Ich weiss, dass ich mir mit folgendem Artikel sicherlich den Unmut einiger Leser einhandle, aber nachdem bei Twitter viel über das Radiointerview bei Chaosradio bzw. Fritz.de getwitter wurde, habe ich mir den Podcast auch mal angehört und muss ehrlich zugeben, dass ich aus mehreren Gründen leicht enttäuscht bin. Zum einen muss ich sagen, dass das Interview vom journalistischen Standpunkt her mehr als fragwürdig war. Mir wurde als Journalist immer gesagt: „Mach dich nicht mit einer Sache gemein“. Dies gilt auch für negative und kritische Sichtweisen. Wie sah jedoch das Interview im Podcast aus? Der Interviewer, Markus Richter, machte keinen Hehl daraus, dass er das De-Mail-System komplett anlehnte. Dementsprechend waren nicht nur seine Fragen und Anmerkungen formuliert, sondern auch sein Reaktionen. Kaum war eine Sache unklar fing er an zu lachen oder sonst eine komische Bemerkung zu machen. Von journalistische Neutralität aus meiner Sicht keine Spur. Schon der Eröffnungssatz: „ich bekomme in Zukunft meine Knöllchen per De-Mail zugesandt“ zeigt, wie schon zu Beginn versucht wurde das Systeme anzugreifen. Niemand bekommt gerne Knöllchen, ob digital oder als Brief. Ähnliches gilt für die Interviewpartner Constanze Kurz und Jörg Pohle. Zwei Personen, die als klar ausgewiesene Kritiker des Systems aber auch als IT-Profis, unter anderem des CCC, gelten. Was passiert also wenn sich drei Kritiker auf einem kritischen Radiosender zum Interview treffen? Das darf sich jeder selber ausmalen. Ich hätte mir z.B. auch ein Vertreter der Gegenseite gewünscht, der seine Meinung äussern kann. Aber egal. Es geht um die Sache. Dazu muss an dieser Stelle angemerkt werden, dass das schnelllebige Internet in diesem Fall die Interviewpartner vermutlich überholt hat, denn am gleichen Tag hat die Post ein paar Sachen zu ihren AGB erläutert, die im Interview noch als fragwürdig oder unklar galten. Von dem her sind einige Sachen heute schon etwas klarer, die im Interview bemängelt wurden. Achtung: Ich sage an dieser Stelle deutlich, dass ich nicht den E-Postbrief oder die De-Mail verkaufen will. Aber kurz vor dem Interview wurden im Internet ein paar Sachverhalte aufgeklärt, die so wohl den Interviewpartnern zum Zeitpunkt des Interviews noch nicht bekannt waren.
Doch jetzt zum Interview und den Punkten. Wichtig ist, dass es hauptsächlich um De-Mail und weniger um den E-Postbrief der Deutschen Post ging. Auch wenn diese beiden „unterschiedlichen“ System immer wieder gern vermischt wurden und auch von den Anrufern oft unsauber getrennt wurden. Ein paar Punkt sind mir aufgefallen.
Wann gilt das Einschreiben oder der Brief als zugestellt?:
Bei De-Mail gilt ein Brief nach 3 Tagen als zugestellt. Das ist bei beim Papier-Postbrief meines Wissens genauso. Bei beiden Zustellformen, wie auch beim E-Postbrief, ist es egal ob man im Urlaub ist. Der Brief liegt trotzdem im Hausbriefkasten und somit im Machtbereich des Empfängers. Ein Einschreiben gilt und da stützte ich mich auf ein Kommentar in meinem Blog von einem Piraten auch unabgeholt nach 3 Tagen als zugestellt. Auch wenn es noch bei der Post liegt. Ob dies ganz genau so stimmt kann ich nicht genau sagen (Sind Juristen im Raum?)(Wikipedia). Andere Quellen im Internet sagen, dass man ein Einschreiben immer abholen muss, sonst geht es zurück an den Absender. klar ist es bei Einschreiben mit Rückantwortschein. Das geht bei Nichtabholung immer an den Absender zurück. Wie ich auf einer Anwaltsseite gelesen habe gilt dies nicht für „bewusste Zugangsvereitelung“. Wenn ich den Inhalt kenne und die Annahme verweigere, weil es eine „schlechte Nachricht“ für mich ist, bin ich also nicht geschützt. Wenn man sich über Pflichten von De-Mail unterhält sollte man auch alle „Papier-Briefpflichten“ gegenüberstellen. Das wurde im Beitrag etwas husch husch (schnell) übergangen.
Beim E-Postbrief und vermutlich auch bei bald bei De-Mail gibt es übrigens auch ein Einschreiben mit Lesebestätigung (höherer Preis). Der Empfänger kann das Einschreiben erst lesen/öffnen, wenn er den Empfang manuell bestätigt hat. Somit ist der Ansender 1000%ig sicher, dass der Brief empfangen und gelesen wurde. Soviel zum technischen Aspekt.
Ausserdem wurde der BVG Entscheid „Rücksetzung in den Ausgangszustand“ angesprochen. Wenn ich beweisen kann, dass ein Schriftstück nie bei mir angekommen ist, kann man Fristen vom Gericht eventuell zurücksetzen lassen. Das war, so ich das verstanden habe, aber ein nachträgliches Urteil und stand nicht von Anfang an im Gesetz. Wer sagt, dass das bei De-Mail und Co. nicht auch mal kommt. Haus abgebrannt, PC kaputt und wegen Hartz4 kein Geld für einen Neuen usw. Da finde ich wird zu schnell geurteilt. Auch das De-Mail-Gesetz ist nicht in Stein gemeiselt und kann und wird vermutlich auch durch Präzedenzfälle „erweitert“.
Thema Wirtschaftsspionage:
Die Wirtschaftsspionage ist ein weit verbreitetes Übel. Aber ich finde man sollte bei der Kritik über De-Mail und den E-Postbrief immer trennen zwischen Fehler im System und der Umsetzung und illegalen Angriffen von aussen. Kritikpunkt war, dass durch De-Mail die Wirtschaftsspionage beflügelt würde. Aus eigener Erfahrung weiss ich, dass auch heute geheime Dinge ohne Sicherheitsbedenken über ungeschützt E-Mailkanäle laufen. Viele Benutzer wissen das nicht, oder es interessiert sie nicht. De-Mail unternimmt wenigstens den Versuch hier eine bessere Sicherheit gegen aussen zu setzen. Ob das gelingt ist wieder ein anderer Punkt. Aber die Wirtschaftsspionage ist auch heute schon da. Und teilweise auch mit richtigen Einbrüchen, Abhöraktionen, Hackern usw. Da wäre De-Mail nur ein Teilaspekt und keine exorbitante Steigerung wie das im Radiointerview meiner Meinung nach suggeriert wurde. Sicherlich ist bei weit verbreiteter Nutzung von DE-Mail die Chance gross, dass alle sensible Daten „auf einem Haufen“ liegen, Industriespione also „nur zugreifen“ müssen wie in einem Süssigkeitenregal. Dies ist dann aber auch eine Frage der Technik, welche weiter unten noch aufgegriffen wird.
Thema SPAM:
Da wurde im Interview und auch am Telefon meiner Meinung nach viel vermischt. SPAM-Filter, Firewalls, Freemail Anbieter usw. – alles in einen Topf geworfen und dann ein De-Mail Schildchen „draufgeklebt“. Meine leicht saloppe Formulierung gründet sich auf Ausführungen der Interviewpartner und der Anrufer. Ob man denkt, dass die beiden neuen System (De-Mail und E-Postbrief) für immer und ewig SPAMfrei bleiben, sei jedem selber überlassen. Ich finde man sollte die Fakten aufzählen. Und auch hier wieder zwischen Fehlern im System und illegalen Angriffen trennen. Wenn eine Firma mir ungefragte Werbung schickt, ist das SPAM und damit illegal. Ich kann diese Firma nun verklagen. Wenn ich einer Behörde meine De-Mail Adresse weitergeben ist das meine Entscheidung – die ich meiner Meinung nach auch Wiederrufen kann und immer nur für eine Behörde gilt.* Wenn ein Hacker einen Account knackt und mir Viagra-Werbung schickt, dann ist das ein Angriff von aussen. Wenn ein Anbieter (GMX, Telekom) mir Werbung schickt, kann ich ihn auch anzeigen und er fliegt vielleicht aus dem System. (AGB werden hier interessant)
Jetzt wurde das Argument gebracht, dass ich mich ja selber als De-Mail-Anbieter registrieren könnte. Sprich ich setzten einen eigenen Mailserver auf und durchlaufe alle Prüfungen um zum System zugelassen zu werden. Technisch durchaus möglich. Aber wie sehen die weiteren Schritte aus? Ich bin als Anbieter und vielleicht als einziger Nutzer (da ja mein eigener Server) komplett namentlich erfasst. Jede SPAM kostet, jede SPAM ist zurückverfolgbar, jede SPAM ist illegal. Ich zahle Geld fürs Verschicken, ich zahle Strafen, vielleicht sogar Entschädigungen und werde gesperrt. Ob sich das lohnt? Natürlich könnte ich vortäuschen, dass mein Server gehackt wurde, aber dann fliege ich wegen schlechter Technik ebenfalls aus dem System. Und ausserdem ist die Möglichkeit sich als Privatperson anzumelden im Moment nicht vorgesehen und es gibt auch im Moment keine Verlautbarungen ob und wann dies möglich sein wird.
Bleibt meiner Meinung nach der Angriff von aussen durch Hacker oder Phisher.
Was mich zum nächsten Punkt bringt.
Das Vertrauen zum Anbieter:
Als zwei weitere Punkte wurde das Registrierungsverfahren der Regierung (Zulassung der Anbieter) und das technische Know-How der Anbieter ins Spiel gebracht. Für den Interviewführer waren diese zwei Punkt klar negativ. Er vertraut weder der Regierung, dass diese die Anbieter richtig kontrolliert, noch das Anbieter wie Telekom, Stichwort Datenskandal, oder United Internet das Know-How haben den Zugang sicher zu gestalten. Das ist meiner Ansicht nach eine Frage, die jeder Nutzer sich selber stellen muss. Und das soll ja auch, zumindest bei De-Mail, der Markt regeln. Wer ist der bessere Anbieter? Welcher Anbieter hat das bessere Firmen-Image und welcher Anbieter geniesst das Vertrauen der Leute? Darum soll es ja mehrere Anbieter geben, die auch untereinander mit Zusatzdiensten, unterschiedlichen Preisen und vielleicht auch unterschiedlich starken „Hacker-Barrieren“ konkurrieren.
Aber jetzt ein provokante Gegenfrage: Warum macht die Piratenpartei nicht einen eigenen Server/Anbieter auf? Nach dem Motto: „Die Gesetze müssen wir leider einhalten aber für den Rest sind wir die Besten.“ Keine Datenskandale, keine Weitergabe der Daten, bestes Sicherheits-Know-How usw. Ich finde hier könnte die Piratenpartei sehr gut zeigen, dass sie technisch besser ist als andere Anbieter und vertrauenswürdiger was die Daten angeht. Sozusagen mit gutem Beispiel vorangehen. Ich würde mir ein Konto dort eröffnen und vielleicht sogar mehr bezahlen (Parteikasse für spätere Wahlkampagnen?) als bei anderen De-Mail-Anbietern. Eine automatische PGP Implementierung wäre auch denkbar.
Gegenargument PGP schon lange bekannt:
Provokante Frage: Wer ist PGP? Wo wohnt der?
Was ich damit sagen will. PGP ist im Moment nicht massentauglich, nicht rechtskräftig, wird von Ämtern nicht angeboten und ist somit „eigentlich“ nicht existent. Warum gab es bis jetzt keine rechtlichen Vorstösse oder Aktionen PGP in Rathäusern oder ähnlichem zu installieren? Ich habe OpenPGP kenne aber niemanden mit dem ich schreiben könnte. Und Verabredungen zum Kaffee muss ich nicht verschlüsseln. Wenn man die De-Mail im grossen Stil kritisiert, finde ich muss man sich auch die Frage gefallen lassen, warum man bisher keine Vorstösse gesehen hat PGP auch nur im Ansatz auf staatlicher Ebene einzuführen. Laut Interviewpartnerin benützen 20% ihrer Studenten PGP. 20% von vermutlich erfahrenen IT-Studenten. Das macht umgerechnet auf die Gesamtbevölkerung wieviel Prozent? Auch erkenne ich, wie oben beim Punkt Industriespionage, (noch) keine Sensibilität für das Thema in der Bevölkerung. Vielleicht sollte man mit Kampagnen auch hier einmal ansetzen?
Zusatzverschlüsslung De-Safe:
Da fand ich die Reaktion des Interviewführers interessant. Als erstes sprach er die nicht sichere Verschlüsselung durch die Anbieter an und dann lachte er, als gesagt wurde, dass es eine optionale private Verschlüsslung gibt. Das kam für mich so rüber, dass man als erstes sagt, die interne Verschlüsselung sei nicht sicher und dann eine optionale Zusatzverschlüsslung als negativen Punkt „verkaufen“ will. Ja wie jetzt? Als erstes „Verschlüsselung Verschlüsselung“ schreien und dann eine optionale Zusatzverschlüsselung ankreiden? Das Widerspricht sich doch oder? Natürlich wäre eine sauber Verschlüsselung von Anfang an zu wünschen, aber wenn sie zusätzlich installiert werden kann ist das doch nicht negativ. Oder sehe ich das zu streng? Bitte nicht falsch verstehen. Die Werbung verspricht hier viel und das System hält wenig oder nur eine Teil davon. Aber die Reaktion des Interviewführers war etwas komisch aus meiner Sicht.
3mal falsches Passwort eingeben und der Zugang ist gesperrt:
Die Aussage war grob, dass wenn man in der Pilotphase von De-Mail 3mal sein Zugangspasswort falsch eingibt, man gesperrt wird und per Post ein neues Passwort geschickt bekommt. Diese Aussage ist falsch. Als Teilnehmer der Pilotphase (der selber 3mal sein Passwort falsch eingeben hat) kann ich sagen, dass es dann ein „Entsperrpasswort“ gibt, welches man zu Beginn der Registrierung per Papier-Brief zugeschickt bekommt. Gibt man dieses ein, hat man wieder 3 Möglichkeiten sein Passwort zu versuchen. Erst wenn man das „Entsperrpasswort“ 3mal falsch eingibt, bekommt man ein Neues. Das konnte zumindest in der Testphase etwas mit PIN und PUK beim Handy verglichen werden. Ob dieses System beim offiziellen Start beibehalten wird, kann ich nicht sagen.
Was mich zum nächsten Punkt bringt – Handy:
Das ist auch eine leicht komische Geschichte. Beginn wir am Anfang. De-Mail hat zwei Arten von Zugängen: einen „normalen“ Zugang mit Login und Passwort und einen „sicheren“ Zugang mit Login, Passwort und Handy-Tan (alternativ auch Tokken-Tan). Datenschützer hatten schon zu Beginn der De-Mail-Testphase bemängelt, dass der „normale“ Login nicht besonders sicher sei (Stichwort Phishing, Trojaner, Key-Logger etc.). De-Mail sollte doch darauf komplett verzichten und nur mit „sicherem“ Login mit Handy-Tan arbeiten, da man ein Handy normalerweise nicht abhören kann. Bei dem E-Postbrief wurde bemängelt, dass es nur mit Handy-Tan geht, „handylose“ Menschen also ausgeschlossen werden. Ja was denn jetzt? Mal so mal so.
Wenn ein Trojaner meinen PC ausspioniert, kann er durch die Handy-Tan „ausgetrickst“ werden, da der zugeschickte Code nur ein einziges Mal funktioniert. Der ausspionierte Login samt Passwort bringt dem Trojaner somit nichts. Dafür können „handylose“ Menschen sich nicht anmelden. Andererseits können Accounts, die mit der Handy-Tan geöffnet werden, auch nicht von bösen Phishern für SPAM missbraucht werden. Welche Vorgehensweise ist jetzt besser? Zugang für alle oder sicheren Zugang für Handybesitzer? Darüber hinaus gibt es bei De-Mail auch die Möglichkeit Mails mit „hohem Sicherheitslevel“ zu verschicken. Ganz sensible Daten, können so verschickt werden, dass der Empfänger sich mit Handy-Tan einloggen muss um diese zu lesen. Selbst wenn also per illegalem „normalen“ Login auf sein Konto zugegriffen wird, kann er Phisher die Nachrichten mit „hohem Sicherheitslevel“ nicht anschauen/lesen. (Quelle)
Sehr geehrter Leser und vielleicht auch sehr geehrter Interviewteilnehmer. Seit mehreren Wochen lese ich fast alles was zu diesem Thema durch die Twitterwelt und Blogssphäre geistert und suche, vielleicht auch unterbewusst, nach sachlich dargebrachten Kritikpunkten. Aber sehr oft werden interessante Punkte durch die Antwortformulierung so abgeschwächt oder so schwammig beantwortet, dass ich, selbst als eingelesener Internetnutzer, kaum weiss woran ich schlussendlich bin. Wie mag es da wohl dem unerfahrenen Leser gehen. Wo bleibt die sachliche Kritik, die genau trennt nach Fehlern im System, im Gesetz und illegalen Angriffen bzw. möglichen Angriffspunkten? Welche Gefahren gehen vom User selber aus und welche von der Regierung? Wo muss ich aufpassen und wo kann ich noch sicherer kommunizieren? Und zwar so, dass meine Mails auch gelesen werden können.
Wie immer gilt, dass ich gerne bereit bin dazuzulernen. Sollte ich also etwas falsch verstanden haben oder den Podcast falsch zitiert haben bitte ich um Korrektur.
* Eine De-Mail Freigabe für eine Behörde z.B. Einwohnermeldeamt soll laut Interview mit Dr. Uwe Schiel nicht für andere Behörden gelten. Nur weil man also seinen Pass verlängert, bekommt man nicht automatisch Knöllchen per De-Mail zugeschickt.
Zweiter Account von Ralf Bachmann
–> Details: https://www.ralfbachmann.de/author/ralfbachmann/
Ein Anmerkung zum vergessenen Passwort: Laut den aktuellen Technischen Richtlinien muss der Account nicht mehr automatisch gesperrt werden, wenn man sein PW 3x falsch eingibt. Ein Anbieter kann auch alternative Verfahren anbieten, beispielsweise, dass mit jeder Fehleingabe eine neue Anmeldung erst nach einer Wartezeit möglich ist.
Zum Punkt Vertrauen: Der Maßnahmenkatalog um die notwendige Zertifizierung nach IT Grundschutz zu erlangen ist frei im Internet verfügbar. Wenn man sich das durchliest wird schnell klar, dass dort extrem heftige Vorgaben gemacht werden.
Das ist doch gerade der Witz bei De-Mail. Weil PGP und Co. nicht weit verbreitet sind, verlagert man die Arbeit zum Provider. Da man aber dem Provider nicht automatisch vertrauen kann, gibt es diese sehr strengen Zertifizierungen.
Ich finde die ganze Diskussion mittlerweile ziemlich seltsam. De-Mail wird kommen – denn es gibt eine EU-Richtlinie. In anderen Ländern (Österreich, Italien, u.a.) gibt es bereits entsprechende Lösungen. An statt nun konstruktive Kritik zu äußern wird von vielen Medien und Blogs in einer Art darauf herumgehauen die zeigt, dass die Autoren absolut keine Ahnung haben, worüber sie da eigentlich schreiben.
@Sven
Danke für dein Kommentar. Ich hoffe meine Ausführungen fallen für dich unter “konstruktive Kritik”.
Das mit den unterschiedlichen Account-Zugängen habe ich nicht gewusst. Ich kann natürlich nur von meinem Anbieter sprechen. Da war das so.
Zu Österreich: Gibt es da Quellen? Wie setzen die das dort um? Sind die Kritikpunkte ähnlich?
Ich finde Deine Kritik absolut Konstruktiv 🙂
In Österreich gibt es die einmal die Bürgerkarte, eine Signaturkarte für alle.
Im ersten Schritt hat man (um die EU-Richtlinie umzusetzen) die Behördenkommunikation per Mail ermöglicht. Jetzt gibt es eine
2. Lösung asuch für “normale” Kommunikation. Ein Anbieter ist z.B.
Postserver.at
Irgendwo hatte ich auch mal die Spezifikationen gefunden (aber vergessen wo…). Die unterschieden sich in der Grundidee aber nicht von De-Mail.
Der Papier-brief gilt in dem Moment als rechtswirksam zugestellt, wenn er in den Machtbereich des Empfängers kommt, z.B. in seinen Briefkasten eingeworfen wird. Allerdings muss der Absender beweisen können, dass …
… der Brief in den Machtbereich des Empfängers gekommen ist.
Genau dafür gibt es das Einschreiben mit Rückschein (Einwurfeinschreiben hat vor Gericht weniger Bestandskraft), das Fax mit Fax-Protokoll, die Zustellurkunde oder die persönliche Übergabe unter Zeugen, idealer Weise mit Empfangsbestätigung.
Verweigert der Empfänger die Annahme eines Einschreibens, gilt dies nicht als zugestellt (wenn man aber parallel das gleiche Schreiben als normalen Brief schickt, den der Postbote einwirft, kann man mit dem Datum der Annahmeverweigerung (Anscheinsbeweis) vor Gericht plausibel machen, wann der normale Brief angekommen ist).
Im Fall der Zustellungsurkunde kann der Postbote Justizbediensteten oder Gerichtsvollzieher das Schreiben einfach in den Räumen des Empfängers liegen lassen.
… das es sich tatsächlich um genau diesen Brief handelt oder nicht irgend einen anderen. Zu dieser Frage habe ich noch nichts gefunden.
DE-Mail oder der ePostbrief ist insofern eine Verbesserung der Rechtssicherheit des Absenders, weil er beides belegen kann: welches Schreiben versandt worden ist und wann es in den Machtbereich des Empfängers gekommen ist.
Und durch DE-mail oder ePOstbrief verschlechtert sich die Posision des Empfängers nicht, denn auch im Fall vom Briefkasten kommt es nicht darauf an, wann er ihn “leert” (überprüft), sondern wann der Brief eingeworfen wurde (im übrigen kann man vor Gericht eine “Rückversetzung in den alten Stand” beantragen, wenn man z.B. eine Frist verpasst hat, weil man seinen Briefkasten urlaubsbedingt nicht leeren konnte).
Die Argumente “Was ist, wenn ich keine DSL-Verbindung habe / mein Passwort vergessen habe / …” verstehe ich auch nicht: Auch im Fall des guten alten Briefkastens gilt ein Brief mit seinem Einwurf als zugestellt, auch wenn ich den Briefkastenschlüssel verloren habe oder er mir gestolen wurde.
Hi Ralf, kannst mir mit PGP verschluesselte/signierte Mails schreiben. Meinen public key gibts auf einschlaegigen key-servern (z.b.: http://pgp.mit.edu/). 😉
@Morid
Jetzt können wir uns zum konspirativen Kaffeeklatsch treffen. 😉