Updates siehe unten!
Die Post hat sich auf Gutjahr.biz endlich zu Wort gemeldet und ein paar Dinge geklärt. Auch ich habe persönlich ein kleines Antwort-E-Mail erhalten (siehe unten). Da es aber immer noch heiß her geht um die Frage wie sicher und sinnvoll der E-Postbrief ist, habe ich versucht eine neutrale Aufstellung aller Punkt zu schreiben. Eine einfache Pro&Kontra Liste mit weniger Platz für Meinungen und Interpretationen schien mir hierfür am geeignetsten. Auch aus dem Grund, da ich selber noch nicht weiss, ob ich das Produkt überhaupt nutzen werden. Zu viele Punkte sind mir noch unklar und zu viele technische Details wurde bis jetzt auch noch gar nicht richtig erklärt. Auch wurde in letzter Zeit das Bashing unerträglich, darum hier einmal alle Punkte, die ich durch verschiedene Blogs und eigene Recherchen erfahren habe, sauber gegenübergestellt. Wer will darf sie gerne in den Kommentaren ergänzen. Ich bin mir durchaus bewusst, dass es eine 100% neutrale Sichtweise nie geben kann. Einen Versuch möchte ich trotz wagen:
Pro | Kontra |
Anmeldung: | |
Damit alle identifizierbar sind einmal mit kompletter Adresse und Post-ID notwendig | Laut Stiftung Warentest zu komplizierter Ablauf (mehrere Schritte inkl. Post-ID) |
Anmeldung mit Namen | |
Um rechtssicher zu sein notwendig, da der richtige Name bekannt sein muss | Alle Kommunikation kann zurückverfolgt werden, da richtiger Name bekannt |
Hauseigene Verschlüsselung | |
Auf Transportwegen verschlüsselt (Laut zdnet.de ein TSL Verschlüsselung) |
|
Laut Post auch auf Server durchgängig verschlüsselt. Kein Admin kann lesen. | Mögliche Angriffsstelle für Hacker und Lauschangriffe der Regierung (wie bei allen E-Mails/Servern laut TKG) |
eigene Verschlüsselung (optional) | |
Zertifikat kann im Postfach angefordert werden | Aus Auskunfts-E-Mail nicht ersichtlich ob PGP oder nur einfache Verschlüsselung (siehe unten) |
Laut Post kostenlos | Zertifikat muss von SIGNTRUST.de sein (laut Post Auskunft aber kostenlos) |
Abrufpflicht (Posteingang) | |
Sender weiss, dass Nachricht angekommen ist | Zwang für den Kunden (wie Haus-Briefkasten?) |
Auch im Urlaub abrufbar (Web) | Laut AGB muss man auch im Urlaub abrufen |
Auch der Haus-Briefkasten muss geleert werden (Gleichstand?) | Login darf laut AGB nicht weitergegeben werden |
Urlaub schützt weder bei E-Post noch bei Haus-Briefkasten vor Fristen (Gleichstand?) | |
Laut Post doch nur eine „unverbindliche Aufforderung“. Also doch halb so schlimm? | |
Kostenlose SMS auch im Urlaub (Roaming) | Handyempfang + Roaming notwendig |
Mitleserecht durch den Staat | |
Strafverfolgung möglich auch um andere Nutzer zu schützen (z.B. SPAM und Betrug)Laut Post sehr enge Grenze wer darf und wer nicht. | Angst vor Abhörstaat, da kein Richterbeschluss notwendig wie bei Briefgeheimnis. E-Postbrief unterliegt TKG und TKÜV. Gegenzitat Post: „Hierzu ist immer ein gerichtlicher Beschluss notwendig. Das gilt für Briefe genauso wie für E-Mails oder E-POSTBRIEFe.“ |
Man darf keine Nachrichten verschicken die der Post bzw. dem Ruf schaden | |
Vermutlich ein Papiertiger ohne greifbaren Inhalt. | Zensur??? |
Wer kontrolliert das? Liest Post mit? E-Postbriefe sind jedoch durchgängig verschlüsselt. | |
Briefgeheimnis | |
Zitat Post: Die jeweiligen Gesetze setzen sehr enge Grenzen und es ist klar geregelt, welche staatliche Stellen befugt sind und unter welchen Voraussetzungen sie dies tun können. Keinesfalls kann bei einem Anfangsverdacht jede Ermittlungsbehörde das Brief- oder Telekommunikationsgeheimnis brechen. Hierzu ist immer ein gerichtlicher Beschluss notwendig. Das gilt für Briefe genauso wie für E-Mails oder E-POSTBRIEFe.“ | Zitat Post: „Der E-POSTBRIEF als elektronisches Medium unterliegt laut Gesetz den Bestimmungen des TKG und der TKÜV.“Nach Meinung der Juristen ist der E-Postbrief rechtlich damit genauso gut oder schlecht geschützt wie eine normale E-Mail. Jetzt darf jeder User selber entscheiden ob ihm das gefällt oder nicht. |
Adressverzeichnis (Eintrag freiwillig) | |
Man findet andere Teilnehmer | Firmen, welche die Hausanschrift des Kunden bereits besitzen können E-Post Adresse erfragen/abgleichen. (Unangeforderte Mails sind SPAM und damit strafbar. Vielleicht fragen die Firmen dann kurz an, ob Kommunikation über E-Post erfolgen kann. Bleibt abzuwarten) |
SPAM ist illegal und kostet Geld (kann dadurch vielleicht verhindert werden) |
|
Newsletter o.ä. sind freiwillig und werden von der Dt. Post und nicht von Dritten verschickt. | |
Backup Speicherung | |
3 Monate Backup, damit Kunde nach Kündigung seine Daten noch selber exportieren kann. Manuell gelöschte Briefe werden nach wenigen Minuten auch aus dem Backup gelöscht und sind laut Post damit komplett gelöscht. |
Brief werden für 3 Monate gespeichert (Laut Post nur bei Kündigung) |
Innerhalb von 3 Monaten kann Kündigung Rückgängig gemacht werden und alle Daten wiederhergestellt werden. | Wird die Dienstleistung „Backup“ überhaupt angeboten für den Kunden oder speichert Post nur sich sich? Können einzelne Mails wiederhergestellt werden? |
Argument: Auch beim Absender (Bank, Firma etc.) wird eine Kopie des Briefs gespeichert | Gegenargument: Es ist ein Unterschied ob der Absender eine Kopie hat oder der „Postbote“ |
Argument: Daten/Korrespondenz bei Behörden (Finanzamt etc.) werde sowieso gespeichert. Auch bei normalem Brief. | Gegenargument: Speicherung eventuell auch von privaten Arzt-Daten, Versicherungen und anderen sensiblen Daten. |
Preis | |
Verhindert hoffentlich SPAM | Für viele Kunde zu teuer (Ansichtssache?) |
Kostenlose SMS bei Eingang | (noch?) gleicher Preis wie richtiger Brief |
Günstiger als Brief wenn Papier, Tinte und Fahrkosten mit eingerechnet werden. | Dürfte bei privat eher zu vernachlässigen sein |
Handynummer Registrierung | |
Handy TAN für Sicherheit | Noch mehr Daten werden gespeichert |
Kostenlose SMS bei Eingang möglich | Wer kein Handy hat kann sich nicht anmelden |
Hybridbrief | |
Weniger Arbeit und weniger Kosten (Briefumschlag, zur Post fahren etc.) | Ist Datenschutz gegeben? Wer kann ihn beim ausdrucken lesen? Briefgeheimnis? |
Kann auch an Leute ohne E-Post geschickt werden (Oma, Opa etc.) | Preis bei grösserem Brief noch höher |
PDF ausdrucken/mitschicken | |
Fax: | |
Kostenlos senden und empfangen | Werden diese auch verschlüsselt abgelegt? |
Fax ausdrucken oder als PDF speichern | Rechtsgültig auch wenn nicht unterschrieben? Stichwort Handy kündigen o.ä. |
Externe E-Mailadressen einbinden: | |
Mit dem E-Postbrief Postfach gleich mehrere Accounts verwalten. | Es werden auch diese Daten gespeichert und können eventuell abgeglichen werden. |
Offene Fragen bleiben aber trotzdem:
Wenn ich einen individuell verschlüsselten Brief verschicke und der Empfänger entschlüsselt ihn auf dem Server, wird dann der E-Postbrief nicht doch im Klartext gespeichert? Ist somit eine individuelle Verschlüsselung sinnlos? Kann ich den Brief downloaden und auf dem (sicheren?) PC entschlüsseln?
Hier die Auskunft der Post per E-Mail:
Sie können das Zertifikat direkt in Ihrem persönlichen Portal bestellen
– Dieses wird nach ca. 1 Woche zugestellt. Kosten hierfür fallen nicht an
– Für die Versendung innerhalb des Portals fallen nur die üblichen Portogebühren an.
– Der Empfänger benötigt unter Umständen Ihren “Schlüssel”. Diesen müssen Sie Ihm entsprechend zusenden.
– Strafverfolgungsbehörden haben auf richterliche Anordnung Zugriff auf Daten, gemäss den gesetzlichen Vorschriften des Telekommunikationsgesetztes.Ihre Passwörter kennen nur Sie und werden niemandem zugänglich gemacht.
An die Technik-Asse: Wie ist das E-Mail hinsichtlich Verschlüsselung zu verstehen? Einfache Verschlüsselung? Kein PGP? Oder doch? Wie lest ihr das?
Wichtig: Ein Teil der Informationen stammen von anderen Blogs, auf die ich per Twitter oder Google gestossen bin. Die Links finden sich bereits in älteren Artikeln. Ich habe sowohl die Artikel wie auch die Kommentare zusammengemischt und mit eigenen Recherchen ergänzt. Nicht alles ist also direkt von mir.
Ausserdem erhalte ich kein Geld oder ähnliches hierfür und war immer bemüht auch die negativen Seiten zu erwähnen. Sollte ich etwas vergessen und falsch weitergegeben haben bitte ich um sachliche Korrektur. Danke
zusätzliche Quellenauswahl:
http://blog.talkabout.de
2ter Gutjahr Artikel – Der E-Postbrief: Post Scriptum
Update:
Auf der Pro Seite könnte man auch noch die Öffnungszeiten aufführen. (siehe http://blog.artundweise.de)Update II:
Aus dem Ausland könnte man Briefe in die Heimat senden, die dann auch wirklich ankommen. Auch Photos könnte man als “Farbbrief” verschicken und so eine Art Postkarte “vortäuschen”. Da alles in Deutschland verschickt wird, kommt die Postkarte und der Brief auch aus dem afrikanischen Busch innerhalb von 1-3 Tagen an und das sogar mit Photo. Quelle
Eigene Anmerkung: In diesem Fall wäre ein Smartphone-Zugang vielleicht ein Punkt (teures Roaming?). Aber erstmal sind andere Fragen wichtiger.
EDIT: Es scheint Probleme beim Ausdrucken von Bilder zu geben. Somit wie es aussieht doch keine Postkarten als Hybridbrief.
Update III:
Wie Frank Wallitzek auf Twitter berichtet sind beim Speichern und erneuten Aufrufen eines Entwurfsbriefs im Nachhinein und automatisch Farbdruck und C4-Umschlag aktiviert. Was natürlich extra kostet. Liebe Post: “Das ist doch echt nicht nötig.” (siehe auch Screenshot). Wurde aber bereits an die Technik weitergeleitet.Update IV: (2.8.2010)
Zustellung der Hybridbriefe vorerst nur Dienstag bis Samstag. Da Samstag und Sonntag nicht ausgedruckt wird, verzögert sich die Zustellung teilweise auf Dienstag. Änderungen bei hoher Kundenannahme möglich. Das ist definitiv nicht das “Gelbe vom Ei”. Hier sollte die Post stark nachbessern. Am Wochenende nicht drucken ist noch akzeptabel, aber Montag verteilen sollte schon sein. Die Geschäftswoche wartet nunmal nicht auf die Post. Quelle: http://bit.ly/aiDMgb
Es muss aber deutlich gesagt werden, dass es sich hierbei nur um den Hybridbrief handelt. Die rein digitale Form wird in keiner Weise angesprochen. Hier bleibt also alles beim “alten”. (siehe Rest des Artikels)
Wie ich in manchen Kommentaren gelesen habe, gibt es aber bereits jetzt schon Gebiete in Deutschland in denen Montags prinzipiell keine Privatpost verteilt wird. Vermutlich handelt es sich hierbei um ländliche Gebiete. (Netzpolitik.org unten in den Kommentaren #6 #11 #14). Wie der Tagesspiegel.de berichtet liefert die Post am Montag eh nicht mehr.Update V:
Die Wirtschaftswoche (WIWO) hat den E-Postbrief ebenfalls getestet um kam nicht wirklich zu einem positiven Urteil. Post verpatzt Start des E-BriefsUpdate VI:
Was passiert eigentlich, wenn ich wider erwartend doch eine SPAM-Mail bzw. Werbemail erhalte. Auch wenn es nur eine Anfrage zur digitalen Kontaktaufnahme ist? Kann ich dann kostenlos ablehnen bzw. eine kostenlosen Protestbrief zurückschreiben? Gibt es eine Möglichkeit mich aus dem Verteiler der jeweiligen Firma, in dem ich wegen illegaler SPAM eigentlich gar nicht sein dürfte, wieder zu löschen? Oder muss ich gleich eine Anzeige starten? Diese Frage gilt dann auch später für De-Mail.Update VII:
Kündigt man nach einiger Zeit den E-Postbrief und eine andere Person mit gleichem Namen erhält die Adresse zugeteilt, kann diese Person alle eingehenden Briefe lesen. Schreibt einem also der Anwalt nach der Kündigung einen E-Postbrief, kann ihn der neue Nutzer der Adresse lesen, da die Namen ja identisch sind. Es obliegt jedem Nutzer dafür zu sorgen, dass alle Kommunikationspartner von der Kündigung erfahren. (Quelle E-Postbrief Kundenservice)Update VIII:
Sollte man SPAM erhalten, muss man sich laut Twitter Kundenservice Auskunft an den Kundenservice wenden. Sprich man muss den Absender verpetzen ;-).Update XI:
Stiftung Warentest hat den Postbrief in real getestet: http://bit.ly/aM7IYD
Deutsche Post schreibt Antwort zum Test von Stiftung Warentest. http://bit.ly/bSLp9T
[Gegendarstellung muss auch sein]–> Neuer Artikel:E-Postbrief Pressekonferenz 2.0 – Die Post äussert sich zu Kritikpunkten. Die Post hat eine Web-Konferenz veranstaltet in der einige Punkte von diesem Artikel geklärt wurden. Unbedingt auch lesen. (interner Link)
Zweiter Account von Ralf Bachmann
–> Details: https://www.ralfbachmann.de/author/ralfbachmann/
>An die Technik-Asse: Wie ist das E-Mail hinsichtlich Verschlüsselung zu verstehen? >Einfache Verschlüsselung? Kein PGP? Oder doch? Wie lest ihr das?
Die alles entscheidende Frage bei der Schlüsselpaargenerierung (Public- und PrivatKey) ist die Art der Generierung. Wenn man als Kunde die Möglichkeit hat, das Schlüsselpaar selber (z. b. mit OpenSSL) zu generieren und lediglich den Zertifikatsrequest zum Signtrust-Trustcenter zu schicken, ist von der Sicherheit her alles ok. Der private Schlüssel (PrivatKey) bleibt dann beim Kunden. Es ist auch egal, ob das Schlüsselpaar mit PGP oder mit S/Mime-Protokoll erzeugt wird. Beide Protokolle sind aber zueinander inkompatibel.
Wenn die Generierung des Schlüsselpaars allerdings auf den Servern der Post (Signtrust) gemacht und das Schlüsselpaar dann lediglich an den Kunden weitergereicht wird, ist damit der PrivatKey bereits in anderen Händen gewesen und damit sicherheitstechnisch wertlos. Oder anders gesagt: wenn der Kunde dann eine eMail an sich mit seinem Privatkey aufschliessen möchte, dann kann das (zumindest theoretisch) auch ein Server auf dem Weg vom Absender zum Empfänger.
Und wie sieht das persönliche, aktuelle Fazit aus? Wird im Augenblick dazu tendiert eine Adresse zu beantragen oder von welcher Antwort hängt die Entscheidung gerade ab?
Wenn ich das wüsste. Mein Antrag ist hängig bis ich das Post-ID abgegeben habe. Habe bis 31.12 Zeit mich zu entscheiden. Dann wird laut Brief meine Adresse wieder frei geben. Im Moment tendiere ich zu 60% für den Abschluss, werde dann allerdings genau entscheiden welche Korrespondenz ich über das neue System laufen lasse. Aber ich werde wohl erst in ein paar Wochen und nach längerer Recherche meine endgültige Entscheidung treffen.
M. W. ist E-Postbrief nur via Webfrontend einliefer-/abrufbar. Ich weiß ja nicht, wer sich einreden lässt, ein Browser-Fenster wäre Email; ich nutze jedenfalls Mail-Clients und keinen Browser. Die Art der Bedienung wird auch das Signieren und eine Verschlüsselung nicht gerade vereinfachen. Bevor man sich also Gedabken über POGP etc. macht, sollte man einmal die Nutzerschnittstelle betrachten.
Update Bätschman: http://twitter.com/epostbrief/status/19770924661
Wow was für ein Rumgemache. Meldet euch da an und fertig.
@M. Boettcher
meines Wissens ist eine Clientanbindung im Moment nicht in Bearbeitung/Planung. So zumindest das offizielle Statement der Post. Somit ja, im Moment nur per Browser zu erreichen.
In zwei älteren Blogeinträgen hat sich der Kundenservice der Deutschen Post gemeldet. Offenbar hat die Post den “Wunsch” der Bloggergemeinde vernommen ein paar klärende Worte zu einzelnen Punkten zu veröffentlichen. Unter http://go.post.de/w4hao findet sich ein “FAQ 2.0”. Extreme Neuerungen zu meiner Liste oben finden sich nicht. Lediglich wird offiziell kommuniziert was bereits viele Blogger vermuteten.
Ein paar kleine Änderungen und Ergänzungen habe ich oben in die Tabelle eingefügt.
@Bätschman
vielen Dank für Ihre schnelle Reaktion und Aktualisierung.
Grüße
Philipp Schwertner vom Serviceteam E-POSTBRIEF
Zum Thema “Monat ist Ruhetag”
Ich schreibe das in die Kommentare, da ich den Artikel soweit als möglich von eigener Meinung freihalten will. Aber zum Thema Wochenendarbeit. Bei Twitter wird darüber geklagt, dass die Post am Wochenende nicht ausdruckt und dann am Montag nicht zustellen wird. Was wäre wenn die Post am Wochenende arbeiten würde aber dafür ihren Arbeitern einen Wochenendaufschlag zahlen würde, welcher 1zu1 an die Kunden weitergegeben würde. Sprich ein Hybridbrief kostet 5 Cent oder 10 Cent mehr, wenn er Samstag und Sonntag aufgegeben wird. Dann wären die Proteste genauso gross. Briefe die am Freitag eintreffen, sollte jedoch am Montag auch zugestellt werden. Das könnte man von der Post dann schon erwarten finde ich. Vor allem, da die Briefträger ja eh unterwegs sind, die Hybridbriefe einfach nur etwa schneller in den Verteilerkreislauf eingebunden werden müssen. Auf der anderen Seite finde ich sollte man auch erwähnen, dass der Hybridbrief das Ausdrucken “outsourct” und dann ganz regulär den Brief verschickt. Warum sollte das plötzlich schneller gehen als einen normalen Brief zu verschicken. Hybridbriefe haben ja keine Vorrang im Verteilerzentrum. Das Nadelöhr ist somit die Druckerei. Der Rest bleibt gleich.
Interessant ist ja, dass man “normalerweise X.509 Zertifikate bei einer CA bestellt indem man den Schlüssel selbst generiert und den öffentlichen Zeil wecks Signatur in einem CSR (Certificate Signing Request) an die CA schickt. Damit hat die CA keinen Zugriff auf den privaten KEy und damit auch nicht auf Mails die damit verschlüsselt wurden. Bei der e-Post scheint davon abgewichen zu werden und sie behalten die cleint (ende-zu-ende) Keys in Kopie (und erlauben damit Entschlüsselung).