Relevant Music

De-Mail und die qualifizierte elektronische Signatur

De-MailNeben mehr oder weniger allgemein bekannten Projekten wie der Elektronischen Gesundheitskarte, die große Bedenken bezüglich des Datenschutzes und der Kostenerwartungen von vielen Seiten hervorgerufen hat, drängt der Bund auf die Einführung einer Infrastruktur für die rechtsverbindliche Kommunikation zwischen Bürgern und Behörden (sowie jeweils den Bürgern und Behörden untereinander).

Die De-Post, deren Name auf den ersten Hör so klingt, als wolle man die bisherige E-Mail-Entwicklung rückgängig machen, möge laut den Initiatoren “so einfach wie E-Mail, so sicher wie Papierpost” sein. Doch erfüllt De-Mail diese Ziele, ist es überhaupt ratsam, sich nur auf diese Ziele zu beschränken? Welchen Akteuren muss bei der Kommunikation vertraut werden? Alternativen?

Was ist das?

Grundidee des De-Mail-Dienstes sind staatlich akkreditierte Provider, die registrierten Bürgern gegen ein Entgelt die Nutzung einer E-Mail-Adresse der Form “hans-jochen.meier@provider.de-mail.de” über ihr Portal erlauben. Dabei ist die Verbindung von Nutzern zu deren Portal abgesichert (möglicherweise kommen clientseitige Zertifikate zum Einsatz), Vertraulichkeit und Integrität bei der Kommunikation mit den Portalen sind daher gewährleistet. Bei der Übermittlung von Nachrichten zwischen den Portalen kommen ebenfalls Verschlüsselungsmechanismen und Zertifikatshierarchien zum Einsatz, was die Vertraulichkeit und Integrität der Kommunikation unter den Portalen ebenfalls gewährleisten soll. Neben den Standard-Sicherheitszielen soll auch die garantierte Zustellbarkeit möglich sein. Der Benutzer erhält (evtl. auf Wunsch) nach dem Absenden einer Mail eine unterschriebene Sendebestätigung mit Beweiskraft.

Eine weiteres wichtiges Feature ist der Dokumentensafe, der es ermöglicht, Dokumente sicher vor Verlust und Schnüffelei durch Dritte abzulegen, zusätzlich können ausgewählten Personen z.B. lesender Zugriff auf bestimmte Dokumente gewährt werden. Da Festplattenschäden gar nicht so selten sind und CD-Rohlinge schon nach einigen Jahren nur noch komische Geräusche im Laufwerk von sich geben können, kann hiermit dem Verlust wichtiger Dokumente auf der heimischen Platte vorgebeugt werden.

Die vorgestellte Infrastruktur lässt eine vertrauenswürdige End-to-End-Sicherheit missen. Ohne diese Sicherheit ist es den Providern möglich, die Kommunikation abzuhören und zu verändern. Die Funktionalitätsspezifikation des BSI ist hier paradox: End-to-End-Verschlüsselung wird dem Benutzer als Option “im Postfach- und Versanddienst der Bürgerportale” angeboten. Doch End-to-End-Sicherheit beginnt mit der Software auf dem Rechner des Kunden, und nicht im Bürgerportal. Ob die dem Bürger ausgestellten Zertifikate sich für eine separate qualifizierte End-to-End-Verschlüsselungen eignen, ist für mich nicht ersichtlich.

Offensichtlich will man sich vorbehalten, Kriminellen das Handwerk nicht sicherer zu machen (z.B. Steuerhinterziehung, Betrugsdelikte) als es bei der “physischen” Post ist. Diese werden dann aber nicht gerade die De-Mail, sondern werden eine separate Infrastruktur für die Kommunikation nutzen, möglicherweise wiederum auf Basis der De-Mail-Zertifikate.

Bewerbung der staatlichen Lösung

Der Beauftragte der Bundesregierung für Informationstechnik behauptet auf seiner Website, mit den aktuellen E-Mail-Standards sei keine sichere Kommunikation möglich, ohne jedoch auf in Fachkreisen und in der Wirtschaft bewährte, wegen des bisherigen Zertifikatschaos und schlechter Benutzerfreundlichkeit allerdings in der Bevölkerung nur bruchteilhaft genutzte Fähigkeiten von PGP und S/MIME zur End-to-End-Verschlüsselung hinzuweisen. Auch wenn die Bundesregierung diese Methoden für weniger sicher hält als De-Mail, so wäre eine Erwähnung an den entsprechenden Stellen angebracht. Alternativen kommen nicht zur Sprache, wohl um die staatliche Lösung beliebt zu machen und zu bewerben.

Datenschutzskandale, die in diesen Tagen in den Nachrichten zu lesen sind, lassen das Vertrauen in bekannte Telekommunikationsunternehmen schwinden, die wahrscheinlich als Bürgerplattform in der De-Mail-Infrastruktur fungieren könnten und denen die Bürger ihr Vertrauen schenken müssten.

Warum keine qualifizierte Signatur als erster Schritt?

Eine weniger komplexe und damit günstigere Alternative, bzw. ein erster Schritt, wäre der Ausbau der qualifizierten elektronischen Signatur, die der Bürger in freiwilligem Umfang mit gängigen Standards nutzen kann. So erhält er beim Einwohnermeldeamt (evtl. gegen eine geringe einmalige Gebühr) die Zertifizierung seines Schlüssels auf einer Smartcard oder seinem elektronischen Personalausweis, den er zur Kommunikation mit Behörden oder zum Unterschreiben von Verträgen nutzen kann. Die Smartcard (mit PIN) garantiert, dass im äußersten Fall ein unsicherer, infizierter Computer eines Benutzers die Signatur nur missbrauchen kann, während die Smartcard im Lesegerät steckt.

In einem Telefonbuch (natürlich einem elektronischen, wer tippt schon gerne base64 ab :D) würden dann auch die öffentlichen Zertifikate hinterlegt. Eine Person kann dann das Zertifikat seines Empfängers suchen und eine Nachricht mit dem öffentlichen Schlüssels des Zertifikats verschlüsseln. Er hätte dann die Garantie, dass nur derjenige Empfänger den Text lesen kann, der mit Adresse, Geburtsort und Nasenlochdurchmesser im Zertifikat steht.

Neben dem kaum abzuwendenden Problem mit kompromittierten Benutzerrechnern bliebe als Sicherheitsproblem nur noch das Vertrauen in die staatlichen Zertifizierungsstellen. Ein Man-in-the-Middle-Angriff bei der Kommunikation wäre hier möglich, aber dieser ist praktisch immer schwierig zu bewerkstelligen. Wer dem Staat nicht vertraut, der kann seine Zertifikate immer noch direkt austauschen oder seine eigene PKI nutzen. Doch das Hauptziel, die Rechtsverbindlichkeit von Dokumenten, wäre auch ohne das Vertrauen in den Staat weitestgehend erfüllt, denn der Staat kann eine Signatur einer seiner Zertifizierungsstellen, die ja immer vielen Bürgern bekannt ist, vor Gericht nur schwer abstreiten. Man bedenke, dass handliche Unterschriften da wohl leichter gefälscht werden können.

Ist die qualifizierte elektronische Signatur auf die Beine gestellt, lässt sich über weitere Technologien wie einen Dokumentensafe nachdenken.

Nachvollziehbarkeit des “Users”

Den schönen Begriff Nachvollziehbarkeit benutzte schon das Bundesverfassungsgericht kürzlich beim Verbot von Wahlcomputern. Bei allen theoretischen Sicherheitsüberlegungen bleibt die Nachvollziehbarkeit des einfachen Bürgers für den Vorgang auf der Strecke. So könnte ein “Computermensch” bei seinem wohlhabenden Nachbarn, bei dem er regelmäßig den Rechner repariert, das Mailprogramm manipulieren und sich bei der nächsten Behördenabwicklung ins Grundbuch der Villa dieses gutgläubigen Menschen eintragen lassen (ja, ich weiß, Notare kommen hier auch noch zum Einsatz, es ist nur ein Beispiel), und jener würde wahrscheinlich dann immer noch nicht verstanden haben, wie das genau passieren konnte. Auch Open Source hilft leider nur Experten sich vor Manipulation zu schützen, da der kleine Mann die Software nur installiert und laufen lässt und nicht etwa reviewt und kompiliert.

Letztendlich sind aber auch Papierunterschriften nicht hundertprozentig nachvollziehbar. Wer hat schon einmal getestet, wie leicht sich Unterschriften so fälschen lassen, dass zumindest ein Laie Original nicht von Fälschung unterscheiden kann? Die wenigsten Bundesbürger sind sich des Fälschungsrisikos bewusst.

Relevant Music © 2003-2006 Leo Nobach. Blog proudly powered by WordPress