Sicherheit von De-Mail nur ein schlechter Witz
Am Mittwoch wird im Innenausschuß des Deutschen Bundestages eine öffentliche Anhörung von Sachverständigen zum Thema "Elektronische Verwaltung" stattfinden. Der Chaos Computer Club (CCC) veröffentlicht seine Stellungnahme zu dem vorliegenden Gesetzesentwurf, die begründet, warum er abzulehnen ist.
Vor bereits zwei Jahren hatten der CCC und weitere Sachverständige der De-Mail ein katastrophales Zeugnis ausgestellt. Die Kritiker fanden zwar in der Koalition kein Gehör, jedoch mittelbar: Die Bevölkerung verweigerte dem Dienst bisher konsequent die Nutzung, und auch die Bundesregierung ist zu der Einsicht gelangt, daß De-Mail den eigenen Anforderungen für den Schutz sensibler Daten nicht genügt.
Mit dem "Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften" will die Bundesregierung beiden Umständen nun Abhilfe verschaffen. Für die naheliegende Lösung, das Sicherheitsniveau der De-Mail anzuheben, konnte man sich jedoch nicht erwärmen. Stattdessen soll nun die Verwaltungsgesetzgebung durch Ausnahmeregelungen für De-Mail aufgeweicht werden, um eine rechtliche Basis für eine allgemeine Verwendung im Bereich des E-Governments zu ermöglichen. Ziel des Gesetzes ist offenbar, durch die Vermeidung echter Ende-zu-Ende-Verschlüsselung eine Abhör-Hintertür für Polizei und Geheimdienste zu eröffnen – auch zum Einschleusen von staatlichen Trojanern auf Bürgercomputer. Der CCC-Aprilscherz über den Bundestrojaner in der Elster-Steuererklärung wird nun zur Realität.
"Es kann nur als Witz gemeint sein, daß De-Mail trotz lange bekannter Schwächen per Gesetz nun zum Standard für Behördenkommunikation erhoben werden soll. Damit wird sehenden Auges ein völlig lächerliches Sicherheitsniveau festgeschrieben, das in der Industrie und bei Berufsgeheimnisträgern niemals akzeptabel wäre. Da kann man seine Steuererklärung gleich auf einer Postkarte abgeben. Und obendrein bekommt man möglicherweise noch einen Staatstrojaner als Antwort zurück", sagte Frank Rieger, Sprecher des CCC.
In der momentanen De-Mail-Spezifikation werden die Server zudem zu attraktiven Angriffszielen. Wenn nun die Kommunikation der gesamten Verwaltung des Bundes über diese wenigen Server abgewickelt werden soll – obendrein mit einer Verschlüsselung, die ihren Namen nicht verdient – ist der Daten-GAU vorprogrammiert. Es ist nur eine Frage der Zeit, bis KFZ-Anmeldungen, Steuererklärungen und private De-Mails in die Hände von kriminellen Datenhehlern abwandern. Spätestens dann wird die Bundesregierung sich der Verantwortung stellen und das Verfehlen von seit Jahrzehnten existierenden Sicherheitsstandards rechtfertigen müssen.
Der CCC rät dazu, das gescheiterte Projekt De-Mail ersatzlos zu streichen und sich an existierenden Alternativen wie etwa OpenPGP, GNU Privacy Guard oder S/MIME zu orientieren. Der untaugliche Versuch, De-Mail durch Aufhebung gesetzlich gewährleisteter Vertraulichkeitsstandards auf Kosten der Bürger zu mehr Relevanz zu verhelfen, sorgt weder für Vertrauen in die Behördenkommunikation noch für mehr Sicherheit.
(siehe auch unsere Presseerklärung)