untermauerten, konnte er den Richter nicht überzeugen – E-Mails gelten nicht als rechtssicher und werden üblicherweise nicht anerkannt. Das hierin ein Problem liegt, ist wohl unstrittig. So stehen wir nun vor der Frage, was tun wir jetzt dagegen?

Bereits bestehende Verschlüsselungs- und Signatursysteme, die den E-Mail-Verkehr absichern könnten, konnten sich bisher nicht durchsetzen – da dies stets die Installation von Software und zumindest grundlegende Kenntnisse der Handhabung erforderte. Also eine Auseinandersetzen mit einer Technik, die die meisten Menschen schlicht nicht interessiert, die halt einfach nur funktionieren soll. Im Grunde wollen nämlich die meisten nicht verstehen, was da in diesem komischen Kasten eigentlich vor sich geht. Es soll ihnen nur jemand sagen, wohin sie klicken sollen. Vater Staat hat dieses Bedürfnis erkannt und nimmt seinen Bürgern das Thema E-Mail-Verschlüsselung endlich ab. Mit De-Mail soll ab Herbst der sichere Versand rechtsverbindlicher E-Mails möglich sein, ohne dass sich der Absender oder der Empfänger um den Austausch von Schlüsseln, Generieren von Signaturen und signierender Nachrichten kümmern muss. All das übernehmen zertifizierte Anbieter wie zum Beispiel die für ihren verantwortungsvollen Umgang mit Daten bekannte Telekom.

Sicher heißt in diesem Zusammenhang nicht “absolut unknackbar” sondern “sicher genug, um es anzuerkennen” im Sinne von “ähnlich sicher wie Papierpost”. Wie Kristian Köhntopp treffend feststellt:

“Die Vertraulichkeit ist im Kontext DE-Mail nicht primär relevant, denn DE-Mail war nie designed um sicher im Sinne von vertraulich zu sein. Es geht stattdessen um die Schaffung von Rechtssicherheit und das ist im wesentlichen keine technische, sondern eine juristische Konstruktion, bei der die technischen Maßnahmen nur qualifizierende Begleiterscheinungen sind, die die juristische Fiktion von DE-Mail stützen sollen. Daher laufen Verweise auf PGP und ähnliches auch am Thema vorbei. “

In Netzkreisen fand das Projekt indes wenig Zuspruch, und doch geht der Diskurs häufig am Kern vorbei: In schrillen Tönen werden Punkte kritisiert, die überhaupt nicht Gegenstand der Diskussion sind. So ist die eindeutige Identifizierbarkeit nicht das Problem – sondern Sinn der Sache. Bei der Kommunikation mit einer Behörde muss man sich ohnehin eindeutig identifizieren – oder hat schon einmal jemand anonym die Ausstellung eines Personalausweises beantragt? Die Befürchtung, dass DE-Mai nun irgendwann verpflichtend wird und E-Mails außerhalb dieses Systems verboten werden, ist paranoid. “Illegales Filesharing” kriegen sie nicht in den Griff, aber private Mails sollen einfach so verboten werden können? Nicht alles, was theoretisch denkbar ist, ist auch realistisch. De-Mail wird auch nicht die Papierpost ablösen, sondern allerhöchstens das Fax. Die Verzeichnisdienste oder der Zugriff durch Strafverfolgungsbehörden bedürfen zwar in der Tat einer Überprüfung, aber auch sie sind nur Randerscheinungen.

Das größte Problem bei DE-Mail ist ein ganz anderes: Ich habe als Nutzer keine Verfügungsgewalt über meine Signatur und meinen Schlüssel. Ich berechtige also einen anonymen Konzern, in meinem Namen zu unterschreiben. Und anders als bei Unterschriftenfälschungen auf Papier kann ich nur schwer beweisen, dass ich nun gerade diese Unterschrift aber nicht in Auftrag gegeben habe. Der De-Mail-Support von Web.de teilte auf Anfrage außerdem mit, dass man noch nicht wisse, ob der Abruf der Mails auch per Pop3 oder Imap möglich sein wird, und ob man auch seine eigene Verschlüsselung (weiter) nutzen kann. Meine Korrespondenz liegt also auf Servern, über die ich keine Kontrolle habe.

Missbrauch lässt sich organisatorisch höchstens erschweren, nie aber ausschließen. Bei De-Mail wird versucht, das Missbrauchsrisiko durch Zertifizierung und Kontrollen durch das BSI zu minimieren. Die Technische Richtlinie des BSI – die aktuelle Richtlinie für Bürgerportale (die demnächst noch umbenannt werden soll) – legt detailliert fest, was für die Zertifizierung gegeben sein muss: Getrennte Management-Netze, verteilte Rollen für verschiedene Administrationsaufgaben, Zutritt nach 4-Augen-Prinzip, Logging von Änderungen.

Warum das so wichtig ist, soll ein kleines Beispiel zeigen: Angenommen, der Admin, der die interne Benutzerverwaltung betreut, will irgendwelchen Schindluder mit einer digitalen Unterschrift treiben. Sagen wir: um dem neuen Lover seiner Verflossenen eins auszuwischen. Um seine Spuren zu verwischen, müsste er auch die Logs (Protokolle) bearbeiten und seine Aktivitäten herauslöschen. Da er Zugriff auf die Benutzerverwaltung hat, kann er sich einfach in die Logging-Gruppe reinschreiben und alle Aktivitäten hinterher wieder aus dem Protokoll löschen. Also: Änderungen an den Benutzerrechten müssen mindestens protokolliert werden – denn dann bleibt im genannten Beispiel zumindest der Austritt aus der Logging-Gruppe auf jeden Fall im Protokoll. Besser: Die Logging-Gruppe liegt in einer anderen Domäne, auf die unser Beispiel-Admin keinen Zugriff hat und sich gar nicht erst eintragen kann.

Die ISO 27001 sieht eine jährliche Überprüfung und alle 3 Jahre eine vollständige Neuzertifizierung vor. Doch das reicht nicht. Die Möglichkeiten des Missbrauchs ergeben sich oft aus winzigen Details, oder schleichen sich in der Praxis irgendwann ein. Die Lücken im System sind oft so klein, dass nur wenige Mitarbeiter davon wissen und externe Auditoren sie nur durch Zufall finden können. Ein Stück weit könnte hier ein System helfen, dass es Mitarbeitern ermöglicht, die Aufsichtsbehörde anonym auf Schwachstellen hinzuweisen – ohne negative Konsequenzen befürchten zu müssen. Ein toter Briefkasten beim BSI also, und entsprechende Regelungen, die die Anonymität der Whistleblower gewährleisten.

Dieser ganze Aufwand müsste allerdings gar nicht betreiben werden, wenn die De-Mail-Kunden selbst im Besitz ihrer Unterschrift und Schlüssel blieben. Doch der Referenten-Entwurf bietet nicht einmal  optional die Möglichkeit, eine eigene Signatur und einen Krypto-Key zu verwenden. §4 des Entwurf schreibt lediglich zwei Möglichkeiten der sicheren Anmeldung am Postfach vor – eine davon muss der neue elektronische Personalausweis sein.

Derzeit ist bei den zukünftigen akkreditierten Anbieter allerdings selbst noch nicht sicher, wohin die Reise geht. Noch ist Luft nach oben, die genutzt werden möchte. Denn eigentlich – wenn man die reflexhaften Bedenken mal beiseite lässt, die sich immer dann einstellen, wenn die Regierung etwas zusammen mit der Telekom macht – ist De-Mail gar keine so schlechte Idee.

Die Rechtsgrundlage heraus zu finden, ist nicht ganz einfach (Verlinkungen wären klasse gewesen…): §18 Abs. 4 Punkt 3 verweist auf das BSI-Gesetz, §9. Der wiederum spricht lediglich von “vom Bundesamt festgelegte Kriterien”. In der BSI-Publikation “Akkreditierung und Zertifizierung von De-Mail-Diensteanbietern – Eine Übersicht über die technischen Vorgaben zur Gewährleistung der sicheren Kommunikationsinfrastruktur” findet sich dann aber der Hinweis:

“Für den Bereich Sicherheit muss ein ISO 27001 Zertifikat auf der Basis von IT-Grundschutz ergänzt um De-Mail-spezifische Anforderungen vorgelegt werden. Die allgemeinen Anforderungen finden sich in der BSI TR 01201 Teil 6 (Modul Sicherheit), 6.1 (Schutzbedarfsfeststellung) und 6.2 (Übergeordnete Komponeten) sowie in den dienstespezifischen BSI TR 01201 Teil 1.3 (Basisinfrastruktur), 2.3 (Accountmanagement), 3.3 (Postfach und Versanddienst), 4.3 (Identifizierungsdienst) und 5.3 (Dokumentensafe)“