Telekom und Stadt werben für ihr gemeinsames Projekt De-Mail City. Weitere Kunden sind bereits als Partner mit im Boot. Die Dresdner Grünen haben vor Sicherheitslücken gewarnt. Was ist dran an der Kritik? menschen-in-dresden.de hat sich darüber mit dem Wissenschaftler Stefan Köpsell von der Fakultät Informatik der TU Dresden unterhalten. Er arbeitet am Lehrstuhl für Datenschutz und Datensicherheit.
Können Sie bitte erklären, was bei der Verwendung von De-Mail unter dem Aspekt der Datensicherheit geschieht?
Nehmen wir Alice. Sie schreibt an ihrem Rechner eine Mail an Bob und drückt auf Senden. Die Leitung zu ihrem De-Mail-Provider ist gesichert. Da gibt es keinen Zugriff für Cyberkriminelle oder Behörden, weil der Transportweg der Daten verschlüsselt ist. Beim De-Mail-Provider selbst ist die Mail dann wieder ungeschützt. Auch, wenn die Mail von dort zu einem weiteren De-Mail-Provider, zum Beispiel Gmx, weitergesendet wird, ist der Transport wieder sicher. Bei Gmx selbst kann dann wieder jeder, der es will, in die Mail reinschauen. Auf dem Weg zu Bob wird die Übertragung wieder verschlüsselt. Auf dem Rechner von Bob liegt dann die unverschlüsselte Mail.
Das heißt, in den Rechenzentren der De-Mail-Anbieter liegen die Daten unverschlüsselt?
Genau. Die Begründung, die dafür angeführt wird, lautet, dass man die Mails auf Viren und andere Schadsoftware untersuchen müsse, bevor sie an den Empfänger geht. Das ist dann auch das Einfallstor – zum Beispiel für Geheimdienste. Viele Dienstanbieter kooperieren mit den staatlichen Ermittlungsbehörden.
Warum werden die Daten nicht auf den Rechnern von Absender und Empfänger verschlüsselt?
Das wäre die sichere Variante, die Ende- zu-Ende-Verschlüsselung (E2EE – End to End Encryption). Aber mein Eindruck ist, dass die vollständig verschlüsselte Kommunikation nicht erwünscht ist. Dafür werden meist Sicherheitsgründe zur Erklärung angeführt.
Eine richterlicher Verfügung wie beim Telefonabhören funktioniert hier nicht?
Nein. Wenn verschlüsselt ist, kommt da keiner ran. Dann müssten Alice oder Bob ihre privaten Sicherheitsschlüssel herausgeben.
Wäre es bessern, wenn der Gesetzgeber die Ende-zu-Ende-Verschlüsselung vorschreibt?
Einen entsprechenden Vorstoß hat es aus dem Verbraucherschutzministerium bereits gegeben. Aber der Bundesinnenminister hat gebremst und gesagt, man wolle das nicht vorschreiben.
Ist die Entwicklung einer breitentauglichen Ende-zu-Ende-Verschlüsselung so kompliziert?
Die Lösungen, die auf dem Markt sind, sind weit entfernt von einer kundenfreundlichen Anwendung. Es ist aber weder ein technisches noch ein finanzielles Problem, ein entsprechendes Verschlüsselungsverfahren zu entwickeln. Ich hoffe, dass der Druck der Verbraucher so groß wird, dass spätestens bei De-Mail 2.0 die Ende-zu-Ende-Verschlüsselung zum Standard wird.
Ist Ende-zu-Ende-Verschlüsselung auch Voraussetzung für den Erfolg von e-Governement-Projekten?
Ohne eine entsprechende Verschlüsselung wird sich e-Governement nicht durchsetzen. Das ist aus meiner Sicht eine elementare Voraussetzung.
Sehen Sie beim De-Mail-Verfahren noch andere Lücken?
Geworben wird zum Beispiel damit, dass Mails, die von Behörden mit De-Mail verschickt werden, als zugestellt gelten. Was mache ich aber, wenn ich im Urlaub bin oder im Krankenhaus liege. Soweit ich weiß, gibt es keine Delegierungsmöglichkeit oder auch keine Möglichkeit, einen Abwesenheitsassistenten einzurichten. Im Internet-Café am Urlaubsort sollte man passwortgeschützte Anwendungen meiden. Insgesamt halten sich die Vorteile von De-Mail derzeit deutlich in Grenzen.
Vielen Dank für das Gespräch.
Das könnte Sie auch interessieren …
Mitmachaktionen zum Thema Balance und Geschicklichkeit standen im Mittelpunkt des Sport- und Familientages der Dresdner >>>
Die neue Brücke über den Nesselgrundweg in Klotzsche soll Ende März in Betrieb gehen. Darum wird die Eisenbahnstrecke >>>
Zwei neue Zimmer für Eltern krebskranker Kinder hat der Verein Sonnenstrahl in der gleichnamigen Villa eingerichtet. >>>
„Stiehl wenig – und du kommst ins Gefängnis. Stiehl viel – und du machst Karriere.“ Das ist das Patentrezept des Paten. Doch >>>