De-Mail <-> GnuPG

De-Mail soll der „neue“ E-Maildienst für Deutschland heißen. Sicherheit soll durch Verschlüsselung und „kontrollierte“ Zuweisung der Adressen kommen. Um Sich zu registrieren muss man seine Identität bei einer Behörde bestätigen, dann bekommt man eine De-Mailadresse im Format vorname.nachname@anbieter.de, falls der eigentliche Name schon Vergeben ist werden Zahlen angehängt -> max.mustermann2@anbieter zum Beispiel.

Die E-Mails werden auf dem Server verschlüsselt gespeichert und auch nur verschlüsselt übermittelt. Es gibt (bei Bedarf) Empfangsbestätigungen bei der Zustellung und Lesebestätigungen beim lesen der De-Mail. Diese Features kosten allerdings Geld, untypisch für E-Mails. Noch dazu sind die Server „inkompatibel“ zu normalen Mailservern, man kann also nur von und zu De-Mailpostfächern Nachrichten schicken, aber nicht an andere Anbieter (z.B. im Ausland). Im moment Bieten nur GMX, Web.de und die Telekom dieses Feature an, offiziell gestartet ist es noch nicht, da das zugrundeliegende  Gesetz noch nicht verabschiedet ist.

Eine Alternative mit ähnlichem Ansatz ist der E-Postbrief der Deutschen Post, der Funktionsumfang ist vergleichbar und das System ist genauso inkompatibel zu normalen E-Mails wie zu De-Mail.

Beide Systeme sollen freiwillig sein, De-Mail soll (unter Anderem) zur gesicherten Kommunikation mit Behörden dienen und damit viele Behördengänge unnötig machen.

Besitzt man allerdings ein De-Mail Postfach und gibt man die Adresse an Behörden, ist man verpflichtet sein Postfach regelmäßig zu Prüfen.

Die Hauptfeatures sind einerseits die Verschlüsselung der Nachrichten, andererseits die Authentifizierung der Nutzer. Diese Features sind an Sich nichts neues.

Die größte Schwachstelle ist die Verschlüsselung der Nachricht, weil diese bei der Zustellung kurz entschlüsselt und neu verschlüsselt wird. Falls eine Person sich also Zugang zum Server verschafft, könnte er diese Nachrichten lesen oder gar Verändern. Da die Servern aber „staatlich geprüften Sicherheitsstandards entsprechen“ soll dies nicht möglich sein und man sich keine Gedanken machen, dass das System unsicher wäre ( via Netzpolitik), ich selbst habe daran allerdings meine Zweifel und würde mich nicht Wundern wenn sich das System doch als unsicher herausstellt.

Ein völlig anderer Ansatz ist dagegen schon seit einigen Jahren auf dem Markt und genießt seitdem leider ein Nischendasein, die E-Mail Verschlüsselung mit PGP/GnuPG oder S/MIME. Beide Verfahren sind end-to-end Verschlüsselungen, Nachrichten werden also beim Absender verschlüsselt (im E-Mailclient) und erst beim Empfänger wieder Entschlüsselt. Der Weg dazwischen ist nahezu egal, da nicht alle Informationen zur Entschlüsselung nicht mitgeliefert werden (Passwort bzw Schlüssel). GnuPG ist eine unsymmetrische Verschlüsselung und besitzt einen Privaten und einen Öffentlichen Schlüssel. Nachrichten können von jedem mit dem öffentlichen Schlüssel verschlüsselt werden, entschlüsselt aber nur mit dem Privaten. Auf Basis des Web-of-Trust wird die Echtheit der Personen und Schlüssel sichergestellt. Wenn man einer Person Vertraut kann man Ihren Schlüssel unterschreiben, wodurch dritte das Vertrauen „sehen“, sie sehen wer die Schlüssel unterschrieben hat.

S/MIME funktioniert dagegen mit X.509 Zertifikaten (wie oft auch VPN Tunnel) welche von „zentralen“ Stellen herausgegeben werden. Von den Ausgabestellen wird die Echtheit des Empfängers sichergestellt. Die eigentliche Verschlüsselung ist auch end-to-end, die E-Mail wird also nicht auf ihrem Weg entschlüsselt und wieder neu verschlüsselt.

Beide Verfahren könnte man ebenso wie De-Mail einsetzen, Behörden könnten Zertifikate ausgeben (oder GnuPG Schlüssel mit ihrem Schlüssel unterschreiben und damit die Echtheit bestätigen) und damit normale E-Mails verschlüsseln. Dies würde mit dem bisher Eingesetzten E-Mailsystem ohne Probleme sogar Weltweit funktionieren und noch dazu Geld sparen. Dafür hätte der Staat keine so ausgedehnte Kontrolle über das System wie bei De-Mail.

Meine Meinung zu dem Thema: Ich finde De-Mail überflüssig, mit den Bestehenden Diensten könnte man vergleichbare Sicherheit (eventuell sogar noch höhere) auch abbilden, nur hat dann der Staat keine (so große) Kontrolle darüber, ob die E-Mail auch ankommt und kann dadurch nicht so viel Druck machen, wenn man sie einfach Ignoriert. Die Verpflichtungen die mit dem Dienst kommen aber auch, dass es extra Geld kostet lassen mich davon Abstand nehmen. Ich habe gerne selbst die Kontrolle darüber wem und wo ich meine Daten anvertraue, einer im Auftrag des Staates arbeitenden Stelle möchte ich sie ganz bestimmt nicht geben, da Fahr ich lieber doch die 2km zum Amt. Das kurzfristige Entschlüsseln wird mit der Abwehr von Viren und Spam begründet, wenn ich aber so etwas lese bekommt das ganze einen faden Beigeschmack. Durch die doch immernoch lauten Rufe nach Internetsperren gehe ich davon aus, dass früher oder später auch De-Mails gefiltert werden (nach was auch immer). Ich bleibe bei eigenen Servern und GnuPG.

Wenn jemand Fehler findet (z.B. inhaltliche), Ergänzungen hat, oder sich einfach über etwas Beschweren will  soll sich bitte Melden (per Kommentar oder Mail) und nicht direkt eine Abmahnung schicken.