Internet-Law

Onlinerecht und Bürgerrechte 2.0

9.3.12

Der (Un)Sinn der De-Mail

Über den Sinn und Zweck des Dienstes De-Mail, mit dem der Gesetzgeber eine sichere Kommunikationsstruktur im Internet schaffen will, ist gerade im Netz kontrovers diskutiert worden. Rechtsanwältin Ann-Karina Wrede hat sich intensiv mit dem Thema befasst und beurteilt das Konzept positiv. Sie hat mir freundlicherweise folgenden Gastbeitrag zur Verfügung gestellt:

Der (Un)Sinn der De-Mail
von Ann-Karina Wrede

Seit der CeBIT ist es amtlich: insgesamt drei Unternehmen dürfen sich nun ganz offiziell „De-Mail-Diensteanbieter“ nennen. Doch obwohl schon viel über das neue Angebot berichtet worden ist, scheint sich der Mehrwert dieser Dienstleistung noch nicht wirklich herumgesprochen zu haben und so hagelt es mal wieder massenhaft Kritik. Wie immer eigentlich, wenn Unwissenheit im Spiel ist…

Die Ausgangslage
Zur Ausgangslage soll hier nur kurz festgestellt werden, dass im gewöhnlichen Unternehmensalltag vertrauliche Unterlagen über das Standard-E-Mail-Protokoll SMTP verschickt werden – und damit ohne die Gewährleistung von Authentizität, Integrität oder Vertraulichkeit und Verfügbarkeit.

(Unter anderem) aufgrund dieser Sicherheitsrisiken wurde im Mai 2011 das De-Mail-Gesetz verabschiedet, welches den rechtlichen Rahmen zur Einführung vertrauenswürdiger De-Mail-Dienste und damit zur sicheren elektronischen Kommunikation schuf. Dies ist im Übrigen der Unterschied zum E-Postbrief, da sich die Post nicht den Vorgaben des De-Mail-G unterworfen hat – was sie inzwischen aber laut welt.de zu überdenken scheint…

Bei der De-Mail also gilt das Motto:

„De-Mail – So einfach wie E-Mail, so sicher wie Papierpost.“

Jedermann (und jede Frau) soll also in der Lage sein, einfach sichere Nachrichten zu verschicken, ohne dass dafür eine besondere Soft- oder Hardware implementiert werden muss.

Die Kritiker
Doch wie immer bei Veränderungen sind die Kritiker nicht weit entfernt. Und so wird kritisiert, was das Zeug hält. Die Anknüpfungspunkte hierfür lassen sich vor allem in den Bereichen

  • der fehlenden Ende-zu-Ende-Verschlüsselung,
  • den Kosten und
  • der insgesamten Sinn(los)igkeit des ganzen Dienstes

finden. Kritisiert wird dabei vor allem von vorgeblich technikaffinen Personen. Diese lassen oft pragmatische Gesichtspunkte außer Acht.

Fehlende Ende-zu-Ende-Verschlüsselung
Die Kritik bezieht sich auf die vorgenommene Entschlüsselung zur Prüfung von Nachrichten auf Schadsoftware. Fakt ist: Es gibt keine Ende-zu-Ende-Verschlüsselung, zumindest nicht als Standardeinstellung. Wer dennoch nicht auf sie verzichten möchte, muss lediglich einen öffentlichen Schlüssel in den Verzeichnisdienst (§ 7 De-Mail-Gesetz) hochladen und kann diesen mit seinem Kommunikationspartner austauschen. Anschließend ist eine durchgängige Ende-zu-Ende-Verschlüsselung möglich, eine Prüfung auf Schadsoftware findet nicht statt. Dies setzt natürlich einen gewissen Aufwand des Nutzers voraus – und sicherlich auch eine gewisse Sensibilität desselbigen. Mit entsprechenden Kurzanleitungen auf den Serviceseiten der Diensteanbieter sollte dies aber selbst für den Durchschnittsverbraucher keine große Hürde darstellen.

Doch auch wenn diese Option nicht genutzt werden sollte und es tatsächlich für einige Sekunden zu einer „Entschlüsselung“ der Nachrichten zur Malewareprüfung kommt, ist es nicht so, dass die Nachrichten in dieser Zeit für jeden (Dritten) frei zugänglich „irgendwo rum liegen“. Tatsächlich befinden sich die Nachrichten während dieser Zeit auf verschlüsselten Festplatten und auch der gesamte Transport findet verschlüsselt statt. Wegen ausgefeilter und abgestufter Rollen- und Berechtigungskonzepte bei den Diensteanbietern ist auch den jeweiligen Mitarbeitern nicht per se ein Mitlesen der Nachrichteninhalte (sprich ein Zugriff auf diese) möglich.

Die Kosten
Die Kosten des Ganzen bilden einen weiteren Kritikpunkt. Denn diese seien zu hoch. Doch vergleicht man die der Mentana oder der Telekom, die etwa um die 39 Cent liegen, stellt man fest, dass dieser Preis noch weit unter dem eines Standardbriefes liegt. Die Versandbestätigung soll etwa 69 Cent extra kosten, was in Summe einen Preis von 1,08 € ausmacht und damit immer noch deutlich unter den Kosten eines entsprechenden Einwurf-Einschreibens von 1,60 € liegt. Dass eine elektronische Nachricht außerdem schneller verschickt sein dürfte als eine Papierpost, dürfte dabei auf der Hand liegen…

Sinn(los)igkeit des ganzen Dienstes
Bliebe also nur noch die Kritik an der gesamten Sinn(los)igkeit des neuen Angebots. Zumindest bei Twitter fallen Hashtags wie #Dummenfang oder #VDS. Doch da scheint noch immer nicht im Bewusstsein der technikaffinen Twitter-Nutzer angekommen zu sein, dass es auch andere Menschen gibt, die nicht so mir-nichts-dir-nichts wissen, wie man Dateien oder E-Mails tatsächlich verschlüsselt – und an dieser Stelle ist nicht der bloße Passwortschutz (= Zugriffschutz) gemeint. Denn tatsächlich weiß der einzelne Nutzer vor dem Rechner oft nicht, was eigentlich der Unterschied zwischen einem Passwortschutz und einer Verschlüsselung ist und schon gar nicht, wie man letztere herstellen kann.

Verschlüsselungen mittels WinZip oder PGP sind in Unternehmen für den „normalen“ Mitarbeiter oft zu kompliziert, unverständlich und überfordernd. Dies wiederum hat oft zur Folge, dass lieber nichts verschlüsselt wird und vertrauliche Unterlagen im Klartext durchs World Wide Web geschickt werden. Dass dies keine wirkliche Lösung sein kann, liegt ebenfalls auf der Hand.

Fazit
Ein gewisses Maß an Skepsis bei Einführung neuer Produkte ist sicherlich sinnvoll, sollte aber den Blick aufs Wesentliche nicht verdecken. Die Einführung der De-Mail ist unter Umständen nicht für alle Unternehmen und vielleicht auch nicht für jede Privatperson die beste Lösung, mit Sicherheit aber ein Schritt in die richtige Richtung zur sicheren elektronischen Kommunikation. Sie bietet den Vorteil, dass keine Implementierung neuer Hard- oder Software notwendig ist und dass sie tatsächlich so einfach zu verschicken ist, wie eine herkömmliche E-Mail.

Darüber hinaus liegt der gesamten Akkreditierung eine mehrstufige Prüfung durch unterschiedliche und unabhängige Sachverständige zugrunde, welche die Einhaltung der gesetzlichen (wozu auch die Einhaltung von Löschfristen gehören) und technischen Anforderungen begutachtet haben.

Kritik ist gut und wichtig, allerdings sollte sie stets konstruktiv und objektiv sein – oder zumindest eine vergleichbare Alternative bieten. Diese ist allerding – zumindest im Moment – nirgends zu finden.

posted by Stadler at 08:29  

51 Comments

  1. Ich sehe bei DE-Mail ein ganz anderes Problem.
    Normale Briefe gehen schonmal verloren (was auch vor Gericht nicht bezweifelt wird).
    Wenn ich im Urlaub bin oder im Krankenhaus liege kann ich kein Einschreiben annehmen, es landet eine Benachrichtigung im Briefkasten und nach einer Woche geht es an den Absender zurück.
    Einwurfeinschreiben werden auch von mehreren Gerichten als wirklich zugegangen angezweifelt und der Zustellvermerk ist daher so angreifbar wie ein Faxversandprotokoll.
    DE-Mail empfängt Willenserklärungen in meinem Namen und bestätigt dem Absender, dass sie in meinen Machtbereich gelangt sind. Wenn ich die Annahme eines Einschreibens ausdrücklich verweigere, war es in meinem Machtbereich und ich muss eine Willenserklärung darin gegen mich gelten lassen.
    Bei DE-Mail wird auch, wenn die Lesebestätigung einer Mail ausbleibt, argumentiert werden, dass sie in meinen Machtbereich gelangt war, ich sie hätte lesen können und es daher schuldhaft unterlassen habe.
    Was mache ich im Urlaub? 3 Wochen Malediven? Ich als technikaffiner Mensch wäre natürlich auch dort online, aber Otto Normalverbraucher eher nicht. DE-Mail nimmt auch in dieser Zeit Schreiben für ihn an und bestätigt das dem Absender, Fristen fangen an zu laufen, Rechtsfolgen treten ein.
    In der Kohlenstoffwelt würden in dieser Zeit selbst Einschreiben an den Absender zurück gehen.
    Kann ich mein DE-Mail Postfach während des Urlaubs kurz verrammeln? Nein – ich bin sogar verpflichtet, es regelmäßig zu prüfen.
    Was, wenn ich ungeplant ins Krankenhaus muss? Auch hier kann mir die nette Nachbarin meine Post bringen, denn den Briefkastenschlüssel gebe ich ihr. Aber mein DE-Mail-Postfach bleibt, wenn ich in der Zeit nicht online gehen kann, ungeprüft. Denn Token und Passwort meines Postfachs werde ich ihr sicher nicht geben.
    DE-Mail ist für Firmen eine gute Sache, aber als Privatperson lehne ich das Konzept derzeit ab.
    http://www.volkerkoenig.de/2012/03/06/warum-ich-de-mail-nicht-nutzen-mochte

    Comment by VolkerK — 9.03, 2012 @ 08:47

  2. Ein netter Artikel mit nem anderen Standpunkt Sehr erhellend, da man sonst wirklich nur Kritik zu diesem Thema liest.
    Trotz alledem frage ich mich, ob der Nutzen als Privatperson so hoch sein wird. Viel Post Mut Behörden führe ich jetzt nicht, und wenn, dann muss ich den Postweg meistens wählen, um entsprechende Belege mitzusenden.
    Das ist aber eine individuell zu treffende Entscheidung.
    Auch bin ich mir dabei nicht ganz sicher, ob durch die Verwendung der DE-Mail mit der angepriesen Sicherheit das Risiko der Nutzung auf den User abgewälzt wird; ähnlich wir beim Online-Banking…

    Comment by Daniel — 9.03, 2012 @ 08:49

  3. Ich sehe eigentlich fast nur Nachteile.

    Der einzige Vorteil ist: man muss sich nicht mit PGP beschäftigen.
    Das setzt aber voraus, dass man seine Verantwortung abgibt, kurioserweise an die Maildienstleister und den Staat.

    Es ist also wieder einmal eine Sache des Vertrauens. Vertraut man dem Staat, so kann man DE-Mail nutzen. Bleibt man kritisch, verbietet sich die Nutzung von DE-Mail von selbst.

    Selbst für Unternehmen ist vermutlich die einmalige Beschätigung mit dem Thema PGP billiger als „blind“ De-Mail mit ihren doch recht horrenden Kosten zu benutzen.

    Aber ich bin pessimistisch. Wie Frau Wrede denken vermutlich viele. Und wenn die kritische Masse an DE-Mail-Nutzern erreicht ist, wird man als Privatperson gezwungen, DE-Mail zu nutzen.

    Comment by Konni Scheller — 9.03, 2012 @ 08:55

  4. „Kritik ist gut und wichtig, allerdings sollte sie stets konstruktiv und objektiv sein – oder zumindest eine vergleichbare Alternative bieten. Diese ist allerding – zumindest im Moment – nirgends zu finden.“

    Die Conclusio ist in keiner Weise überzeugend. ich hätte mir bei einer sachlichen Diskussion gewünscht, dass im internationalen Vergleich dargelegt wird, warum ausgerechnet das Internet in Deutschland so unsicher ist, dass wir ein extremistisches Sicherheitsbedürfnis an den Tag legen, dass in anderen Staaten nicht gebraucht wird. In den USA, England oder Holland ist dieser Hochsicherheitszirkus, als wenn wird das Internet ausbauen müssten wie in Stammheim, nicht notwendig.

    Der Vergleich mit der Papierpost ist unsachlich, ich muss die rechtliche Wirkung von E-Mail in USA vergleichen, oder England, wo höchst richterlich eine ASCII-Zeichenkette oder eine eingescannte Unterschrift als Signatur anerkannt sind. Wir dagegen haben seit 15 Jahren eine gescheiterte Signaturstrategie, die eher eine unsinniges Wirtschaftsförderungsprogramm als nützlich ist. Wir haben es hingenommen, dass die rechtliche Behandlung der EU-Bürger zersplittert wird.

    In der EU-Signaturrichtlinie haben die Deutschen den Kompromiss verweigert: Deutsche brauchen die qualifizierte Signatur, Engländern reicht die einfach und Borchers schreibt unverständliche Artikel über die fortgeschrittene (Qualifiziert signieren mit forgeschrittener Signatur):
    http://www.heise.de/newsticker/meldung/Qualifiziert-signieren-mit-eGK-eAT-und-nPA-1466244.html

    In der EU-Dienstleistungsrichtlinie ignorieren wir einfach den Artikel 8, dass sich jeder Dienstleister einfach und online anmelden können muss. Wir fordern von ihm dreist nach §3a VwVfG eine qualifizierte Signatur, die er nach dem deutschem Recht in Lissabon nicht bekommt. Und nun zwingen wir ihm auch noch DE-Mail auf, dass er aus Lissabon und London nicht nutzen kann.

    Ohne Diskussion nehmen wir hin, dass wir für Behörden-Mail Outlook nicht nutzen sollen dürfen, sondern webbasierte Mail mit den Anbietern, die ich dann auch nicht ordentlich (z.B. mit S/MIME) verschlüsseln darf, damit der Staat es bei den Massenrasterfahndungen (siehe G10-Bericht) billiger hat und wir mit der Registratur, Speicherung, Ablage unserer E-Mails zersplitterte Verfahren durchführen müssen.

    Geld: Das Behördentelefon 115 ist nach dem US-Vorbild 311 gebaut worden. Mit dem Unterschied, dass 311 kostenlos ist. Wir haben es geschafft, den telefonischen Zugang zu Behörden mit einer Kostenhürde auszustatten. Nun soll auch die Kostenhürde bei E-Mails eingezogen werden. Ohne dass eine Business Case vorgelegt wird oder eine Wirtschaftlichkeitsbetrachtung: wo liegt der Nutzen für Bürger und Wirtschaft, dass er in Deutschland anders als in anderen Staaten Geld bezahlen muss, wenn er mit seiner Behörde kommuniziert?

    Eine sachliche Diskussion hätte erfordert, dass man die gesetzlichen Maßnahmen, die in der Vergangenheit gescheitert sind (SigG, §3a VwVfG, §126a BGB, usw.) erst einmal evaluiert, bevor man nun mit E-GovG und E-JusticeG die Deutschen gegenüber anderen Bürgern weiter erheblich benachteiligt. Wir haben es mit den ganzen vorangegangenen Gesetzen nur geschafft, dass sich Wirtschaft und öffentliche Verwaltung völlig konträr entwickeln: die Wirtschaft nutzt das Internet intensiv, um den Kunden Zeit- udn Geldvorteile zu verschaffen, während die Verwaltung sich in der Trutzburg verkriecht und sich einmauert.

    Ein bisschen mehr Sachlichkeit und rechtliche Sachkunde wäre schön gewesen. Für rechtliche und technische Details der letzten 15 Jahre siehe auch:
    http://wk-blog.wolfgang-ksoll.de/2012/02/26/e-government-in-der-trutzburg-das-rheingold/

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 09:05

  5. Interessanter Schachzug, die Kritik generell als nicht konstruktiv noch objektiv wegzuwischen.

    Neben Dingen wie der problematischen Zustellfiktion, Beweislastumkehr bei Missbrauch, Zugriff ohne richterliche Anordnung usw. verblasst doch das Argument „Aber es ist einfach!“ ein wenig.

    Irgendwie erschließt sich mir ja nicht, was der Preis für eine elektronische Dienstleistung mit dem Preis für einen realen Postboten zu tun hat, der ein Einschreiben nach manueller Unterschrift ausliefert. Man vergleiche einen Film für 3,99€ via Video-on-Demand mit einer De-Mail: für 10 DE-Mails mit vielleicht 1 MByte Volumen kann man heute schon 4 GByte an aufwendig verschlüsselten & gesicherten Videodaten versenden. Das heißt, De-Mail ist tausendfach zu teuer im Vergleich zur erbrachten Leistung.

    … oh, das ist vielleicht etwas technik-affin argumentiert. Aber klar, das ist eben wie bei der Homöopathie: wenn man von Medizin keine Ahnung hat, braucht man den Kritikern nur vorzuwerfen, sie würden wissenschafts-affin argumentieren…

    De-Mails sind die Sicherheitsglobuli der elektronischen Post!

    Comment by Ingo — 9.03, 2012 @ 09:07

  6. Das Prinzip hinter sicherer Komunikation ist doch, dass es _prinzipiell_ nicht möglich sein darf den Inhalt der Nachricht abzugreifen. Es geht gar nicht darum dass bei einer konkreten implementierung dieser fall nicht eintreten kann. Sobald man auf Schadsoftware überprüfen kann (und warum ist das überhaupt ein Service des (D)eMail Dienstes und nicht der lokalen eMail Software?) ist die Verschlüsselung nichts wert. Das ist wie als wenn man in eine Brücke eine Sollbruchstelle ein baut, damit sie bei einem Sturm an der richtigen Stelle bricht. Da wurde die Kritik einfach nicht verstanden.

    My 2 Pennies.
    Blub

    Comment by Blub — 9.03, 2012 @ 09:07

  7. @4 Wolfgang Ksoll: Ich kann nichts für die Überschrift der Meldung. Wie in meinem Text dargelegt, ist es keine qualifizierte Signatur, sondern eine Fortgeschrittene.

    Aber zum Thema De-Mail. Hier sehe ich neben der angeführten Kritik drei Probleme:

    1.) Vom Bürger wird ein aufwendiges Authentifizierungsverfahren verlangt, von Unternehmen nicht. Hier wird eine Person authentifiziert und die macht den Rest für die Firma.

    2.) die Option Absenderbestätigt ist nur Behörden vorbehalten. Unternehmen können nur eine Versand bzw. Empfangsquittung scharf schalten.

    3.) Das erste EU-Land, die erste EU-Behörde, die im Rahmen der EU-Dienstleistungsrichtlinie gegen De-Mail als deutschen Sonderweg klagt, wird das System empfindlich in Rücklage bringen.

    Comment by Detlef Borchers — 9.03, 2012 @ 09:17

  8. Der Artikel hat eine Reihe von richtigen Punkten, greift aber an mehr als einer kritischen Stelle zu kurz.

    Die Zustellfiktion hat VolkerK weiter oben ja schon adressiert. Sie alleine killt mich als DE-Mail Kunden.

    Dazu kommt, im Szenario eines Anwaltes der folgende Sachverhalt:

    Es ist egal wie lange eine DE-Mail entschlüsselt wird oder ob sie dabei auf verschlüsselten Laufwerken liegt. Die Tatsache, daß es möglich ist, bedeutet, daß es überall möglich ist. Also auch außerhalb der definierten und geschützten Umgebung, in der es ‚zur Prüfung auf Schadsoftware‘ getan wird. Und dann selbstverständlich auch für länger.

    Die Frage ist, wen man hier als Angreifer sieht. Wenn man sich gegen einen Hacker verteidigen will, ist das geschilderte Bedrohungsszenario kein Problem, falls man den Leuten, die DE-Mail designed und implementiert haben, einmal Kompetenz zugestehen will.

    Wenn man sich gegen einen advanced persistent threat (https://secure.wikimedia.org/wikipedia/en/wiki/Advanced_Persistent_Threat) verteidigen will, ist die Sicherheit von DE-Mail an dieser Stelle jedoch nichtig.

    Für einen Anwalt mag der Sicherheitsbedarf je nach Mandant irgendwo dazwischen liegen. Es ist jedoch mit Sicherheit ein Fehler, auf die Abgeschlossenheit oder Sicherheit irgendeiner Komponente von DE-Mail zu vertrauen, wenn man etwa das Abfangen von Briefen oder das Abhören von Telekommunikation mit einem spezifischen Mandanten als realistische Bedrohungen ansehen muß:

    DE-Mail ist designed, um jedem außer den einheimischen Bedarfsträgern und ihren Freunden den Zugriff zu erschweren, diesen aber den Zugriff maximal einfach zu machen.

    Comment by Kristian Köhntopp — 9.03, 2012 @ 09:32

  9. Ich möchte dann doch einwerfen, das ein alle „Probleme“ die DE-Mail löst bereits seit Jahren mit gleichem Aufwand (lesen einiger Anleitungen und ein bisschen mit dem Mail Programm puzzeln bis mans raus hast) und einer zu erwerbenden Signatur machbar sind. Mit dem Vorteil der Dezantralität ohne weitere Kosten. DE-Mail ist sinnlos, weil es ein unnötiges Oligopol bildet und der Dienst keinen Vorteil, rechtlich gesehen sogar nur Nachteile bietet.

    LG
    Mirco

    Comment by Mirco Blitz — 9.03, 2012 @ 09:36

  10. Selbstverständlich ist eine kurze Entschlüsselung erforderlich!

    Man stelle sich nur mal vor es würden tatsächlich immer mehr Bürger ihre „eMails“ sicher verschlüsseln.

    Dann wären Ermittlungsmaßnahmen wie die der Geheimdienste nicht mehr so ergiebig und würden keine 37 Millionen Treffer bei der Schlüsselwortsuche mehr ergeben:

    http://www.heise.de/tp/blogs/8/151497

    http://www.internet-law.de/2012/02/der-elektronische-staubsauger.html

    Aber ich sehe immer wieder, dass Menschen die vor solchen Gefahren warnen von den Befürwortern dererlei Projekte gerne als Paranoid dargestellt werden.

    Es gibt einen schönen Artikel in TAZ zum Thema wie Datenschutzbewusste Menschen selbst vom Psychiatischen System für krankhaft Paranoid bewertet werden.

    Sehr viele Menschen sind bei diesen Themen leider extrem blauäugig und jeder der versucht auch nur ein wenig Aufklärung zu leisten oder auf seine Rechte besteht und nicht dem allgemeinen Datenstriptease mitmachen möchte wird abgestempelt.

    http://taz.de/!64248/

    Comment by stachel — 9.03, 2012 @ 09:44

  11. Was ich nicht verstehe ist das „so sicher wie Papiperpost“.

    Wenn ich einen Brief z.B. von der „Polizei Köln“ bekomme, wer sagt mir, dass der Brief wirklich von dort stammt? Wenn der Brief denen der Polizei Köln hinreichend ähnlich sieht, gehe ich halt davon aus, dass er auch von dort kommt – aber jeder könnte ihn einfach dem Original nachempfunden und in irgendeinen beliebigen Briefkasten geworfen haben.

    Das gilt natürlich nur für normale Briefe, nicht für Postzustellungsurkunden usw.

    Für mich ist De-Mail vor allem eins: Überflüssig.

    Comment by Boris — 9.03, 2012 @ 09:47

  12. @Kristian Köhntopp: Das Problem des Silbertabletts, auf dem Mails den interessierten Diensten serviert werden, hatte ich auch schon verbloggt. Und der Fall Andrej Holm hat ja gezeigt, wie schnell man durch geistige Kurzschlüsse in Ermittlerhirnen überwacht vedächtigt werden kann. Ähnliches ganz aktuell auch in Österreich: Da wurde jemand „hochgenommen“, weil Ermittler anhand von Chatprotokollen meinten, der Anon-Austria-Aktivist TheDude sei 27 und habe bestimmte weitere Attribute (was alles komplett missverstanden war) und all das in der Rasterfahndung auf den Verdächtigen passte, der ungefähr gar nichts mit Anonymous zu tun hatte.
    Das Risiko, dass sowas passiert, ist global gesehen gering, aber wenn es mir (als IT-Admin mit gefühlten 3 Dutzend Datenschutz- und Verschwiegenheitserklärungen in der Personalakte) passiert bin ich schneller Kunde des Jobcenters als ich gucken kann.

    @Wolfgang Ksoll: Das Problem in Deutschland ist, dass wir alles mit einem Gesetz klären wollen. Statt im Verfassungsschutz aufzuräumen und die Personen zu identifizieren, die für die NSU-Pleite verantwortlich sind, wird ein Gesetz erlassen, um Listen zu führen. Statt die Provider von Kinderpornowebsites formlos zu informieren (und zu sehen, dass 99% aller Provider das Zeug schneller löschen als man gucken kann) werden die Adressen gesammelt und gehortet und ein Zugangserschwerungsgesetz erfunden, das am Zustand nichts ändert.
    Und dass diese Gesetze, so sehr die Politik sich auf die eigene Schulter geklopft hat, an grundsätzlichen, teilweise formellen, Mängeln scheitern, sehen wir dann vor dem Bundesverfassungsgericht.

    Comment by VolkerK — 9.03, 2012 @ 09:52

  13. Als erstes muss ich zur „zu kurz greifenden Stellungnahme auf die Kritik“ erwidern, dass es sich bei dem Blogbeitrag eben um einen Blogbeitrag handelt, nicht um einen Fachbeitrag.

    Zur Zustellfiktion:
    Das De-Mail-Gesetz sieht in § 5 Abs. 9 eine sog. Abholbestätigung für öffentliche Stellen, welche zur förmlichen Zustellung berechtigt sind, vor. Diese muss bestimmte Informationen enthalten, unter anderem das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers sowie das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto. Letzteres dürfte also schon fehlen, wenn sich der Nutzer 3 Wochen im Urlaub (oder Krankenhaus) befindet. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Demzufolge wird eine Abholbestätigung nur dann erteilt, wenn auch eine Abholung möglich war. Umgekehrt ist auch derjenige nicht schützenswert, der eine Zustellung bei seinem Briefkasten durch Nichtannahme verhindert.

    Zur Authentisierung:
    Im Übrigen ist das Authentisierungsverfahren für Bürger und Unternehmen das gleiche – nur dass ein Unternehmen letztlich durch eine natürliche Person vertreten werden muss.

    Zum staatlichen Zugriff:
    Zudem ist ein Zugriff auf Nachrichten durch staatliche Behörden nur unter den gleichen gesetzlichen Anforderungen zulässig, wie bei E-Mails (§ 16 Abs. 8 De-Mail-Gesetz i.V.m. §§ 111 ff. TKG). Eine inhaltliche Kenntnisnahme kann durch eine Ende-zu-Ende-Verschlüsselung durch den Nutzer verhindert werden (§ 5 Abs. 3 De-Mail-Gesetz).

    Schließlich möchte ich an dieser Stelle noch einmal darauf hinweisen, dass es sich bei De-Mail um einen freiwilligen Dienst handelt – ein Nutzungszwang besteht daher nicht.

    Comment by Ann-Karina Wrede — 9.03, 2012 @ 10:20

  14. Unabhängig von der Diskussion der Sinnhaftigkeit von DE-Mail folgender Tipp:
    Eine „Ende-zu-Ende“ Verschlüsselung durch Austausch von öffentlichen Schlüsseln lässt sich bei gleichem Aufwand auch mit „normalen“ Signaturzertifikaten und mit den in vielen E-Mail Programmen schon vorhandenen Signier- und Verschlüsselungs-Funktionen erreichen.

    Ein Beispiel für eine kurze Anleitung dazu:
    http://www.trustcenter.de/news/06_2008.htm
    (unter der Überschrift „Unser Profi Tipp: Sichere E-Mails mit Outlook versenden“)

    Comment by Peter Schwindling — 9.03, 2012 @ 10:21

  15. Wenn ich einen Schlüssel irgendwo hochladen muss, heißt das, dass ich einen erstellt haben muss. Also kann ich auch direkt PGP nutzen. Damit hat ein verschlüsseltes De-Mail keinen Simplizitätsvorteil, den man eigentlich bei so einer Lösung erwarten sollte. Allerdings soll hier nicht ignoriert werden, dass es die Möglichkeit der Verschlüsselung zumindest theoretisch gibt. Die Praktikabilität in der Umsetzung wird die Praxis zeigen.

    „Tatsächlich befinden sich die Nachrichten während dieser Zeit auf verschlüsselten Festplatten und auch der gesamte Transport findet verschlüsselt statt. Wegen ausgefeilter und abgestufter Rollen- und Berechtigungskonzepte bei den Diensteanbietern ist auch den jeweiligen Mitarbeitern nicht per se ein Mitlesen der Nachrichteninhalte (sprich ein Zugriff auf diese) möglich.“
    Das ist einfach nur fahrlässig naiv. Wir reden hier von Wirtschafsspionageproblemen und dem Mitlesen von Geheimdiensten. Das wird sicherlich selten an „abgestuften Rollen- und Berechtigungskonzepten“ scheitern, dafür ist zu viel Macht und Geld im Spiel. Deswegen ist die De-Mail ein Rohrkrepierer. Weil sie den normalen Geschäftsbrief inklusive Postgeheimnis nicht effizient abbildet. Im Gegenteil, sie erleichtert das Durchsuchen und Mitschnüffeln erheblich. Und wenn ich als Unternehmer dann überlege, ob ich so sensitive Geschäftsbereiche aus Kostengründen verlagere und in die Hände solcher Unternehmen gebe, dann werden diese Sicherheitsbedenken vermutlich viele Unternehmen von der De-Mail fernhalten. Nicht zuletzt weil ich bezweifle, dass ich die digitalen Postwege der De-Mail nachvollziehen darf. Solange ich nicht 100% weiß, dass eine De-Mail verschlüsselt verschickt und verarbeitet wird – ein Lippenbekenntnis reicht dazu nicht wirklich aus – ist die De-Mail für den Geschäftsbereich ungeeignet.

    Das ist in etwa das gleiche Problem, wie es auch mit Clouddiensten ist. Einen Komfortgewinn für einen Sicherheitsverlust hinzunehmen ist im privaten Sektor eventuell verkraftbar, im geschäftlichen halte ich so eine Entscheidung für unprofessionell.

    Comment by m3adow — 9.03, 2012 @ 10:28

  16. > „…so hagelt es mal wieder massenhaft Kritik. Wie immer eigentlich, wenn Unwissenheit im Spiel ist…“

    Aha, merken wir uns das gleich mal.

    > „…Standard-E-Mail-Protokoll SMTP verschickt werden – und damit ohne die Gewährleistung von Authentizität, Integrität oder Vertraulichkeit und Verfügbarkeit.“

    Es gibt Zertifikate, sichere Kennwort ASuthentifizierung und SSL Verschlüsselung.
    Und es gibt die Ansicht des Email-Headers, wo dann der tatsächliche Absender drin steht und es gibt bei wichtigen Unterlagen das Telefon, womit man nachfragen kann, ob es denn angekommen ist (was in diesen Fällen zu empfehlen ist).

    > „…vertrauenswürdiger De-Mail-Dienste…“ – „De-Mail – So einfach wie E-Mail, so sicher wie Papierpost.“

    Schauen wir mal.

    > „Kritisiert wird dabei vor allem von vorgeblich technikaffinen Personen.“

    Seltsam …
    Warum nur gerade die, die am ehesten was von der Materie verstehen? *grübel*

    > „Es gibt keine Ende-zu-Ende-Verschlüsselung“

    Das heißt, die Nachricht ist nicht sicher. Sie ist lesbar und veränderbar.

    >“…eine Prüfung auf Schadsoftware findet nicht statt.“

    Das heißt, die Email ist nicht sicher.

    > „…tatsächlich für einige Sekunden zu einer „Entschlüsselung“ der Nachrichten zur Malewareprüfung kommt…“

    Aha, also der Schlüssel ist für dritte Personen zugänglich, denn anders könnte man eine gut vedrschlüsselte Nachricht nicht entschlüsseln. Das heißt aber auch, dass die Nachricht selbst nicht mehr sicher ist, wenn sie irgendwo zwischendrin entschlüsselt werden konnte, denn dadurch wird sie veränderbar und zudem lesbar.

    Ist das der Grund für die DE-Mail, weil man die Nachrichten zwischendrin lesen kann?
    Das ist weder vertrauenswürdig noch so sicher wie die Papierpost, denn die liest niemand mal so zwischendurch.

    Ausserdem, verschlüsselte Nachrichten die entschlüsselt werden können, können mit dem Schlüssel auch wieder verschlüsselt werden und zwischendurch Malware (oder Bundestrojaner) bekommen haben.
    Was ist daran sicher oder vertrauenswürdig?

    > „…auf verschlüsselten Festplatten und auch der gesamte Transport findet verschlüsselt statt.“

    Also doch alles verschlüsselt? Mit SSL vielleicht?

    > „…jeweiligen Mitarbeitern nicht per se ein Mitlesen der Nachrichteninhalte…“

    Nicht per se heißt, es ist möglich. Nicht per se kann heißen, der Mitarbeiter muss lediglich den Schlüssel dazu heraussuchen und eingeben, um die Nachricht lesen zu können.

    > „einen Preis von 1,08 € ausmacht und damit immer noch deutlich unter den Kosten eines entsprechenden Einwurf-Einschreibens von 1,60 € liegt. “

    Emails, auch vedrschlüsselte, kosten einzeln betrachtet so gut wie gar nichts! Denn da exisitert keine Logistik mit vielen Angestellten, die diese Email quasi von Hand transportieren. Noch nicht einmal im Traum kann man auf die Idee kommen, Email mit Postbrief zu vergleichen, was die Kosten anbelangt. Sowas kann nur Laien einfallen.

    Ein Postbrief dagegen transportiert immer ein Original (auch die original Kopie), es lassen sich keine Computer-Viren darauf installieren und der Brief kann kaum so einfach und unbemerkt mitgelesen werden. Der aufwand ist zu hoch. Ein Postbrief ist immer noch sicherer und vertrauensvoller, auch wenn er mehr Geld kostet.

    Ich sehe in den Kosten nichts anderes als ein Freibrief zum Gelddrucken, denn diese Kosten pro DE-Email existieren einfach nicht, sie werden erfunden.
    Milliarden Spam Mails jeden Tag und jeder Hoster sind Zeuge, dass die Kostenkalkulation der DE-Mail Anbieter astronomisch sein muss.

    > „Zumindest bei Twitter fallen Hashtags wie #Dummenfang“

    Nichts anderes scheint es zu sein, als Dummenfang.

    > „Denn tatsächlich weiß der einzelne Nutzer vor dem Rechner oft nicht, was eigentlich der Unterschied zwischen einem Passwortschutz und einer Verschlüsselung ist und schon gar nicht, wie man letztere herstellen kann.“

    Das scheint mir beim Artikel-Autor auch der Fall zu sein.
    „Verschlüsselung“ wie von der DE-Mail angedacht, ist gar keine, denn echte Verschlüsselung (wie von PGP) ist sicher und nur der Schlüsselinhaber kann die Mail entschlüsseln.
    SSL und Passwort Verschlüsselung der Verbindung gibt es schon lange bei den meisten Anbietern.

    > „PGP sind in Unternehmen für den „normalen“ Mitarbeiter oft zu kompliziert, unverständlich und überfordernd.“

    Das hat sichere Verschlüsselung nunmal so an sich. Alles andere ist Augenwischerei.

    > „…dass lieber nichts verschlüsselt wird und vertrauliche Unterlagen im Klartext durchs World Wide Web geschickt werden. “

    Moment, es gibt doch die Passwortverschlüsselung und SSL und Zertifikate, die die Verbindung vertrauensvoll machen. Oben im Artikel wird behauptet, dass keine zusätzliche Software installiert werden muss, also folglich die gleichen Voraussetzungen wie in jedem Emailprogramm vorhanden sind, wofür wiederum die eben genannten Bedingungen gelten.

    Da es keine Ende zu Ende Verschlüsselung der DE Mail gibt (wie sollte das auch ohne zusätzliche Software auf den Client funktionieren?), wird auch die DE-Mail im Klartext durch die Gegend geschickt. Oder wird hier was verheimlicht?
    Auch die angedrohte vorgenommene Entschlüsselung kann nicht wirklich beruhigen, mich beunruhigt das eher, wenn es um wirklich vertrauliche Mails geht.
    Es sieht immer mehr nach Dummefang aus, statt weniger.

    > „…sollte aber den Blick aufs Wesentliche nicht verdecken.“

    Ja, das wesentliche an der DE-Mail ist folgendes:
    1. Es kostet richtig viel Geld, ohne nachvollziehen zu können, warum. Dafür macht es wenige beteiligte Firmen reich, ohne besondere Leistung.
    2. Es gibt keine Ende zu Ende Verschlüsselung und ist damit ultra schlechter als eine richtige Verschlüsselung wie PGP.
    3. Es gibt scheints doch eine Verschlüsselung, die aber zwischendrin entschlüsselt werden kann, um „Schadsoftware“ zu filtern.
    4. Es scheint nicht vertrauensvoller zu sein als bisherige Mails mit SSL, Passwortschutz und Zertifikat.
    5.Es stinkt gewaltig nicht nur nach Dummenfang, sondern nach regelrechter Verarsche und Einführung eines zentralen Kontrollpunktes (Zwischendrin-Entschlüsselung)

    > „durch unterschiedliche…“

    …bezahlte…

    > „… und unabhängige…“

    …bezahlte…

    > “ Sachverständige zugrunde, …“

    Alles klar.

    > „Kritik ist gut und wichtig, allerdings sollte sie stets konstruktiv und objektiv sein“

    Und Kritik die einem nicht gefällt, wird einfach als unkonstruktiv und unobjektiv dargestellt.
    Alles klar.

    Comment by Frank — 9.03, 2012 @ 10:47

  17. @Ann-Karina Wrede: Die Lesebestätigung für öffentliche Stellen nach §5 Abs. 9 ist mir bewusst. Und ich finde sie absurd, siehe Absatz 8:

    (8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt.

    Das gilt für *jeden* Absender. Ich möchte direkt einen Karton guten Öko-Sekt darauf wetten, dass vor Gericht die bestätigte Ablage der Mail im Postfach als Zustellung gelten wird – die Mail ist in meinem Herrschaftsbereich angekommen.
    Dass nur öffentliche Stellen, die auch förmlich zustellen dürfen, die Lesebestätigung erhalten ist daher ein Witz. Denn die förmliche Zustellung per PZU enthält ja gerade die Fiktion des Zugangs – ob ich den Umschlag wegwerfe oder ihn gar nicht bemerke, weil ich seit 3 Monaten bei meiner neuen Freundin lebe, ändert nichts daran, dass das Schreiben Rechtswirkung gegen mich entfaltet. Wozu also die Lesebestätigung, wo doch die Zustellbestätigung in mein Postfach viel bequemer ist?
    Wenn ich ein Einschreiben am Briefkasten abwehre und die Annahme verweigere, war es in meinem Hoheitsbereich. Wenn ich es nach der Benachrichtigung nicht vom Postamt abhole ist das in den meisten Fällen eben anders – wenn ich vor drei Jahren in einem Blogpost „Jehova“ geschrieben hab und das Einschreiben des Abmahnanwaltes, der es letzte Woche bemerkte, nicht vom Postamt abhole, passiert mir nichts. Ich musste nicht damit rechnen, dieses bzw. überhaupt ein Einschreiben zu erhalten. Wenn ich hingegen schon im Rechtsstreit mit jemand bin und dessen Einschreiben nicht abhole mag das anders aussehen.

    Bei DE-Mail bekommt der Absender eine Bestätigung, dass ich seine Mail hätte abholen können – also entsprechend der PZU einen qualifizierten Nachweis, dass ein bestimmtes Schreiben (Hashcode) in meinen Hoheitsbereich gelangt ist und ich ab einem bestimmten Zeitpunkt davon Kenntnis nehmen konnte.

    Das geht an etlichen Lebenssachverhalten von Privatpersonen ziemlich vorbei.

    Comment by VolkerK — 9.03, 2012 @ 10:48

  18. Einige Kritikpunkte sind nun wirklich unberechtigt, aber ich verstehe eben nicht, dass man die Kosten durch den Vergleich eines Standardschreibens zu relativieren versucht.

    Es handelt sich hier eben nicht um einen Brief, der physisch befördert und ausgetragen werden muss, so dass dem Anbieter hier unter Garantie nicht so hohe Kosten entstehen, als dass sich diese absurden Gebühren rechtfertigen ließen.
    Daher hinkt der Vergleich mit der „normalen“ Briefpost doch erheblich – denn eine eMail (denn nichts anderes ist De-Mail) ist heutzutage in aller Regel kostenlos!

    Comment by Thomas B. — 9.03, 2012 @ 10:56

  19. @Ann-Karina Wrede
    „dass es sich bei dem Blogbeitrag eben um einen Blogbeitrag handelt, nicht um einen Fachbeitrag“

    Ich hatte auch eher den Eindruck, dass es mehr ein Polemik als ein sachlicher oder fachlich korrekter Beitrag wäre:

    „Jedermann (und jede Frau) soll also in der Lage sein, einfach sichere Nachrichten zu verschicken, ohne dass dafür eine besondere Soft- oder Hardware implementiert werden muss.“

    Nach dem E-GovG-E ist DE-Mail nur mit „sicherer Anmeldung“ verbindlich. Das heisst man kann von der Telekom zum Beispiel mobileTAN und eID einsetzen, man braucht also zusätzliche Hardware (Handy oder nPA+Lesegerät+Software, also anders als sie behaupten).

    „Schließlich möchte ich an dieser Stelle noch einmal darauf hinweisen, dass es sich bei De-Mail um einen freiwilligen Dienst handelt – ein Nutzungszwang besteht daher nicht.“

    Auch das ist falsch. EU-Bürger, die Ihre Rechte nach Artikel 8 der EU-Dienstleitungsrichlinie, die in Deutschland seit 28.12.2009 verbindlich ist, heisst es:
    „Elektronische Verfahrensabwicklung
    (1) Die Mitgliedstaaten stellen sicher, dass alle Verfahren und Formalitäten, die die Aufnahme oder die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können.”

    Deutschland verweigert sich der Umsetzung Europäischen Rechtes, schließt die Zugänge, die meist nicht eröffnet sind, mit Signaturerfordernis nach §3a VwVfG ab und fordert im E-GovG-E von den EU-Bürgern die zwingende Nutzung von DE-Mail bei erstmals pflichtgemäß eröffneten elektronischen Zugang. Anders als sie behaupten. Der Gesetzgeber boykottiert vorsätzlich die Umsetzung europäischen Rechtes. Bei sachlicher Diskussion in einem rechtlichen Umfeld hätte ich etwas mehr rechtliche Korrektheit erwartet.

    Klar ist auch, dass DE-Mail ohne E-GovG so unsinnig ist, wie bisher das SigG und der §3a VwVwG, weil keiner den Zugang eröffnen muss.

    Ich will eine Zahl zu der erfolgten Missachtung der Business Cases sagen: Wir haben 2,9 Mio Unternehmen in Deutschland, davon 500.000 mit mehr als einem Tätigen. Wir haben über 6.000 Kommunen. Bisher haben nur etwas über 100 Institutionen ein Berechtigungszertifikat zur Online-Nutzung des nPAs genutzt. Davon haben 30 eine Anwendung online gestellt. Nach 1,5 Jahren nPA im Markt. Das its unökonomisch die Benachteiligung deutscher Bürger gegenüber anderen EU-Bürgern wird damit in keinster Weise gerechtfertigt.

    Es reicht nicht, die Prospekte der Hersteller vorzulegen,man sich sich draussen in der Realität auch mal umsehen, auch in den betroffenen Rechtssystemen. Das Risiko, dass DE-Mail scheitern wie die Signatur wird, ist exorbitant hoch. Deshalb muss erst eine rationale Evaluation des Nutzens und der Rechtssysteme erfolgen, bevor man die Hürden des Zugangs der Bürger zu den Behörden noch weiter ohne Nutzen erhöht.

    Weitere Quellen siehe auch hier:
    http://landesblog.de/2012/03/neuer-personalausweis-praktisch-ohne-wert/#comment-3387

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 11:23

  20. @Detlef Borchers

    Danke für die Klarstellung bei der Überschrift. Ich hätte mich auch gewundert, wenn das von Ihnen gewesen wäre :-)

    Ich war ja gestern auch in Halle 7 (an der Stadler richtigerweise mit dem Zug einfach nur vorbeifuhren :-) und habe die Werbegesänge auch gehört.

    Bleibt die Frage: was soll ich mit einer fortgeschrittenen Signatur? Die Verwaltung weigert sich seit 15 Jahren in Deutschland anzuerkennen und woanders braucht man die Stammheim-Sicherheit auf technischer Basis nicht. In anderen Ländern glaubt man dem Bürger, hat Vertrauen zu ihm und nicht zur Technik. Wenn man Probleme mit dem Bürger hat, dann löst man woanders das juristisch, nicht technisch. Bei Urkunden verwenden wir auch keine personenbezogene Tinte, sondern holen uns vor Gericht einen Guru, der begutachtete, von wem eine Unterschrift ggf. stammen könnte. Und ggf. strafen wir dann hart. Fertig. Billig.

    Die Heilslehre, dass (nur in D) Qualsignatur, eID und DE-Mail Nutzen bringen könnte, ist einen Behauptung ohne Beweis. Statt dessen eilen wir von Flop zu Flop:
    Gestern bekam ich meine Gesundheitskarte. Und zu wem gehen ich nun, um mir ein Zertifikat brennen zu lassen für meine Qualsignatur? Die Telekom hat es früher in T-Points vertrieben, eigene Karten. Gibts nicht mehr. Für den nPA gibts immer noch keine Qualsignaturzertifikat, keine zugelassenen Kartenleser (für Signaturen). Die Jobcard (ELENA) ist wieder eingestampft worden, bei Rechnungen ist der Zertifikatszwang weggefallen (Umsatzsteuer). Wo kann ich jetzt mit Gesundheitskarte meine Fallakte oder Gesundheitskarte einsehen, ein Rezepot mitnehmen und einlösen, meine Notfallddaten einspeisen und kontrollieren?

    Eine fortgeschritte Signatur habe ich für S/MIME seit 1998 kostenlos.

    Virtual Reality ist ein Konzept fürs Entertainment, nicht für Verwaltungen sich die Bürger vom Hals zu halten.

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 11:35

  21. Die meisten Dinge, die mir in Bezug auf den Blogbeitrag einfalen, sind bereits aufgeführt. Allerdings sind die Argumente von „uns Kritikern“ ja nicht neu und werden vi Frau Wrede in Bausch und Bogen verdammt. Frau Wrede betreibt dabei allerdings eine merkwürdig selektive Wahrnehmung, wenn sie z. B. die Hürden einer Ende-zu-Ende-Verschlüsselung für DE-Mail per „Kurzanleitungen auf den Serviceseiten der Diensteanbieter selbst für den Durchschnittsverbraucher“ als nicht große Hürde erklärt. Dies impliziert, dass der Aufwand für andere Systeme höher sei, was er jedoch nicht ist. Zudem übernimmt sie reine Marketingsprüche der „Erfinder“ und Anbieter von DE-Mail – „De-Mail – So einfach wie E-Mail, so sicher wie Papierpost“- und ignoriert schlicht und einfach die Realität.

    Zitat „Jedermann (und jede Frau) soll also in der Lage sein, einfach sichere Nachrichten zu verschicken, ohne dass dafür eine besondere Soft- oder Hardware implementiert werden muss.“ D. h., dass es sich bei DE-Mail fast zwingend um ein System via Webbrowser handeln muss, wobei man unterstellt, dass ein Browser stets schon vorhanden ist, ich ahne, welcher das sein wird. Wenn man sich nun das falsche Werkzeug nimmt, das allenfalls als Notlösung zu gebrauchen ist, sollte man besser vorsichtig damit sein, Kritik wegen angeblicher oder tatsächlicher Technikaffinität der Kritiker zurück zu weisen. Andernfalls werden Laien demnächst wohl auch bestimmen wollen, wie die Bremsen eines Fahrzeugs konstruiert werden müssen, wie und womit Airbags gezündet werden oder eine Waschmaschine den Wasserzufluss und das Aufheizen des Wassers regelt. Schließlich kann man so elementare Dinge des Lebens nicht den „technikaffinen“ Menschen überlassen; ja, deren Ansichten dazu sind sogar schlicht bedeutungslos. Genauso kommt mir die Konstruktion von DE-Mail und der Verteidiger dieses Systems vor.

    Die Nutzer von E-Mail im Büro benutzen nach meiner Kenntnis kaum je Webmail, sondern z. B. Outlook, Lotus Notes oder andere (richtige) Mailsysteme auf der Basis von IMAP, POP3, SMTP. Sie müssen dazu ebenfalls gar nichts „implementieren“, da das die Betreiber bzw. IT-Abteilungen übernehmen. Wie übrigens bei allen Programmen, die ein Anwender auf seinem Arbeitsplatz-PC vorfindet. Und wenn eine IT-Abteilung nicht völlig verblödet ist, so verhindert sie zuverlässig, dass ein Anwender auf dem Gerät des Unternehmens oder der Behörde etwas „implementiert“. Ist Verschlüsselung aber einmal installiert, so benötigt ein Anwender zur Nutzung derselben lediglich einen Mausklick mehr. Der Wechsel auf ein anderes Mailsystem, gar der Parallelbetrieb, ist im Vergleich dazu sicher aufwändiger. Kein vrnünftig wirtschaftendes Unternehmen wird wegen ein paar Mails zu oder von Behörden sein etabliertes, auf Standards basierendes Mailsystem durch DE-Mail ablösen. Ich stelle mir gerade vor, wie die IT-Chefs von Daimler, BASF, der Telekom oder anderen Firmen einen solchen Wechsel begründen wollten. Natürlich bedarf es zur Nutzung verschlüsselter Mails einer weiten Verbreitung. Und allein daran hapert es bisher. Ein proprietäres System wie DE-Mail kann und wird daran gar nichts ändern. Mail ist leicht zu erlernen. Deshalb nutzen es so viele Menschen. Denen fehlt aber oft das Bewusstsein für Maßnahmen zur Sicherung von Vertraulichkeit oder die Kenntnisse, wie diese zu erreichen ist. Da kann man ansetzen. Das Geld für DE-Mail hätte man daher besser in die Aufklärung der Mailnutzer stecken sollen. Aber nein, es sollte ja das große Geld verdient werden mit einem Dienst, der bis heute nahezu umsonst zu haben ist.

    Nebenbei: Es ist sicher richtig, dass eine große Zahl von Nutzern moderner Kommunikationsdienste den Unterschied zwischen Zugriffsschutz und Verschlüselung nicht kennt. Ich kenne allerdings auch nur wenige Mitbürger, die mir die Funktion des Differentials erklären können, wie man mit dem GPS seine Position bestimmen kann oder was das Prinzip einer Glühbirne ist. Trotz dieses „Defizits“ nutzen Millionen von Autofahrern Kfz und GPS täglich sinnvoll und weitgehend richtig, beleuchten Milliarden von Menschen ihre Häuser mittels Glühlampen. Auch mathematsiche Fähigkeiten sind, bis hinauf ins höchet Positionen des Finanzministeriums, deutschlandweit teils erschreckend unterentwickelt. Niemand mit leidlich funktionierendem Verstand kommt nauf die Idee der verbreiteten Unkenntnis über die uns umgebende Technik mit staatlichen Alternativgeräten entgegen zu treten oder eine „DE-Mathematik“ zu entwickeln.

    Ich bleibe dabei: Des DE-Mail-System ist und bleibt eine Lösung ohne Problem.

    Comment by M. Boettcher — 9.03, 2012 @ 13:09

  22. Kosten:
    Hinsichtlich der Kosten kann man letztlich wohl nur sagen, dass dies eine wirtschaftliche Entscheidung der jeweiligen Unternehmen ist und man über diese natürlich geteilter Meinung sein kann. Eine zunehmende Anzahl von Anbietern in diesem Bereich wird sicherlich den Wettbewerb ankurbeln und sich entsprechend auf die Preise auswirken.

    Besondere Hard-/ Software:
    Heutzutage ist wohl jeder im Besitz eines Mobilfunkgerätes, so dass fraglich erscheint, ob hier von „besonderer Hardware“ gesprochen werden kann. Insbesondere muss diese nicht in bestehende Unternehmensnetzwerke implementiert werden. Wer nicht im Besitz eines Mobilfunkgerätes sein sollte, dem bleibt die Möglichkeit des nPA oder einer Signaturkarte (es gibt ja auch andere Anbieter als die Telekom). Wem dies alles zu kompliziert ist, dem wird sich das Internet als solches vermutlich ohnehin als zu komplex erweisen, so dass auch kein Interesse an Diensten wie De-Mail besteht.

    EU-Dienstleistungsrichtlinie:
    Aus dem wörtlichen Zitat folgt schon ausdrücklich, dass lediglich ein elektronischer Kommunikationskanal zur Verfügung zu stellen ist. Nicht dagegen folgt hieraus eine Verpflichtung des Bürgers diesen zu nutzen. Mit Aussagen wie „falsch“ oder „richtig“ ist daher ggf. manchmal Zurückhaltung geboten.

    Zivilrechtliche Zustellung:
    Die Eingangsbestätigung bei der De-Mail ist mit dem Einwurf-Einschreiben vergleichbar. Auch hier wird die Zustellung bei Eingang im Machtbereich des Empfängers fingiert. Wer freiwillig einen neuen Kommunikationskanal wählt, muss sich auch regelmäßig über Posteingänge informieren – auch das ist beim Briefkasten/ Fax letztlich nicht anders. Die alles entscheidende Frage ist daher, ob man selbst diesen Weg gehen möchte oder eben nicht.

    Verschlüsselung:
    Um die Verschlüsselung der Nachrichten auch tatsächlich zu gewährleisten, sieht das De-Mail-Gesetz entsprechende Prüfungsverfahren der Diensteanbieter durch unterschiedliche Prüfer vor (§ 18 Abs. 3 Nr. 3 & 4 De-Mail-Gesetz).
    Und es bleibt immer die Möglichkeit der Ende-zu-Ende-Verschlüsselung, bei der eben auch keine Maleware-Prüfung stattfinden kann.

    Nutzen der De-Mail
    Ob der Dienst „De-Mail“ tatsächlich Nutzen bringen kann und wird, wird sich noch herausstellen müssen. Die Beurteilung des Ganzen als Top oder Flop wäre wohl zu diesem Zeitpunkt tatsächlich verfrüht.

    Comment by Ann-Karina Wrede — 9.03, 2012 @ 13:30

  23. Nachtrag:
    @ M. Boettcher: Wenn Anführungszeichen genutzt werden, spricht vieles für ein Zitat und nicht für die Wiedergabe einer eigenen Meinung.

    Darüber hinaus werden Geschäftskunden tatsächlich (in den meisten Fällen) über ein Gateway an die Dienste angebunden.Ob zusätzlich eine Nutzung des Webfrontend erfolgt, liegt im Ermessen des Unternehmens.

    Comment by Ann-Karina Wrede — 9.03, 2012 @ 13:42

  24. Es ist fest davon auszugehen, dass es bei der De-Mail für den deutschen Geheimdienst eine Schnittstelle gibt oder irgendwann geben wird, um wie bei E-Mails ein automatisiertes Mitlesen zu ermöglichen. Eine unbemerkte Kompromittierung der Server, die eine Manipulation der Nachrichten zur Folge hat, würde nicht bemerkt.

    Bei der rein optionalen End-zu-End-Verschlüsselung stellt sich noch immer die Frage, wer die Schlüssel erzeugt – und wo dann der private Schlüssel liegt.

    Ein Vergleich der Gebühren für einen Brief mit den Gebühren für eine De-Mail ist ein Vergleich von Äpfel mit Birnen. International wird sich dieses System sowieso nicht durchsetzen.

    Comment by Jens Leinenbach — 9.03, 2012 @ 14:16

  25. @21
    „Wem dies alles zu kompliziert ist, dem wird sich das Internet als solches vermutlich ohnehin als zu komplex erweisen, so dass auch kein Interesse an Diensten wie De-Mail besteht.“

    Diese Art von Polemiken sollte man in einem sachlichen Diskurs vermeiden. Es verweigert die Auskunft, warum nur in Deutschland die Bürger durch solche komplexe Verfahren von den Verwaltungen fern gehalten werden, während in anderen Ländern ein einfach E-Mail reicht.

    Wie zum Beispiel die Zugangseröffnung der Stadt Moers zeigt, gibt es auch andere Möglichkeiten der Zugangseröffnung und der Verschlüsselung über S/MIME.
    http://www.moers.de/C12571D10045491B/html/B050D451CDC29953C12575E100421B21?opendocument

    „Ob der Dienst „De-Mail“ tatsächlich Nutzen bringen kann und wird, wird sich noch herausstellen müssen.“

    Das ist ein Skandal. Ob eine Maßnahme Nutzen erbringen kann, muss im Voraus ermittelt werden. Unsere Verfassung gebietet die Verhältnismäßigkeit. Nirgendwo ist die Verhältnismäßigkeit dargelegt worden, die eine Aussperrung der Deutschen von der Verwaltung durch vielfältigste Maßnahmen rechtfertigt, die weit über internationale Vergleichbarkeit hinausgeht. Ihre Polemik zeigt einmal mehr, dass ohne sachkundige Prüfung von Technikern gemachte haltlose Versprechen, einfach von sachunkundigen Juristen übernommen werden und im Gesetzgebungsverfahren gegen die Bürger druch geprügelt werden. In Großbritannien wäre es aufgrund öffentlich-rechtlicher Vorschriften völlig undenkbar, ohne Nutzennachweise im voraus die gesamte Bevölkerung mit sinnlosen Zwangsmaßnahmen zu überziehen.

    Das Ergebnis solch zynischer Polemiken liegt auf der Hand: wir diskutieren uns zu Tode seit 15 Jahren mit Signatur, eID und DE-Mail als staatlicher Großveranstaltung von Virtual Reality, während in UK die Bürger ganz einfach mit ordinärer E-Mail mit ihre Verwaltung elektronisch rechtsverbindlich kommunizieren.

    „Und es bleibt immer die Möglichkeit der Ende-zu-Ende-Verschlüsselung, bei der eben auch keine Maleware-Prüfung stattfinden kann.“

    Auch das ist unsachlich. Bei rechtsverbindlicher Kommunikation ist nach E-Gov-Gesetz-E die sichere Anmeldung zwingend notwendig. Eine Integration von SMS oder eID in Massenprodukte wie Outlook oder Lotus Notes gibt es nicht, damit auch keine rechtsverbindliche Ende-zu-Ende-Verschlüsselung mit DE-Mail. Man muss dann den Webbasierten DE-Mail-Weg nehmen und Unternehmen müssen sich darauf einrichten, dass sie ihr E-Mail-Schriftgut sowohl bei sich verwalten müssen, als auch bei einem Dritten. Ein enormer Aufwuchs an Kosten für Administration aber auch Compliance. Und man wird hoffen müssen, dass die Anbieter die gesetzlichen Aufbewahrungsfristen überleben für diese Nebenbuchhaltung und nicht wie die Post 2002 aus dem Signaturgeschäft wieder aussteigen will, weil der erhoffte Umsatz nicht kommt. Den Complianceschaden muss dann das Unternehmen tragen, das Teile seiner Schriftgutaufbewahrung auslagern musste, nicht der E-Mailaufbewahrer.
    http://mediakomm.difu.de/documents/signtrust-gibt-auf.pdf

    Weniger Polemik und mehr sachliche Diskussion, auch wenn es „nur“ eiN Blog ist, wäre weniger zersetzend für DE-Mail und die versagenden Versuche endlich die Verwaltung auch elektronisch kommunizieren zu lasen in Deutschland nach über 20 Jahren Internet.

    „EU-Dienstleistungsrichtlinie:
    Aus dem wörtlichen Zitat folgt schon ausdrücklich, dass lediglich ein elektronischer Kommunikationskanal zur Verfügung zu stellen ist.“

    Werden Sie sachlich. Deutschland verweigert EU-Bürgern einen elektronischen Kanal nutzen zu können. Eine Signatur, eine eID oder rechtsverbindliche DE-Mail Nutzung wird unter Verstoss gegen die EU-Dienstleistungsrichtlinie EU-Bürgern nicht zur Verfügung gestellt. Es wird von der Bundesrepublik, den Ländern und den Kommunen auf die EU-Dienstleistungsrichtlinie einfach gesch*en. Und nationaler Bastelkram etabliert, der sich nirgendwo als wirksam erwiesen hat.

    Besondere Hardware: Was macht die deutsche Bevölkerung so besonders, dass sie sich von allen Völkern der Welt mit solchem Bastelkram abheben muss? Nun muss man bei E-Mail nicht nur einen Internetanschluss nutzen, sondern auch noch ein Handy haben. Es gibt keinen sachlichen Grund, dass wir so anders sein sollten, ausser dass auf dem Rücken der Bevölkerung eine Wirtschaftsförderung verprobt werden soll für Technologie die sich im Ausland seit Jahrzehnten nicht bewährt. Und vier diese Wirtschaftsförderung wird dann auf den Vollzug europäischen Rechtes leichtherzig verzichtet und der Rechtsstaat verhöhnt und verspottet.

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 14:18

  26. Wenn Anführungszeichen benutzt werden, so spricht sicher vieles für ein Zitat. Im Kontext Deiner Schreibe wird aber auch sichtbar, das dieses Zitat Ihrer Überzeugung sehr nahe kommt.
    Mobile Geräte sind aus Sicht der IT zunächst ein Sicherheitsrisiko, deren Nutzung schon von daher überwiegend streng geregelt wird. Zudem sind Vertrag und Nutzung meist dienstlich veranlasst. Eine Integration in die Infrastruktur der Unternehmen wird sich über eine Nutzenbetrachtung zudem häufig zwingend ergeben. Das diese Business Cases für DE-Mail umfasst, bezweifle ich stark. Allerdings kenne ich lediglich die Situation aus Banken, Versicherungen, IT-Dienstleistern, Handelskonzernen und Energieversorgern.
    Wenn DE-Mail überwiegend auf private Nutzer mobiler Geräte zielen würde, was m. E. nicht der Fall ist, wäre DE-Mail noch schneller tot, als die Geburt dieses entbehrlichen Dienstes gedauert hat.

    Comment by M. Boettcher — 9.03, 2012 @ 14:20

  27. Der Stadler wollte auch mal seine Leser provozieren oder? Also abgesehen von der einseitigen Darstellung, die ja nun schon zu genüge von meinen Vorpostern kritisiert wurde als Gastbeitrag noch so einen polemischen Stil zuzulassen, an einem Freitag, finde ich schon amüsant.
    Und das eine Rechtsanwältin die ganzen rechtlichen Probleme ignoriert, die an dem Dienst dran hängen ist ja auch beschämend für die Dame. Ich hoffe sie wurde wenigstens gut bezahlt für diesen Text.

    Comment by Martin — 9.03, 2012 @ 15:50

  28. @Ann-Karina Wrede
    Nein, ich widerspreche da beim Vergleich mit dem Einwurfeinschreiben.
    Einzelne Gerichte bezweifeln (mit steigender Zahl), dass Briefträger die Einwurfeinschreiben wirklich in den richtigen Kasten werfen (siehe auch meinen oben verlinkten Blogpost mit Hinweis auf z.B. AG Kempen). Selbst, wenn der Einwurf des Schreibens nachgewiesen ist, kann der Nachweis des Zugangs eines *bestimmten* Schreibens an einem *bestimmten* Tag eine *bestimmte* Person nur durch PZU oder Zustellung per Gerichtsvollzieher erfolgen.

    Oder durch Versand per DE-Mail:
    – Die Identitäten der Teilnehmer sind geprüft und werden sicherlich vor Gericht nicht in Frage gestellt
    – Zeitpunkt des Eingangs einer Mail ins Postfach wird mit Signatur fälschungssicher und wegen des Beliehenen-Status der Provider gerichtsfest nachgewiesen
    – ein Hashcode über die Mail bestätigt auch, dass eine *bestimmte* Mail verschickt wurde.

    Sie sagen richtig:
    „Wer freiwillig einen neuen Kommunikationskanal wählt, muss sich auch regelmäßig über Posteingänge informieren – auch das ist beim Briefkasten/ Fax letztlich nicht anders. Die alles entscheidende Frage ist daher, ob man selbst diesen Weg gehen möchte oder eben nicht.“

    Ein Faxgerät kann ich im Urlaub ausschalten. Einen Briefkasten und ein Postfach kann die Nachbarin leeren.

    Mein DE-Mail-Postfach kann ich durch die absolut korrekte Erfordernis von Besitz und Kenntnis der Zugangsinformationen nur persönlich pflegen.

    Für Privatpersonen, Einzelkämpfer mit Gewerbe und Freiberufler geht DE-Mail in der jetzigen Form ein ganzes Stück an der Lebensrealität vorbei. Es bleiben Behörden und Firmen als Nutznießer.

    Und es ist sicher nicht vorgesehen, DE-Mail verbindlich zu machen. ELSTER war auch erst ein Service und inzwischen jammern Firmen aus der Kreativbranche (mit Apple-Hardware) und einige IT-Firmen mit Linux an den Desktops darüber, dass sie zur Steueranmeldung irgendwo – kostenpflichtig – ein Windows virtualisieren müssen, um ELSTER benutzen zu können.

    Wussten Sie übrigens, dass in der Türkei jeder Bürger eine amtliche Mailadresse erhält? http://rennes-blog.blogspot.com/2009/12/turkei-email-adresse-fur-jedermann.html

    Comment by VolkerK — 9.03, 2012 @ 15:56

  29. @Martin: Wäre der Beitrag von Frau Wrede so polemisch wie Ihr Kommentar, hätte ich ihn nicht veröffentlicht.;-)

    Ich freue mich auch mal einen Fremdbeitrag veröffentlichen zu können, der eine Position einnimmt, von der ich wusste, dass sie Widerspruch erzeugen wird. Die Frage der Sinnhaftigkeit von De-Mail werden wir abschließend vermutlich erst in ein paar Jahren beantworten können.

    Comment by Stadler — 9.03, 2012 @ 16:08

  30. @27
    „Der Stadler wollte auch mal seine Leser provozieren oder?“

    Das sehe ich nicht so. Frau Wrede und Herr Stadler machen sich ja die Mühe, das hier unbezahlt zu diskutieren. Und wenn hier mit scharfer Zunge die Argumenten im Tiefflug kommen, dann ist das halt die Kulturform wie wir Deutschen uns so geben.

    Aber anzurechnen bleibt den beiden, dass sie sich dem Diskurs stellen. Was die Bundesregierung ja nicht tut.

    Einer meiner Korrespondenten aus dem eher kommunalen Bereich berichtete mir, dass nach Eröffnung des Zugangs nach §3a VwVfG kein Traffic darüber kam, weder durch Inländer noch durch Ausländer.

    Vielleicht sollten wir die Mail-Welten einfach trennen. a) Mit dem E-Justice-Gesetz können sich Juristen untereinander die jesuitische Selbstkasteiung möglichst komplizierter Kommunikationsverfahren schaffen und b) für normale Bürger und die Wirtschaft lassen wir den Verkehr rechtsverbindlich mit normaler E-Mail zu mit Ende-Zu-Ende-Verschlüsselung, kostenlos von GMX (Mach ich seit 15 Jahren, danke GMX, super Service) statt 30 Cent pro Mail, mit normalen Mailwerkzeugen wie Outlook, Lotus Notes, Thunderbrid auf alle Plattformen, die wir lieb haben Windows, Unix ins allen Spielarten oder MacOS. Einfach so wie in USA, UK, Holland oder dem Rest der zivilisierten Welt, der nicht den öffentlichen Dienst in der Trutzburg eingemauert hat.

    Für die Flagellanten see also: http://de.wikipedia.org/wiki/Kasteiung

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 16:20

  31. @29 Stadler
    „Die Frage der Sinnhaftigkeit von De-Mail werden wir abschließend vermutlich erst in ein paar Jahren beantworten können.“

    Ihren Fatalismus teile ich nicht :-) Das E-GovG ist gerade in der Abstimmung der Ressorts und der Länder. Ohne das E-GovG ist DE-Mail sinnlos. Die Post ist ja diese Woche schon eingeknickt und wird neben dem ePostbrief auch DE-Mail just wegen der gesetzgeberischen aktuellen Diskussion anbieten. Damit ist der ePostbrief mausetot.

    Wenn wir einfach Weichert sich unbeachtet an seiner Facebook-Verschwörung abarbeiten lassen (was ja weitgehend geschieht) haben wir Zeit, die Behörden so werden zu lassen wie Wirtschaft und Bürger. Wir müssen nicht erst Unsinn beschliessen um dann nach ein paar Jahren ihn fallen zu lassen.

    P.S.: Ich bekomme nicht raus, wie ich auf meine schöne neue Gesundheitskarte ein Zertifikat für die Qualsignatur bekommen. Damit könnte ich schon heute rechtsverbindlich nach §3a VwVfG ohne DE-Mail rechtsverbindlich mit Behörden kommunizieren, die ihren Zugang nach geltendem Recht (und nicht nach künftigem) eröffnet haben, um noch mal auf Rechtsfragen zurückzukommen :-) Hat jemand einen Tipp für mich?

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 16:29

  32. Konstruktive Kritik fängt man am Besten immer an mit:

    „Wie immer eigentlich, wenn Unwissenheit im Spiel ist…“

    Da weiß der Leser gleich, daß er vom Autor für blöd gehalten wird.

    Nicht schlecht.

    Wenigstens glänzt die Autorin auch nicht durch übermässige Sachkenntnis, also gleicht sich das wieder ein bisschen aus.

    gruß, Frank

    Comment by Frank Schenk — 9.03, 2012 @ 17:03

  33. Die Ende-zu-Ende-Verschlüsselung ist auch wertlos, solange man nicht selbst die Public Keys im Verzeichnisdienst auf ihre Echtheit überprüft. Und dann ist es auch fraglich, ob die Anwendung tatsächlich den echten Key verwendet. Wie lange wird es wohl dauern, bis man Geheimdiensten und Verfassungsschutz Man-in-the-middle Angriffe erlauben wird?

    Comment by Ranter — 9.03, 2012 @ 17:16

  34. AKWs beitrag ist strotzend vor unwissenheit und ignoranz er ist weder konstruktiv noch in irgendeinerweise objektiv.

    Die Akzeptanz von PGP durch Behörden würde vollkommen ausreichen echte sichere echte authetische Mail ohne man in the middle und ohne künstliche Kosten ermöglichen.

    Zudem würde es dem bürger den weg weisen wie man sicher mit daten umgeht.

    Ignoranz ist übel dagegen helfen nur Piraten

    weg mit den AKWs!

    mfg
    yb

    Comment by yahbluez — 9.03, 2012 @ 18:57

  35. Ich nehme nur einen Punkt – pars pro toto – weil alle Argumente ähnlich ‚blauäugigÄ‘ sind ….
    “ .. Kosten:
    Hinsichtlich der Kosten kann man letztlich wohl nur sagen, dass dies eine wirtschaftliche Entscheidung der jeweiligen Unternehmen ist und man über diese natürlich geteilter Meinung sein kann. Eine zunehmende Anzahl von Anbietern in diesem Bereich wird sicherlich den Wettbewerb ankurbeln und sich entsprechend auf die Preise auswirken .. „

    Aha.
    So wie sich der Wettbewerb im Bereich Energieversorgung, Medien und Banken zugunsten der Verbraucher ausgewirkt hat?

    WISSEN SIE WAS PASSIEREN WIRD?
    Nach wenigen Jahren wird der Preis weit über dem der ‚Schneckenpost‘ liegen und zwar dann, wenn diese Versandmöglichkeit ‚platt‘ gemacht wurde ….

    In den vergangenen Jahren hat sich die Entwicklung stets zu Ungunsten der Verbraucher entwickelt und ‚Richtervorbehalt‘ ist zum ‚Abnicken‘ verkommen (war hier im Blog zu lesen).

    Träumen Sie weiter!

    @ RA Dr. Stadler:
    Mir ist – offen gesagt – völlig unverständlich wieso Sie einem derart weltfremden Gastbeitrag hier eine Plattform geben.

    Comment by wvs — 9.03, 2012 @ 19:48

  36. Kritik darf ruhig auch scharf oder polemisch sein, aber wenn gar kein Argument mehr erkennbar ist, wird es schwierig.

    Comment by Stadler — 9.03, 2012 @ 20:19

  37. @ Dr. Stadler

    Gilt Erfahrung nicht (mehr) als Argument?
    Es heißt doch stets: “ .. aus der Geschichte lernen .. „

    Comment by wvs — 9.03, 2012 @ 21:01

  38. Hier noch ein paar Beiträge aus anderer Ecke vom Lorenz-Stein-Institut, wo ein postsfinazierter Jungwissenschaftler das hohe Lied ede ePost-Briefes in Nischen der kommunlaen Verwaltung und für Geheimnisträger nach §203 StGB singt:
    http://www.lvstein.uni-kiel.de/t3/index.php?id=117&no_cache=1
    Nota bene: der unabhängige ISPRAT e.V. wurde von zwei Insidern gegründet, die nun für die Post arbeiten.

    Auch der Behördenspiegel gibt sich allergrößte Mühe, die Komplexität der Einmauerung in der Trutzburg bei Verzicht auf internationale Standards gerade noch Verständlich zu halten. Zum Verzicht der Post, den ePostbrief DE-Mail-zertifizieren lassen heisst es:

    „Harald Lemke ,Senior Vice President bei
    der Deutschen Post, begründete gestern
    den Abbruch der Akkreditierungsvorbereitungen
    für den E-Postbrief damit, dass in
    der Begründung zum De-Mail-Gesetz eine
    “eindeutige Unterscheidbarkeit” zwischen
    den akkreditierten De-Mail-Diensten und
    zusätzlichen gefordert würde.“

    „Damit sei eine Integration der De-Mail-Funktionalität “in die E-Post-Welt” nicht möglich, denn die Hybrid- und Zahlungsdienste, die internationale Vernetzung, die von der Post geplante Integration der Partner Datev, SAP und Microsoft fielen unter diese notwendige
    Unterscheidbarkeit.“
    http://www.daten.behoerdenspiegel.eu/nl/nl538.pdf

    Also gut, Wirtschaft und Bürger nutzen weiterhin, wie schon in den letzten 20 Jahren einfach E-Mail und der Staat in Deutschland müht sich weiter ab, feinziselierte Nischenlösungen für unsere geliebten Banken zu erfummeln.

    Ich frag dann morgen noch mal ab, wer verstanden hat, was man mit fortgschrittenen Signaturen aus dem nPA machen kann, welche kommunalen Verfahren sich hervorragend für den ePost-Brief eignen ohne DE-Mail und für welche Zwecke Inländer DE-Mail verwenden dürfen oder müssen. Und wehe, einer oder eine patzt!

    P.S.: Mein Signaturproblem mit der Gesundheitskarte habe ich immer noch nicht gelöst. Die gematic lässt verlauten, dass die Krankenkasse ein Zertifikat dran fummeln lassen *kann*. Meine Krankenkassen schweigt sich dazu online aus. Na ja, wenn es schon mit 6 Jahren Verzug mit der Gesundheitskarte nicht klappt, dann klappt das mit DE-Mail ganz bestimmt. Man muss nur feste dran glauben. Echt!

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 21:08

  39. Und dann noch was für die Hoax-Verbreiter unter den Juristen:

    Das DE-Mail-Gesetz ist ähnlich wertlos wie es 1997 das SigG war ohne die Änderungen des §126a BGB und §3a VwVfG.

    Es gib noch keinerlei Gesetz, dass DE-Mail statt einer qualifizierten Signatur als elektronische Form anerkennen würde. Also ist ohne E-GovG und E-JusticeG die Diskussion eine akademische und müßige.

    Im Gegenteil: sieht man sich die Erfahrungen der Qualifizierten Signatur an, ist zu befürchten, dass hier wieder ein großer Hoax durchs potemkinsche Dorf gejagt wird. Ich habe es nicht glauben wollen, aber 15 Jahre nach in Krafttreten des Signaturgesetzes, haben wir keinen Anbieter für Zertifikate für qualifizierte Signaturen weder für den neuen Personalausweis noch für die Gesundheitskarte.
    (Ich lasse mich da gerne vom Gegenteil überzeugen :-)

    15 Jahre heiße Luft, Ankündigungen, Hoaxes und Potemkinsche Dörfer. Mir reichst langsam. Ich fühle mich als Deutscher verarscht.

    Comment by Wolfgang Ksoll — 9.03, 2012 @ 22:22

  40. Diese Aussage

    “Wer freiwillig einen neuen Kommunikationskanal wählt, muss sich auch regelmäßig über Posteingänge informieren – auch das ist beim Briefkasten/ Fax letztlich nicht anders. Die alles entscheidende Frage ist daher, ob man selbst diesen Weg gehen möchte oder eben nicht.”

    ist ja nun kein Sachargument, für De-Mail, sondern eine Entschuldigung dafür, es einzuführen, denn es reduziert sich zu „Wenn es dir nicht gefällt, dann laß es doch“ und die naheliegend Antweort ist dann „Dann laß ich es eben“.

    Wie stellt sich das etwa für den Harztz-IV-Bezieher dar, der einer Residenzpflicht unterliegt und jeden Tag per Post ereichbar sein muß? Wenn hier durch die Nutzung von De-Mail eine analoge Pflicht entsteht, ist also tägliches Einloggen Pflicht. Tut er das nicht, weil z.B. sein Rechner nicht funktioniert, entfällt der Anspruch auf das Arbeislosengeld II.

    Der Hinweise auf den überall vorhanden Browser beunruhigt mich eher. Es mag daran liegen, dass ich schon etwas älter bin, aber mir passiert es häufig, dass ich daneben klicke, sich eine Seite noch baim Laden oder im Aufbau befindet, sich ein Tab verzögert öffnet und dergleichen.

    Auch wäre ein Vergleich mit Comuterfax schön gewesen, da dessen Anerkennung im Umgang mit der Verwaltung meistens problemlos zu sein scheint, vgl. GmS-OGB 1/98 vom 05.04.2000, so dass es dort dem Einschreiben den Rang abläuft.

    Comment by ThorstenV — 10.03, 2012 @ 15:10

  41. Die Angaben von Frau Wrede sind schlichtweg technisch falsch. Entsprechend erübrigt sich eine weitere „Kritik an der Kritikerin der Kritiker“. Man würde nur erneut dieselben Argumentationen benötigen.

    Das Entmailen, engl. „to demail“ bleibt Bullshit. Das ist aber nicht schlimm: wer sich bisher dem bizarr teuren Entmailen entziehen möchte, muss ja nur eine S/MIME- oder OpenPGP-Archtektur in seiner IT einführen. Die Kosten hierfür dürften bei einem Bruchteil des Entmailens liegen. Das Entmailen wird erst dann gefährlich, wenn es verpflichtend wird. Solange bleibt es eine harmlose Posse für Leichtgläubige.

    Dieter Nuhr hat da mal einen Satz geprägt; jener geht auf einen viel älteren zurück: „si tacuisses, philosophus mansisses“.

    Viele Grüsse,
    VB.

    Comment by Volker Birk — 11.03, 2012 @ 13:51

  42. „Darüber hinaus liegt der gesamten Akkreditierung eine mehrstufige Prüfung durch unterschiedliche und unabhängige Sachverständige zugrunde…“

    Leider gehen Sie in Ihrem Beitrag auf diesen Punkt aus meiner Sicht nur ungenügend ein. Das überrascht umso mehr, da die Akkreditierung, wie von vielen Juristen, ja auch von Ihnen als hinreichende Maßnahme gegen den technischen Mangel der fehlenden End-zu-End-Verschlüsselung ins Feld geführt wird. Wenn diese Akkreditierung gültigen internationalen Normen entsprechen würde, hätte dieses Argument auch meine Zustimmung.

    Tatsächlich wird die Akkreditierung vom BSI, einer Behörde des Bundesinnenministeriums, nach einem seit seinem bestehen von Experten hinsichtlich seiner Normenkonformität als zweifelhaft bezeichneten Standard durchgeführt.

    Schon die Verwirrung um die Begriffe „Akkreditierung und Zertifizierung“ spricht hier Bände. Dies sind in international anerkannten Normierungsprozessen zwei voneinander organisatorisch, wirtschaftlich und politisch getrennte Verfahren. Die Beispiel für ein fehlendes Verständnis der zuständigen Behörde hinsichtlich der Grundlagen der dem Verfahren zugrunde liegenden ISO 27000ff ließen sich nahezu beliebig fortführen.

    Mit den Besten Grüßen
    Bernd Donabauer

    Comment by Bernd Donabauer — 11.03, 2012 @ 16:20

  43. Gerade Juristen sollten doch wissen, dass Gesetze nur so viel Wert sind wie die Schärfe der Strafen, die Sachkenntnis der Richter und Anwälte, die Ausgestaltung der Kontrollen und die Sach-, Verstandes- und Machtausstattung der Kontrolleure. Wenn argumentiert wird, dass doch im Gesetz gesagt wird, dass mit De-Mail niemand Böses tun darf … dann finde ich die Aussage zum Lachen, und den Aussager naiv.

    Nicht das erste Sicherheitsplacebo, das uns angeboten wird. Richtig gefährlich wird die Sache erst, wenn sie verpflichtend wird. Vorher ist die Sache so gefährlich, wie die Leute … naiv genug sind, sie zu glauben. Das ist eine nicht zu unterschätzende Gefahr, aber in vielen Zusammenhängen verbreitet. Man kann Information nur anbieten, wie das die Techniker in dieser Runde hier tun. Wenn die Information angenommen wird, hilft sie manchmal.

    Comment by mupan — 12.03, 2012 @ 01:21

  44. @42 Bernd Donabauer

    Die Zertifizierung/Akkreditierung von DE-Mail durch das BSI ist eo ipso unsicherer als E-Mail mit internationalen Standard-Produkten.

    1.) Dem Nutzer ist keine unabhängige Source-Code-Verifikation möglich wie zum Beispiel bei Thunderbird. Wir haben gerade bei 0zapftis, dem BKA-Trojaner, gesehen, wie notwendig das ist.

    2.) Das BSI ist eine weisungsgebundene Behörde des BMI. Dem BMI (Bundesminitserium des Inneren) untersteht genauso das BKA (Bundeskriminalamt). Hier ist ein systemimmanenter Unabhängigkeitsmangel und Interessenskonflikt beim selben Dienstherren, der eine unabhängige Prüfung unmöglich macht, zumal das BSI auch 1990 als Abteilung 6 des Bundesnachrichtendienstes verselbständigt wurde.

    Wem Sicherheit liebt ist, der sollte DE-Mail also auf jeden Fall meiden, bis die Anbieter ihren Source-Code offengelegt haben und die durch unabhängige Dritte geprüft wurde. Zum Beispiel den CCC, der bei 0zaptis das erreichte, was Behörden nicht möglich war, und eklatante Datenschutzmängel wie die Übertragung von personenbezogenen Daten in die USA zur Verschleierung des Lauschers aufdeckte.

    Comment by Wolfgang Ksoll — 12.03, 2012 @ 10:24

  45. @44 Wolfgang Ksoll

    „zumal das BSI auch 1990 als Abteilung 6 des Bundesnachrichtendienstes verselbständigt wurde.“

    Ergänzend hierzu der Hinweis auf §3, (1), 6. Unterstützung a) und b) des BSI-Errichtungsgesetz, in dem die Unterstützung der Polizeien, der Strafverfolgungs- und Verfassungsschutzbehörden weiter fest geschrieben ist.

    Um meine Kritik hinsichtlich der fehlenden Reife des Verfahrens noch einmal zu verdeutlichen, hilft eine kurze Beschreibung, wie die Akkreditierung und Zertifizierung in international anerkannten Zertifizierungsverfahren organisatorisch geregelt ist. Auf die inhaltlichen Fehler bei der Implementierung der Norm gehe ich hierbei nicht weiter ein.

    Eine unabhängige Akkreditierungsstelle überprüft und akkreditiert eine ebenso unabhängige Zertifizierungsstelle. Diese beauftragt unabhängige Prüfer. Kurz, wer akkreditiert, der zertifiziert nicht, wer zertifiziert, bietet keine Weiterbildung an!

    Das BSI hingegen tritt als weisungsgebundene Behörde als Akkreditierungs- und als Zertifizierungsstelle auf. Eine Überprüfung der Verfahren und der Organisation des BSI durch unabhängige Dritte erfolgt nach meinem Kenntnisstand nicht. Darüber hinaus tritt das BSI auch noch als Bildungsdienstleister für die Auditoren auf. Ein Normierungs- und Zertifizierungsverfahren mit hohem Reifegrad sieht anders aus.

    Comment by Bernd Donabauer — 12.03, 2012 @ 16:20

  46. Ich bin doch nicht wahnsinnig und nutze De-Mail. Warum wäre ich in meinen Augen wahnsinnig, es zu nutzen?
    Ich soll als Nutzer dafür einen monatlichen Betrag bezahlen, damit eine andere Person das Problem des Zugangsbeweises bei E-Mails lösen kann und das auch noch zu für mich extrem nachteiligen Bedinungungen (Zugangsfiktion…). Das zu tun ist schon etwas, das man bei halbwegs klarem Verstand nicht tun sollte.
    Was kriege ich dafür?
    -Vielleicht kann ich irgendwann mal relativ seltene Behördengänge ersetzen. Großartig, das sollte eigentlich mit dem ePA auch funktionieren (den ich auch ablehne, aber aus anderen Gründen).
    -Ich kann „elektronische Einschreiben“ verschicken. Theoretisch, praktisch eher nicht, weil vertrauenswürdige Anbieter in der Regel auch bei normalen E-Mails antworten und weniger vertrauenswürdige wohl kaum eine De-Mail Adresse haben werden (s.o.). Die sind vielleicht nicht vertrauenswürdig, in der Regel aber nicht wahnsinnig.
    -Anders als bei PGP kann zumindest eine dafür zuständige Stelle die Mails mitlesen, jedenfalls wenn die Ver- und Entschlüsselung nicht auf meinem Rechner und auf dem des Empfängers stattfindet, sondern im Netz durch den Anbieter. Der Sinn einer Verschlüsselung ist schließlich, dass niemand mitlesen kann. Damit ist die Verschlüsselung letztlich nur interessant für den Kommunikationsweg zwischen den drei De-Mail Anbietern, und selbst da nicht unbedingt, es könnte ja jemand eine man-in-the-middle Attacke starten, wenn es sich um ansonsten ungesicherte öffentliche Netze handelt…

    Comment by nutella — 13.03, 2012 @ 14:06

  47. Frau Wrede lässt ausser Acht, dass gerade (oder ausschliesslich?) technikaffine Personen die sogenannten pragmatischen Gesichtspunkte als den Schall, den Rauch und den Wolf im Schafspelz (im negativen Sinne) erkennen und entlarven.

    Comment by heinz_46 — 15.03, 2012 @ 20:41

  48. Naja, die de-mail ist und bleibt nonsense und wenn ich schon regelmäßig mein Postfach lesen muss, dann sollte eine Mail erst als tatsächlich zugestellt gelten, wenn sie gelesen wird und nicht wenn sie im Postfach landet…also ich persönlich bleib bei meinem Freemailer, ich brauche so einen quark nicht, ich schreibe Briefe oder Freemail gott bewahre die kostenpflichtige E-Mail

    Comment by Freemail Nobbi — 23.05, 2013 @ 00:04

  49. Der Beitrag liest sich als Werbemantra mit inhaltlichen Fehlern.

    – Heute kam ein Anfruf von 1und1: Sichern sich heute ihre Domain, hier ist bald die Hölle los! –

    Es wird sich nicht mit den Alternativen auseinander gesetzt. Der Titel suggeriert eine kritische Betrachtung.

    Ein paar Beispiele:

    Authentizität & Verschlüsselung:
    – Authentizität lässt sich mit den bestehenden Techniken (PGP oder S/Mime) bestens realisieren. Dafür müssen auch öffentlichen Schlüssel ausgetauscht oder angefordert werden. Warum nicht automatisch ein Schlüsselpaar mit dem ePerso zur Verfügung gestellt wird, ist mir bis heute schleierhaft.
    – Für die Ende-Zu-Ende Verschlüsselung kann ebenfalls auf PGP oder S/Mime zurückgriffen werden.
    – De-Mail suggeriert mir eine komplett neue Infrastruktur.

    Kosten:
    – Kein Mensch redet hier über die tatsächlichen Kosten sondern schmeißt mit „XX/Cent“ Werbesprüchen um sich. Die Einrichtung einer „neuen“ (sinnfreien) Infrastruktur muss auch bezahlt werden. Ganz zu schweigen die Dienstleistungsstunden, die z.B. meine Kunden berappen müssen. Ich warte nur auf den Anruf, wenn es heißt. „meine De-Mail ist nicht rausgegangen.“ Meine Antwort wird sein: „Bevor ich eine halbe Stunde berechne, schreiben Sie doch einen Brief!“ Der rechtliche Status eine De-Mail ist von Gerichten noch nicht verifiziert worden. Wie sieht hier die Beweislast aus? Beim Einschreiben habe ich eine Quittung!

    Sonstiges:
    – Werfen Sie nicht PGP und Winzip in einen Topf. Sie machen sich damit wirklich unglaubwürdig.

    Fazit:
    Ein gelungener Artikel meine Meinung über De-Mail zu fassen. Finger weg. Noch ein Tod Projekt braucht die Nation nun wirklich nicht.

    Ach ja, noch ein Grund De-Mail nicht einzuführen:
    – Meine behördlichen Dinge (halbes Dutzend wenn überhaupt im Jahr) regle ich normalerweise persönlich mit dem Sachbearbeiter im Rathaus.

    Für wen ist der ganze Kram also?

    Grüße aus dem Norden.

    Comment by dr.nemi — 22.10, 2013 @ 22:07

  50. Wenn man in diesen Zeiten überhaupt etwas gelernt hat, dann ist es keinen Versprechungen und schon gar keinen Zusicherungen von Sicherheiten zu glauben. In diesem für mich entscheidenden Punkt habe ich noch kein Vertrauen in de-mail und bin deshalb auch nicht bereit nur 1 Cent zu bezahlen. Die Vorteile und der eigentliche Grund warum es das Web überhaupt gibt ist die Tatsache, dass die Daten-Wege nicht wirklich unterbrochen werden können und insofern auch kein Einfluss darauf genommen werden kann, auf welchem Wege letztlich eine Mail an den Empfänger kommt. Und auf solchen Wegen, ob über Glasfasernetze oder per Satellitenfunk, ist – wie wir von den Amis und IKEA gelernt haben – , Alles möglich.
    Zeigt mir einen sicheren Weg, meinethalben als eigenes Net im Web, auf das kein externer Zugriff möglich ist, dann bin ich auch bei de-mail dabei.
    Munteres Schaffen Ihr Affinen!

    Comment by Rainer — 11.04, 2014 @ 14:24

  51. Heute kam schon der x-te Anruf von 1&1 – sichern Sie sich Ihre Adresse. „Hier ist seit dem 30.6. sooo ein Ansturm auf die Adressen.“
    Ich habe dem netten Menschen gesagt, wenn jemand unter falscher Flagge mir/uns Schaden zufügen sollte, stehen unsere Anwälte bereit :-) Soll ich Geld für die Registrierung investieren, um einem möglichen Missbrauch vorzubeugen? Wohl kaum. Dann müsste ich mir auch alle meine Domains mit allen verfügbaren Endungen sichern… Hosenträger, Gürtel und Helm. Ich habe gebeten, mich nicht nochmal anzurufen.

    Comment by Rolf — 23.07, 2014 @ 16:42

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.