Die De-Mail geht Ende des Jahres an den Start und tritt mit keinem geringen Versprechen an, die digitale Kommunikation neu zu definieren. Bedenkt man die vielen Kritikpunkte seitens der Datenschützer (siehe ältere Artikel) ein sehr mutiges Unterfangen. Um einige dieser Punkt zu entschärfen und das Konzept der De-Mail mit allen Details zu erläutern, lud die Telekom zusammen mit United Internet im Rahmen der 50ten IFA in Berlin zu einem RoundTable. Die geladen Pressevertreter (und ich) hatten im einem kleinen und exklusiven Kreis die Gelegenheit hinter die Kulissen von De-Mail zu blicken. Die Verantwortlichen aller bis jetzt beteiligter Firmen (Telekom und United Internet) standen nicht nur Rede und Antwort, sondern gingen auch gezielte und detaillierte auf Fragen ein. Somit wurde neben den bekannten Fakten auch neue Hintergrundinformationen veröffentlicht, welche dem Nutzer helfen sollen ein deutlicheres Bild von DE-Mail zu erhalten. Ziel war und ist es natürlich das Produkt-Image zu heben und damit die Akzeptanz in der Internetgemeinde zu erhöhen. Da sowohl während des RoundTable als auch in Interviews danach sehr viele Informationen besprochen wurden, ist es schwierig diese sauber in eine Blogartikel zu verpacken. Anhand von thematischen Absätzen soll versucht werden die einzelne Fragen detailliert zu klären.
Was bringt mir De-Mail:
De-Mail soll es ermöglichen rechtssicher, verbindlich und vertraulich zu kommunizieren. Der Empfänger und der Absender sind mit vollem Namen bekannt, was den Schutz vor SPAM und sonstiger krimineller Aktivitäten gegenüber der bisherigen E-Mail Kommunikation deutlich erhöhen soll. Als in sich geschlossenes System verspricht die De-Mail ein ganz neues Niveau der digitalen Kommunikation (siehe zahlreiche ältere Artikel). So zumindest die Versprechen der PR-Abteilungen. Ein Blick hinter die Kulissen soll zeigen, ob diese Aussagen berechtigt sind.
Warum soll ich als Endverbraucher De-Mail nutzen:
Die Entscheidung De-Mail zu nutzen muss jeder für sich selber treffen. De-Mail ist und bleibt ein Produkt, welches man kaufen kann oder nicht. Nach Auskunft von 1&1 wird ein Grossteil der De-Mail Kommunikation beim Privatmann der Empfang von Information sein. Da die De-Mail nicht dafür gedacht ist die E-Mailkommunikation zu ersetzen, soll auch der Inhalt nicht der gleiche sein wie beim bisherigen E-Mail. Gedacht sind hier vor allem Kommunikation mit Banken, Versicherungen und anderer Firmen, welche schützenswerte Inhalte an ihre Kunden verschicken. Durch die Verschlüsselung der Daten, auf die später noch genauer eingegangen wird, verspricht De-Mail einen sicheren Kommunikationskanal für alle vertraulichen Nachrichten. Darüber hinaus hilft die rein digitale Kommunikation Papier- und Portokosten zu sparen.
Warum soll ich De-Mail nutzen wenn Firmen Geld sparen:
De-Mail soll helfen Geld für Druck-, Papier- und Portokosten zu sparen. Im Fall der ZF aus Friedrichshafen belaufen sich die jährlichen Einsparungen pro Jahr auf eine Million Euro. Doch was bringen dem Endnutzer diese Einsparungen? Eine am Pilotprojekt beteiligte Versicherung hat z.B. bereits erwogen dem Nutzer bei freiwilliger Umstellung auf De-Mail eine geringe Rückerstattung der Jahresgebühren zu gewähren. Somit könnte der „Gewinn“ für den Endverbraucher ein finanzielles Entgegenkommen der jeweiligen Firmen sein. Wie und ob diese Rückerstattung erfolgen soll, hängt dann aber ganz von den jeweiligen Firmen ab und ist keine Aufgabe von De-Mail selber.
Ein weitere Punkt, welcher durchaus zu bedenken ist, wäre die Einsparung von Steuergeldern. Durch Umstellung auf digitale Post könnten die Haushaltskassen zumindest zu einem geringen Teil entlastet werden, was uns allen zu Gute kommen würde.
Was bringt mir De-Mail sonst noch:
Drei grosse Schlagwörter der Presseabteilungen sind hier Bequemlichkeit, Geschwindigkeit, Flexibilität. Da De-Mail wie ein E-Mail funktioniert, ist es überall und mit jedem Computer abrufbar. Darüber hinaus beschleunigt es die Kommunikation gegenüber der Briefpost enorm. Der Endnutzer erhält also den Komfort seine wichtige Korrespondenz bequem am Computer abzuwickeln. Er benötigt kein Papier, keine Briefmarke und keinen Briefkasten mehr.
Wann kommt De-Mail auf den Markt:
Nach dem Pilotprojekt in Friedrichshafen dauert es noch einige Zeit bis De-Mail offiziell startet. Bis jetzt laufen jedoch bei allen Providern erste Vorreservierung. Interessierte Nutzer können sich unverbindlich vorreservieren und sich später dann per E-Mail benachrichtigen lassen, sobald die De-Mail offiziell startet. Verläuft alles nach Plan, so soll das dafür nötige Bürgerportalgesetz in der zweiten Hälfte diesen Jahres durch den Bundestag verabschiedet werden. Danach können sich zuerst grössere Firmen und dann im Frühjahr 2011 auch private Nutzer für den Dienst registrieren.
Wie kann man sich Anmelden:
Die Anmeldung erfolgt dabei ähnlich wie die Anmeldung bei einer Internet Bank. Der Nutzer muss sich einmal mit Personalausweis registrieren. In Zukunft ist geplant, dass sich der Nutzer auf verschiedene Arten registrieren kann. So denkt man im Moment darüber nach, die Nutzer zu hause zu besuchen oder bestimmte „Registrierungs-Punkt“ in Supermärkten o.ä. anzubieten. Ziel ist es dem Nutzer die Bequemlichkeit anzubieten sich dort zu registrieren, wo es für ihn ein Minimum an Aufwand kostet. Des weiteren laufen Gespräche mit dem BMI sich in Zukunft auch über den neuen Personalausweis schnell und einfach von zu hause aus registrieren zu können. Im Falle einer Firmenadresse erfolgt die Reservierung dann für jeden Angestellten ganz bequem im Büro. Während des Pilotprojekts in Friedrichshafen war es sogar als Privatmann möglich sich gleichzeitig mit der Firmenadresse eine Privatadresse zu reservieren. So konnte man gleich zwei Fliegen mit einer Klappe schlagen.
Woran erkenne ich eine De-Mail Adresse:
Da des Bürgerportalgesetz im Moment nicht unter Dach und fach ist, können immer noch kleinere Änderungen vorgenommen werden. So auch bei der Frage nach einheitlichen Adressen. Bis jetzt ist die Regelung, dass eine De-Mail Adresse eine feste Form haben muss. Damit der Nutzer genau erkennen kann, dass es sich um eine De-Mail Adresse handelt, bestehen bis jetzt alle Adresse aus Vorname.Nachname@firma.de-mail.de bzw. Vorname.Nachname@provider.de-mail.de. Geht es nach der Telekom und 1&1 soll dies auch so bleiben. Der Vorteil wäre eine klare Transparenz für den Nutzer. Jede De-Mail Adresse ist auf den ersten Blick erkennbar. Allerdings gibt es für die beteiligten Firmen noch eine andere Überlegung. Gerüchten zur Folge überlegt die Deutsche Post, die ja zu Beginn ebenfalls am De-Mail Projekt beteiligt war, mit ihren E-Postbrief wieder in das System einzusteigen. Sollten jedoch alle Adressen gleich lauten, so muss die Post entweder ihr komplettes System ändern oder wird nicht zum De-Mail System zugelassen. Seiten der beteiligten Firmen kommen neben der Transparenz für den Nutzer also auch Konkurrenzfragen mit ins Spiel. Gerade die Big Player Telekom und United Internet würde es natürlich gern sehen, wenn die Post mit ihren E-Postbrief nicht im gemeinsamen Sandkasten mitspielen darf.
Den ersten Anzeichen nach wird aber eine einheitliche Adresse deutlich favorisiert.
Kann ich meine Adresse bei einem Providerwechsel behalten:
Da die Form der Adressen vorgeben ist, ändert sich bei einem Providerwechsel auch die Adresse. Wer also Max.Mustermann[@]web.de-mail.de hat muss danach auf Max.Mustermann[@]telekom.de-mail.de umstellen und diese Änderung auch allen Kommunikationspartner mitteilen. Es sei an dieser Stelle jedoch angemerkt, dass bis jetzt alle beteiligten Firmen die De-Mail Postfächer kostenlos anbieten. Es sprich also nichts dagegen bei einem Providerwechsel zwei De-Mail Postfächer zumindest für einen gewissen Zeitraum parallel laufen zu lassen. Ausserdem soll es, so 1&1, eine Art „Nachsendeauftrag“ geben, bei dem De-Mails an die neue Adresse weitergeleitet werden. Was dieser Nachsendeauftrag kosten wird ist allerdings noch nicht klar.
Bleibt De-Mail eine deutsche Insellösung:
Ein Punkt der oft im Internet diskutiert wurde und auch während des RoundTable dem einen oder andere Pressevertreter nicht so klar war, ist die globale Erreichbarkeit des Systems. Bis jetzt hiess es immer, dass die De-Mail eine deutsche E-Mail sei. Dies trifft nur bedingt zu. Zum einen ist der Webzugang natürlich von jedem Computer der Welt zu erreichen und zum anderen steht im Bürgerportalgesetzt nichts von einem deutschen Wohnsitz. Der private Nutzer muss sich nur in Deutschland registrieren. Ob und wie sich z.B. Franzosen oder Engländer für das System eintragen können ist noch nicht sicher. Fakt es jedoch, dass De-Mail weltweit nutzbar ist, solange man registriert ist. Für Firmen ist der Zugang sogar noch leichter. Eine in Deutschland sitzende oder zugelassen Firma erhält einen De-Mail-Gateway und vergibt dann intern De-Mail-Adressen an ihre Mitarbeiter. Daimler Crysler, IKEA oder Renault könnte sich in Deutschland einen Gateway registrieren und dann rein theoretisch alle ihre Mitarbeiter mit De-Mail Adressen ausstatten. Bedingung ist nur, dass sowohl die Firma wie auch der Mitarbeiter eindeutig identifizierbar sind. Somit kennt die De-Mail weder Landesgrenzen noch Zugehörigkeitsgrenzen. Alle Nutzer müssen sich jedoch dem Bürgerportalgesetz und den technischen Verpflichten unterwerfen.
Dies soll dann auch komplett für ausländische Firmen gelten. Diese benötigen nur eine Schnittstelle bzw. einen Gateway in Deutschland. Deutschland fungiert hier also als eine Art De-Mail Drehscheibe. Des weiteren gibt es in Dänemark, Österreicher und der Schweiz vergleichbare Systeme mit denen im Moment Gespräche im Gange sind. Seitens des BMI ist eine Zusammenarbeit mit dem Ausland nicht ausgeschlossen, solange die hohen Sicherheitsvorkehrungen des De-Mails Systems erfüllt werden.
Technisch gesehen baut De-Mail auf bekannten Standards im E-Mailverkehr auf und kann somit, bei Einhaltung der Sicherheitsbedingungen, problemlos auf andere Länder adaptiert werden.
Verschlüsselung und Zertifikate: (Ende-zu-Ende Verschlüsselung)
Einer der ganz grossen Kritikpunkte am System ist die teilweise fehlende Verschlüsselung. De-Mail wirbt mit einer zum normalen E-Mail sicheren Kommunikationen. Die Nachrichten werden sowohl auf dem Server wie auch auf dem Transportweg verschlüsselt. Allerdings werden zum Schutz vor Viren o.ä. die De-Mails auf dem Server für einige Sekunden entschlüsselt. Hierbei könnten theoretisch sowohl Hacker wie auch die Providermitarbeiter Einblick in die De-Mails nehmen. Um dies zu verhindern gilt firmenintern das Vier-Augen-Prinzip und nach aussen eine hackersichere Systemabschirmung. Rein theoretisch besteht also die Chance, dass die De-Mails von Hackern oder Mitarbeitern mit gelesen werden können. Des weiteren behält sich der Staat im Rahmen der TKG das Vorrecht De-Mails auch ohne richterliche Beschlüsse abzufangen und oder zu lesen. Im Gegensatz zur Papierpost gilt bei der De-Mail, wie auch beim E-Postbrief, nur das etwas schwächere TKG, welches Einblicke in die Korrespondenz verdächtigter Personen auch durch die Staatsanwaltschaft u.ä Ermittlungsbehörden ermöglicht. Wer all dies nicht möchte kann seine De-Mail zusätzlich Ende-zu-Ende verschlüsseln. Und genau hier gibt es einen kleinen aber feinen Unterschied zum E-Postbrief. Während beim Produkt der Deutschen Post sowohl die E-Postbrief wie auch die Sicherheitsschlüssel in der Hand der Deutschen Post sind, ermöglicht De-Mail den Einsatz eines beliebigen X.509 Zertifikates. Somit kann sich der Nutzer sein ganz persönliches X.509 Zertifikate aus einer belieben Quellen (auch kostenlos) besorgen und dieses in De-Mail ein flechten. Die Schlüsselpaare liegen also nicht bei den De-Mail Providern und sind somit weder für Hacker noch für Ermittlungsbehörden einsehbar.
Kann ich mit einem Client meine De-Mails abrufen:
Sowohl die Telekom wie auch 1&1 bestätigten, dass es auf mittelfristige Zeit spezielle Plugins für die gängigen E-Mail Clients wie Thunderbird, Outlook oder Lotus Notes geben wird, mit denen dann sowohl privat wie auch in Firmen De-Mails gesendet und empfangen werden können. In diesem Zusammenhang würde dann auch eine sinnvolle und funktionierende Ende-zu-Ende Verschlüsselung ermöglicht. Denn eine asymmetrische Verschlüsselung ist nur solange sicher, wie die Ver- und auch die Entschlüsselung auf die heimischen Computer erfolgen.
In Sinne der Flexibilität und der Bequemlichkeit wurde im Zusammenhang mit POP3 Zugriffen auch bereits von einem iPhone App gesprochen, welches es gerade Geschäftsleuten ermöglichen soll von unterwegs ihre De-Mails zu kontrollieren.
Untersuchungen, so die Auskunft von 1&1, haben gezeigt, dass ein Grossteil der Nutzer jedoch das Webinterface bevorzugt. Darum wurde zum Start des Projekts diese Zugangsart klar favorisiert.
Leerungspflicht:
Ein wichtiger Punkt, für welchen bereits die Deutsche Post stark angegriffen wurde ist die Pflicht für den Nutzer sein Postfach täglich zu leeren bzw. zu kontrollieren. Leider folgt auch De-Mail dieser groben Überlegung, betonte jedoch, dass es sich wie bei der Post eher um eine juristische Formulierung handelt. Der Nutzer ist jeder Zeit selbst verantwortlich wie oft er sein Postfach kontrolliert. Um den Nutzer nicht ständig zu zwingen sich in sein De-Mail Konto einzuloggen, soll es verschiedene Notification Funktionen geben. Wie auch beim E-Postbrief wird es eine SMS-Benachrichtigen und darüber hinaus eine E-Mail-Benachrichtigen geben. Der Kunde kann sich also auf seine reguläres E-Mailpostfach oder sein Handy eine kurze Notiz schicken lassen und muss sich dann erst in sein De-Mail Postfach einloggen. Wie immer waren darüber hinaus verschiedene Notification-App für Smartphones im Gespräche. Jeder Nutzer hat also die Möglichkeit Benachrichtigungen über verschiedene Kanäle in seine tägliche Kommunikation einfliessen zu lassen. Wichtig ist zu erwähnen, dass diese Notifications keine Änderungen im juristischen Sinn sind, sondern nur eine freiwillige Dienstleistung. Der Nutzer bleibt also rein juristisch in der Pflicht sein Konto täglich zu leeren.
Urlaub – muss ich mein Postfach leeren:
Was viele nicht wissen, ist dass auch der Hausbriefkasten regelmässig geleert werden muss. Oft wurde im Internet kritisiert, dass eine tägliche Leerung unverschämt sei. Dabei wird aber oft vergessen, dass dies heute schon für den Briefkasten gilt. Somit gibt es also keine Wirkliche Verschlechterung für den Nutzer. Dafür erhöhen sich die Möglichkeiten an welchen Orten (Büro, Hawaii oder Mount Everest) der Nutzer auf sein Postfach zugreifen kann. Dies könnte auch die Möglichkeit beinhalten im Notfall eine Krankenkassenbestätigung innerhalb ein paar Stunden in jedes Krankenhaus der Welt zu schicken.
SPAM und Co.:
Wie im Artikel „Kritik am Chaosradio-Podcast“ angesprochen wurde, glauben einige Kritiker nicht, dass das System SPAMfrei bleiben wird. Ihrer Meinung nach ist nur eine Frage der Zeit, bis entweder Firmen trotz Verbot anfangen SPAM zu senden oder Trojaner ungeschützt Privatcomputer übernehmen um von dort aus SPAM zu senden. Laut 1&1, welche von nahezu 100% SPAM-Sicherheit ausgehen, soll dies jedoch durch mehrere Sicherheitsinstanzen verhindert werden. Da sich zum einen jeder Nutzer und auch jede Firma eindeutig identifizieren müssen, kann jeder Empfänger den Versender von SPAM verklagen. Es greifen also dank eindeutiger Rückverfolgung die bekannten juristischen Massnahmen. Zum anderen kostet SPAM im De-Mail Geld, welche – so zumindest die Hoffnung – ebenfalls SPAMer aufhalten soll. Und obwohl die Filterfunktion im De-Mail-System nicht mit den SPAM Filtern im normalen E-Mailsystem verglichen werden könne, soll es nach Aussagen von 1&1 eine Art „SPAM-Button“ geben. Offen ist bis jetzt, wie dieser aussehen soll und welche Funktionen mit der Aktivierung ausgelöst werden. Sicher ist jedoch, dass SPAM gemeldet werden kann. Sollte jetzt aber eine Trojaner einen Computer übernehmen und zahlreiche SPAMs auf Kosten des ahnungslosen Nutzers verschicken, so greifen Sicherheitsvorkehrungen im System selbst. Erkennt das System eine aussergewöhlich hohe Nutzung, sperrt das System den Account für eine bestimmte Zeit. Der unwissende Nutzer erhält so keine exorbitante Rechnung oder vielleicht sogar Anzeigen wegen SPAM. Wichtig ist zu sagen, dass die Sperrung von einigen Nutzen kritisch gesehen wird. Offen ist z.B. wieviele De-Mails normal sind und wieviele nicht? Wann ist mein Account im Fall der Fälle wieder offen? Wie beeinträchtigt eine Sperrung meine täglich Arbeit? Da der genaue Ablauf und die genauen Grenzen noch nicht sicher sind, müssen diese Fragen hier leider unbeantwortet bleiben. Jeder Nutzer muss sich an dieser Stelle selber überlegen, was ihm lieber ist. Ein Fremdeingriff in das Postfach oder eine Sicherheitssperre. Vermutlich wird die Sperre aber deutlich über allem liegen, was ein Privatmann am Tag versenden kann. Wer also keine 200 oder mehr De-Mails am Tag verschickt, dürfte diese Sperre nie bemerken.
Befürchtet Monopolstellung der jetzigen Anbieter:
Da die jetzigen Anbieter Telekom und United Internet zusammen circa 70% des normalen E-Mails Verkehrs in Deutschland abdecken wurde am RoundTable die Befürchtung geäussert, die Firmen könnten in einigen Jahren durch Einführung oder Erhöhung der Kosten ihre Marktstellung ausnutzen, was natürlich von allen anwesenden Firmenvertretern kategorisch verneint wurde. Fakt ist, dass das De-Mail System für alle Provider offen steht welche den Anforderung durch das BMI genügen. Wer also die nötigen finanziellen und technischen Mittel aufbringt, kann sich beim offiziellen Start von De-Mail akkreditieren lassen. Somit will das BMI einer Monopolstellung vorbeugen. Des weiteren sollen durch ständigen Prüfungen auch andere Schutzinstanzen wie der Regulierungsbehörde oder dem Kartellamt solche Auswüchse verhindert werden.
Gesetzliche Regelungen und Pflichten:
Wie bereits im Internet bekannt ist, gilt ein De-Mail drei Tage nach Zustellung als eingegangen. Um dies zu Beweisen gilt die Bestätigung des Empfängerservers für den erfolgreichen Eingang. Aber Achtung: Dies gilt nur, wenn das De-Mail mit normalen Sicherheitsniveau abgesendet ist. Sollte sich der Absender entscheiden eine De-Mail mit hohem Sicherheitsniveau zu verschicken, muss der Empfänger sich auch mit hohem Sicherheitsniveau einloggen um das De-Mail zu lesen. In diesem Fall gilt das De-Mail erst mit erfolgreichem Login auf hohem Sicherheitsniveau als juristisch zugestellt. (siehe älteren Artikel was welches Sicherheitsniveau bedeutet). Zwei Knackpunkt können hierbei jedoch entstehen. Zum einen kann der Absender durch die Wahl des Sicherheitsniveau entscheiden wann eine De-Mail als empfangen gilt und zum andern gibt es bei De-Mail die Möglichkeit, den Login auf niedrigem Sicherheitsniveau komplett zu sperren. Somit muss man sich jedes Mal mit hohem Sicherheitsniveau anmelden, was dann automatisch das De-Mail als zugestellt deklariert. Auch hier muss sich jeder Nutzer selber überlegen ob und wie er seine juristische Sicherheit mit seiner technischen Sicherheit in Einklang bringt. Wichtig ist an dieser Stelle zu erwähnen, dass auf Grund der juristischen Änderung, welche das System mit sich bringt, der Umgang der Nutzer mit dem Medium Mail eine Änderung erfahren muss. Oft werden normale E-Mailaccounts alle ein bis zwei Wochen kontrolliert. Manchmal auch weniger. Diese „Lässigkeit“ kann sich ein De-Mail Nutzer nicht mehr leisten. Zwar gibt wie oben erwähnt verschieden Notification Möglichkeiten, der Umgang und die Kontrolle mit dem Medium De-Mail muss jedoch dem Umgang mit dem Hausbriefkasten gleichgesetzt werden. De-Mail ist kein E-Mail und sollte darum auch nicht durch den Nutzer gleichgesetzt werden. Wer dies nicht möchte, dem steht es frei den Dienst nicht zu nutzen und sich auch nicht dafür zu registrieren.
Abwesenheitsnotiz:
Wie 1&1 verlauten liess soll es wie beim E-Mail eine Art „Urlaubsbenachrichtigung“ geben, welche den Sender darüber informiert, dass der Empfänger nicht im Büro oder sogar ganz im Urlaub ist. Wichtig ist an dieser Stelle zu erwähnen, dass die Abwesenheitsnotiz rein der Höflichkeit wegen eingeführt wird und keine Auswirkung auf Fristen hat. Juristisch bleibt also alles wie gehabt.
Preise und Kosten:
So wie es im Moment aussieht werden alle Anbieter eine kostenloses Grundpaket anbieten, welches die Nutzung des De-Mail Postfachs und ein Kontingent an De-Mails enthalten wird. Leider wurde weder etwas über Folgepreise noch über die Anzahl von in diesem Kontingent enthaltenen De-Mails gesagt. Nach Aussagen aller Beteiligten soll sich die Anzahl nach den normalen Nutzergewohnheiten richten und für den täglichen Gebrauch ausreichend sein. Die kostenlose Nutzung schliesst auch die Nutzung des De-Safe in dem verschlüsselte Dateien abgelegt werden können mit ein.
Zusatzdienstleistung De-Safe:
Beim De-Safe handelt es sich um eine Art Online-Festplatte, welche für die Langzeitarchivierung von Dateien genutzt werden kann. Aus Sicherheitsgründen werden die Dateien sowohl auf dem Transportweg wie auch auf dem Server selbst verschlüsselt. Genauso wie bei den De-Mails selbst gibt es hier ebenfalls wieder die Gefahr durch Hackern oder Ermittlungsbehörden. Wer dies auch hier umgehen möchte, kann wie bei den De-Mails die Dateien nochmals individuell verschlüsseln. Ebenfalls im Gespräch war auch der Zugriff per Smartphone. So sollen auch von unterwegs sensible Dateien herunter- oder hochgeladen werden können.
Zusatzdienstleistung Hybrid:
Noch nicht ganz ausgereift sind die Pläne eine Hybridvariante von De-Mail zu integrieren. Wie beim E-Postbrief ist es jedoch gedacht, ein Möglichkeit anzubieten Papierbriefe am Computer zu erstellen und diese dann durch einen vertrauenswürdigen Drittanbieter ausdrucken und versenden zu lassen. Den Andeutungen nach zu urteilen soll es auf langfristige Zeit sowohl Hybrid-IN wie auch Hybrid-OUT sein. Hybrid-IN würde im Gegensatz zu Hybrid-OUT das Einscannen von Papierbriefen beinhalten, welche dann z.B. per PDF an eine De-Mail Adresse geschickt würden.
An dieser Stelle werden vermutlich die Datenschützer die Hände über dem Kopf zusammenschlagen. Denn sowohl beim Hybrid-IN wie auch beim Hybrid-OUT gibt es rein theoretisch enorme Probleme mit dem Datenschutz. Werden bei Hybrid-OUT das Ausdrucken und Kuvertieren von Maschinen erledigt, müsste beim Einscannen immer eine Personen den Brief aufmachen und auf einen Scanner legen und dann vielleicht sogar die Qualität des Scans überprüfen. Ein Mitlesen wäre hierbei fast unumgänglich. Zum anderen muss erst geklärt werden, ob das Öffnen nicht ein Verstoss gegen das Briefgeheimnis ist. Da aber alle Pläne hierzu noch in keinster Weise spruchreif sind, wäre es zu früh an dieser Stelle mit der Kritik-Keule zu schwingen.
Wer darf mir alles De-Mails schicken:
Grundsätzlich gilt, dass bei amtlichen oder geschäftlichen De-Mails jeder Nutzer direkt zustimmen muss Korrespondenz auf sein De-Mail Postfach zu erhalten. Eine Versicherung darf also nicht ungefragt eine De-Mail schicken, auch wenn der Nutzer bereits Kunde ist. Jeder Nutzer muss es also zuerst ausdrücklich erlauben. Gleiches gilt für Ämter jeglicher Art. Ganz wichtig ist dabei zu sagen, dass jedes Amt für sich steht. Sollte man also seine Geburtsurkunde per De-Mail beantragt haben, heisst das nicht, dass das Finanzamt oder das Bürgermeisteramt diesen Kanal ebenfalls nutzen darf. Jedes Amt benötigt eine separate und jederzeit widerufbare Erlaubnis. Gleiches gilt für alle Firmen. Privatleute dürfen sich jedoch ungefragt De-Mails zusenden.
Kann eine De-Mail irgendwann zur Pflicht werden:
Könnte eine Firma oder Versicherung einen Vertrag verweigern, wenn der Kunde keine De-Mail Postfach besitzt? Eine berechtigte Frage welche natürlich von allen Firmen wieder kategorisch abgelehnt wurde. Fakt ist, dass das Bürgerportalgesetz keinen Passus vorsieht dies zu verbieten. Eine Verpflichtung wäre also rein juristisch nicht illegal. Marktpolitisch wäre sie allerdings mehr als fragwürdig. Der Imageschaden für die betreffende Firma wäre exorbitant.
Möglich wäre jedoch, dass ein De-Mail Postfach dafür genutzt werden könnte Bezahlungen im Internet vorzunehmen oder sich für bestimmte weitere Dienste zu registrieren. Dies ist jedoch im Moment reine Zukunftsmusik und wenn dann nur auf freiwilliger Basis möglich.
Last but not Least – Die Technik:
Im Moment ist das jeweilige De-Mail Postfach auf 100MB begrenzt. Dies ist das absolute Minimum, welches vom Gesetzt vorgesehen ist. Eine Erweiterung ist technisch jederzeit möglich.
Warum De-Mail wenn es bereits PGP gibt:
Diese Frage kann wohl nie zufriedenstellende beantwortet werden. Würde jeder PGP verwenden, wäre das De-Mail System nie geboren worden. Untersuchungen, und selbst diese Zahlen werden von manchen als zu hoch angesehen, benutzen nur zwischen 3%-5% der Internetnutzer in Deutschland PGP. Die Gründe hierfür sind vielschichtig. Es benötigt Zeit, Wissen, Energie und die Sensibilität sich in das Thema E-Mail Verschlüsselung einzuarbeiten. Gerade für ältere und weniger erfahrene Internetnutzer ist dies mehr als schwierig. De-Mail nutzt diese Lücke aus, in dem es verspricht eine höhere Sicherheit zu schaffen, ohne dabei Software nutzen zu müssen oder sich in das Thema einlesen zu müssen. IT-Profis und Datenschützer behaupten im Gegenzug, dass diese Sicherheit nur vorgegaukelt wäre. Lücken so gross wie Scheunentore würde die Daten und die Korrespondenz der Nutzer offen wie Postkarten machen. Fakt ist kein System ist 1000%ig sicher. Ein flächendeckender und professioneller Umgang mit PGP würde hier definitiv reichen. Da dieser aber nicht mal im Ansatz erkennbar ist, kann De-Mail vielleicht den erhofften Schritt in Richtung mehr Sicherheit und weniger SPAM bringen.
Im Gespräche mit Journalisten wurde sogar die freche Vermutung geäussert, dass De-Mail die E-Mail vielleicht eines Tages komplett ablösen könnte. Bei einem weltweiten SPAM-Aufkommen von 98%, so deren Meinung, sei das System E-Mail eigentlich gescheitert.
Meine Meinung:
Wie stehe ich persönlich zur De-Mail? Ziel dieses Artikel war und ist es, das De-Mail System komplett mit allen Vor- und Nachteilen zu erklären. Vergleicht man die Quantität der Vorteile mit der Quantität der Nachteil fällt auf, dass es deutlich mehr Vorteile zu geben scheint. Jedoch wiegen die Nachteile deutlich mehr. Fakt ist, dass Hacker durch illegale Angriffe und Ermittlungsbehörden auch bei reinem Verdacht legal auf die De-Mails der Nutzer zugreifen dürfen bzw. können. Dies ist jedoch bereits jetzt bei jedem E-Mail Provider so. Für den Nutzer erfolgt also weder eine Verschlechterung noch eine Verbesserung. Anders sieht es beim Briefgeheimnis aus. Ein Papierbrief ist juristisch deutlich besser geschützt als die De-Mail. Beide – De-Mail und E-Postbrief – treten an, die Briefpost zumindest zu einen gewissen Teil zu ersetzen, bieten aber juristisch nur die Sicherheit einer E-Mail. Nimmt man die Masse an Papierbriefen, würde dies juristisch eine deutliche Verschlechterung gegenüber dem Staat bedeuten. Technisch gesehen scheint es so, dass die De-Mail besser geschützt ist als bisherige E-Mails. Da aber keine (nur optional) Ende-zu-Ende Verschlüsselung erfolgt und De-Mail rein theoretisch nur für wichtige Korrespondenz genutzt wird, könnten die Server ein beliebtes Ziel von Hackerangriffen werden. Einmal eingedrungen würde sich den Hackern ein Schlaraffenland an Namen und De-Mail Adressen eröffnen. Ein Bild das zu vergleichen wäre mit dem Fuchs im Hühnerstall. Als Gegenargument hat der Nutzer nur das Versprechen der Provider, dass ihr System sicher wäre und bisherige Testangriffe erfolglos blieben. Der Nutzer muss sich also überlegen, ob er den Komfort und die Bequemlichkeit welche ihm das System bringt gegen die juristische und technische Sicherheit eines Papierbriefs eintauscht. Diese Entscheidung muss bewusst von jedem Nutzer selber getroffen werden. Ich für meine Teil werde die Sache auch die nächsten Monate weiter beobachten. Wichtig ist, dass es immer zu trenne gilt was im Gesetz steht und was die Firmen direkt angeht.
Ein abschliessendes Wort zur Transparenz:
Die Telekom hat mich persönlich zu dem oben erwähnte RoundTable eingeladen bei dem hochrangige Vertreter der Provider und Vertreter der Presse in Verhältnis 50% zu 50% anwesend waren. Die Runde war also mehr als überschaubar. Inbegriffen waren die Eintrittskarte zur IFA im Wert von 11 Euro und in meinem Fall ein Glas Wasser. Was allerdings an mir lag, da ich nicht mehr trinken wollte. Darüber hinaus sind keine Gelder oder ähnliches geflossen. Sollte dieser Bericht einem Leser zu wenig kritisch sein, dann liegt das daran, dass ich sachlich informieren will und die Wertung jedem Leser selber überlassen möchte.
Gerne dürfen in den Kommentaren Fragen, Berichtigungen oder Kritikpunkt hinterlassen werden. Sollten diese jedoch unsachlich oder beleidigend sein, behalte ich mir das Recht vor diese zu löschen.
P.S.: Zum Thema Beweislast wurde am RoundTable meines Wissens nach nichts gesprochen. Hier verweise ich auf Heisse.de
UPDATE I:
Um die jeweiligen De-Mail Adressen der Nutzer zu finden, soll es ein Nutzerverzeichnis ähnlich einem Telefonbuch geben, in das man seine De-Mail Adresse freiwillig eintragen lassen kann.UPDATE II: (10.09.2010)
Konkurrenz belebt ja bekanntlich das Geschäft. Wie mir mehrmals, auch durch direkte Nachfrage beim BMI, bestätigt wurde, steht es bei DE-Mail jedem Provider, welcher die nötigen Test durchlaufen hat, offen sich für De-Mail zu akkreditieren. In diesem Sinne stehen bereits Confidence-center und ediPost in den Startlöchern. Extrem wichtig: zu ediPost unbedingt einen älteren Beitrag lesen. ediPost behaupt nur selber von sich bei De-Mail beteiligt zu sein. Dies wurde am vom BMI nicht bestätigt. Confidence-center wollte zum jetzigen Zeitpunkt keine Details zum laufen Verfahren preisgeben.Update III: (10.09.2010)
Eine direkte Nachfrage beim BMI ergab, dass die Preisgestaltung jedem Provider komplett selbst überlassen bleibt. Das BMI gibt nur den technischen Rahmen vor. Wie dieser mit Serviceleistung und auch zusätzliche Sicherheitsmassnahmen gefüllt wird, hängt vom jeweiligen Provider ab.Update IV: (21.09.2010)
DeMail beinhaltet Verzeichnisdienst für Verschlüsselungsverfahren für SMIME, nicht aber für pgp oder andere. Quelle Twitter Anwalt_n_Mass
Bester Angriffspunkt zum Abhören von E-Mail ist der Rechner des Absenders, nicht das Internet #NIFIS #Trojaner Quelle Twitter Anwalt_n_Mass
Weiterführende Artikel:
Teil 2 Inside De-Mail – Alte Kritikpunkte neu aufgewärmt
Teil 3 Inside De-Mail – Scharfe Kritik des Datenschutzbeauftragten an De-Mail technisch falsch
Content Marketing Manager
Generalist: Projektmanager mit Faible Content Marketing & Social Media, ausgebildeter Journalist & PR-Berater, Erfahrung in Unternehmenskommunikation, Digitalisierung und Collaboration-Tools.
Das ist also das Ergebnis, wenn Politik & Privatwirtschaft den großen Wurf versuchen.
Ich fange mal an:
1
“Eine in Deutschland sitzende oder zugelassen Firma erhält einen De-Mail-Gateway und vergibt dann intern De-Mail-Adressen an ihre Mitarbeiter. Daimler Crysler, IKEA oder Renault könnte sich in Deutschland einen Gateway registrieren und dann rein theoretisch alle ihre Mitarbeiter mit De-Mail Adressen ausstatten.”
–> Also gibt es dann ganz klar DE-Mals unterschiedlicher “Güte”. Die Privatperson wird eindeutig über Personalausweis identifizert und erhält dann als Beispiel die E-Mail “erika.mustermann@1und1.de-mail.de”; der Firmenagestellte braucht nur die Überprüfung durch die eigene Firma und erhält z.b. “erika.mustermann@1und1gmbh.de-mail.de”
Der Kommunikationspartner muß also jedesmal überprüfen, ob es sich um eine Provider-Adresse oder um eine Firmenadresse handelt. Und den Firmen ist Tür & Tor für Mißbrauch geöffnet.
Wer stellt übrigens Vergabe und Überprüfung der Subdomains sicher? Wer sorgt dafür, daß es nicht die DE-Mail “rene.obermann@telek0m.de-mail.de” gibt? Meines Erachtens hätte man die DE-Mail ausschließlich als individuelle personenbezogene E-Mail planen sollen. Die Firmenzugehörigkeit wäre dann als Beispiel nur durch ein weiteres Zertifikat zugeordnet gewesen oder durch Veröffentlichung von Firmen-Mitarbeiter-Verzeichnissen auf dem Onlineauftritt der Firmen erfolgt.
2
“Des weiteren behält sich der Staat im Rahmen der TKG das Vorrecht De-Mails auch ohne richterliche Beschlüsse abzufangen und oder zu lese”
–> Ich nutze also DE-Mail für die verschlüsselte Kommunikation und lege dann vielleicht noch meine Daten in einen DE-Safe? Sicher nicht. Ich habe nichts gegen Transparenz – aber als Nutzer möchte ich doch wenigsten informiert werden, daß eine Behörde auf diese Daten zugreift.
3
“Um dies zu verhindern gilt firmenintern das Vier-Augen-Prinzip und nach aussen eine hackersichere Systemabschirmung.”
–> Das ist also der größe Sicherheitswurf? Alle Daten werden verschlüsselt abgelegt. Trotzdem kann jeder darauf zugreifen, wenn er einen weiteren Mitarbeiter hinzunimmt. Wozu dann bitte die Verschlüsselung auf den Servern, wenn der Zugang nur über die organisatorische Rechtevergabe an Mitarbeiter des Providers gesichert ist?
Für uns ist der Artikel nur in einem Punkt wirklich interessant:
“Wer all dies nicht möchte kann seine De-Mail zusätzlich Ende-zu-Ende verschlüsseln.”
Das klingt nach einem guten Angebot. Auch wenn ich sehr genau schauen werde, ob das tatsächlich kommt. Für mich klingt das nach einem Feature, welches spätestens in 2011 nach Gesetztesbeschluß und Roll-Out schnell wieder vergessen wird.
Eines ist ja klar: Auch heute kann ich schon den Inhalt meiner E-Mails verschlüsseln (PGP/GPG) und nutzen tut es trotzdem kaum jemand.
Natürlich interessieren wir uns (als Betreiber von cloudsafe.com) auch aus eigenem Interesse für die DE-Mail. Aber so viele handwerkliche Fehler in der Umsetzung hätten wir nicht erwartet.
Wer also möchte, kann sich gerne bei uns registrieren – ganz ohne Personalausweis, dafür aber auch ganz ohne Behörden und Mitarbeiter, die auf die Daten zugreifen können.
@Roberto Valerio
Danke für den Kommentar:
Da ich nicht für eine der Firmen arbeite kann ich nur wiedergeben, was ich durch Recherchen und Interviews herausgefunden habe.
Firmenadresse: Auch hier wird eine ID-Prüfung durchgeführt. Jedoch gibt es auch die Möglichkeit z.B. Presse[@]firma.de-mail.de zu machen. In wie weit dies Missbrauch Tür und Tor öffnet kann ich nicht beurteilen.
Firmenadresse überprüfen: Dieses Argument verstehe ich nicht. Entweder die Firma steht in der Adresse oder nicht. Mal abgesehen von ganz kleinen Firmen, die vielleicht Privatadressen des Chefs auch als Geschäftsadresse benutzen, erkennt man die Adressen eigentlich direkt am Namen ob Firma oder privat.
Subdomains: Meines Wissens nach gibt es keine Subdomains bei De-Mail.
Informiert werden bei Staatseingriff: Schön wärs. Leider ist es gesetzlich so, dass du nie informiert wirst wenn die deine E-Mails oder dein Telefon abhören. Würde auch aus Staatssicht irgendwie wenig Sinn machen.
4-Augen-Prinzip: das ist Stand der Dinge. Eine Wertung muss jeder selber treffen.
Hm; Einscannen könnte ja locker automatisiert werden. Auch die Qualitätskontrolle. Da müsste man sich zwar etwas Schlaues ausdenken, aber kann nicht untacklebar sein. 🙂
Ich würde es auf jedem Fall gerne so haben, da ich monatelang in Urlaub fahre und ungern einen Dritten mit meinem Post belästige.
@Roberto Valerio
Zum Punkt 1: Ganz so ist es nicht. Als Firma musst Du bei der
Registrierung die berechtigten Vertreter angeben und identifizieren lassen (was, nebenbei bemerkt bei großen Firmen sie z.B. Siemens bestimmt lustig wird).
Verantwortlich für eine De-Mail sind dann anschließend dann diese Personen. Es ist also völlig egal, was im Local-Part dieser Firmen De-Mail Adressen steht und wer das dann bearbeitet.
Zu der Domain: In Friedrichshafen ist es aktuell so, dass Du nur eine xyz.de-mail.de Domain bekommst, wenn Dir auch die xyz.de Domain gehört.
Zu 3:
Die Systeme müssen u.a. nach IT-Grundschutz zertifiziert werden. Wenn man sich das durchliest, bekommt man fast schon Mitleid mit den De-Mail Providern. Ich gehe davon aus, dass aktuell kein einziger E-Mail-Provider diese Zertifizierung hat. Habt ihr euch bei cloudsafe dieser Zertifizierung unterzogen? Wäre doch eine gute Werbung für euch.
Ich habe selber viele Jahre bei einem Internetprovider gearbeitet. Und was dort an Sicherheit und Rollen gefordert wird, ist schon wirklich heftig. Da man diese Zertifizierung jährlich erneuert und alle 3 Jahre (IIRC) neu machen muss, ist das aus meiner Sicht eine sehr gute Basis.
@Sven
Hallo Sven,
kurze Antwort zu 1) Du erhälst ja dann als Siemens die Subdomain siemens.de-mail.de. Wenn ich es richtig verstanden habe, ist dann alles vor dem “@”-Zeichen dann im Verantwortungsbereich der Firma. Da wird nicht jeder Mitarbeiter per Personalausweis von einer externen Behörder überprüft. Und auf einmal stehen ist dann ein Dr. Löscher für alle Mitarbeiter nach außen verantwortlich, weil er mal unterschrieben hat? Und wer kontrolliert innerhalb der Firma dann die sichere Vergabe von Mails?
Zu 2) Verstanden, das ist ein wichtiger Punkt! Ich habe als die Domain http://www.de und erhalte dann xyz@www.de-mail.de. Nein, im Ernst – das wäre dann wenigstens ein Mindestmaß an Zuordnung. Aber die deutlich bessere und sichere Lösung wären halt allein personenbezogene E-Mails ohne Subdomain gewesen! Nur, dann fallen die Corporate Kunden weg, wer will das schon bei 1&1 und Telekom.
Zu 3) Wir haben uns nicht einer BSI-Zertifizierung unterzogen, sind noch in der Erwägung. Gleiches gilt für TÜV-Siegel. Es werden dort viel Prozesse dokumentiert und überprüft. Das ist insbesondere wichtig, wenn ein Personenkreis Zugriff auf Kundendaten hat. Wir haben selber technisch keinen Zugriff auf Kundendaten, deswegen spielt die Überprüfung von Mitarbeitern die kleinere Rolle. Wir haben deutlich mehr Geld in die Überprüfung und Optimierung unserer Infrastruktur investiert, um ganz unabhängig von Papierurkunden tatsächliche Sicherheit anbieten zu können. Und ja, um die Papierurkunden werden wir trotzdem nicht drumherum kommen 🙂
@ Roberto und @Sven:
also meines Wissens nach wird jede Person, egal ob privat oder innerhalb einer Firma, mit Ausweis kontrolliert. Jede De-Mail Adresse braucht eine Person die dafür gerade stehen muss. Bei allgemeinen Adressen wie Presse@firma.de-mail.de gibt es diese Person auch. Nur kann man sie eben nicht aus der Adresse “herauslesen”. Du kannst dir z.B. auch Fun-Adressen (Pseudonyme) sicher wie pn_boris.becker@…. oder pn_holzhandel@…. und auch bei diesen Adressen wirst du mit ID-Nachweis kontrolliert. “PN_” am Anfang weisst darauf hin, dass es sich um eine Pseudonym-Adresse handelt. Dies ist gerade für kleiner Firmen ganz gut.
Privatanmeldungen wie info@maxmustermann.de-mail.de sind im Moment nicht vorgesehen.
Bei grossen Firmen rennt dann halt ein “Identifizierungsberechtigter” von Büro zu Büro und kontrolliert Ausweise. Dauert halt mehrere Tage geht aber auch so. Dies war z.B. in einer Firma in Friedrichshafen der Fall. Auch grosse Firmen haben sich an das De-Mail Gesetz zu halten.
In der Testphase war es so, dass man eine Web.de Adresse benötigte um eine web.de-mail.de zu erhalten. Gleiches galt für GMX und Telekom. Dies wird dann aber später nicht mehr so sein. Das war nur in der Testphase so. Auch musste man in der Testphase in Friedrichshafen wohnen. Dies wird dann natürlich in Zukunft auch nicht mehr so sein 🙂
@Roberto Valerio
Richtig, es wird nicht jeder Mitarbeiter kontrolliert. Im Local-Part kann ja auch “einkauf@” oder wasauchimmer stehen. Verantwortlich für die Nachricht sind die vertretungsberechtigten Personen.
@Bätschman
Hier der Auszug aus den TR:
Die Identitätsfeststellung der Mitarbeiter und die Verwaltung ihrer Unterkonten erfolgt durch den Account-Inhaber oder einen Administrator der Institution.
Sprich, die Firma ist selber dafür verantwortlich, was im Local-Part passiert
@Sven
Auf der Pressekonferenz wurde erläutert, dass die Firmen keine Einmischung in die innere Sicherheit möchten. De-Mail soll also nur angeboten werden. Intern möchten die Firmen selber die Sicherheit koordinieren. Zum Zeitpunkt des RoundTable war jedoch zu diesem Thema eher die IT-Sicherheit im Gespräch. Die direkte Registrierung, sprich die Namenserfassung wurde nicht angesprochen.
“Die Identitätsfeststellung der Mitarbeiter und die Verwaltung ihrer Unterkonten erfolgt durch den Account-Inhaber…” –> Ich lese das so, dass die Firmen eine ID-Prüfung selber machen. Es ist ihnen also nicht “freigestellt” eine ID-Prüfung zu machen oder nicht. Das finde ich einen kleinen Unterschied.
@Bätschman
Du hast Recht. Das kann man so da herauslesen. Es ist aber nicht so gemeint.
Es wird bei Firmen unterschieden zwischen
– Account-Inhaber: Rechtlich der Absender
– De-Mail Postfächer
Es kann verschiedene Postfächer geben, aber der Account-Inhaber (also die Firma) ist letztlich der verantwortliche Absender.
Also bleibt die Kritik berechtigt: Ein Mitarbeiter übernimmt Aufgaben, die bei Privatpersonen eine Behörde übernimmt. Da ist Mißbrauch Tür & Tor geöffnet. Warum nicht eine DE-Mail, die nur an behördlich identifizierte Personen ausgegeben wird?
Es geht doch überhaupt nicht um die IT-Sicherheit und noch weniger um die Umsetzung einer reinen “Behördenmail” – für was das Projekt mal ursprünglich angedacht war und wo die staatliche Regulierung auch Sinn gemacht hat.
Letzlich geht es hier doch nur um ein Produkt, für welches man Geld bezahlen soll. Und da sind Firmenkunden halt deutlich lukrativer.
@Roberto Valerio
Sorry, Du hast es immer noch nicht verstanden.
Sowohl bei Privatpersonen, wie auch bei
Firmen muss sich der Accountinhaber(!) identifizieren.
Was aber bei einer Firma im Local-Part steht, ist mehr oder minder egal. Denn der Accountinhaber
ist verantwortlich.
Mal ein Beispiel: Wenn mir meine Versicherung einen Brief schickt, kann die auch nicht später
sagen, sorry aber das wollten wir nicht schreiben; das war irgendein Mitarbeiter. Egal, wer den Brief geschrieben hat – verantwortlich ist
als Absender die Versicherung. Und wenn bei der Versicherung jemand einenBrief schreibt und es nicht
Darf ist das das Problem der Versicherung.
Bei De-Mail ist es genau so: Verantwortlich ist erstmal der Accountinhaber – egal, was im Local Part steht.
Deine Kritik stimmt also nicht. Durch den frei vergebbaren Local-Part kann kein Missbrauch gefördert werden.
Du musst zwischen dem Account und den dazu gehörenden Postfächern unterscheiden.
@Roberto Valerio, Sven:
Die Firmenadressen (Subdomains) sind ein Problem, auf das nicht nur ich schon vor Monaten hingewiesen habe.
Natürlich muss sich die Firma (nur die, nicht auch noch alle Mitarbeiter!) einmalig bei der Registrierung identifizieren. Aber bislang gibt es meines Wissens keine Verpflichtungen zu Aktualisierungen. Da können also problemlos die Chefs wechseln. Und die Domain verkauft werden.
So lange es nur die bekannten De-Mail-Anbieter GMX, Web.de, Telekom und 1und1 gibt, wird es auch für weniger versierte Internetnutzer möglich sein zu erkennen, ob sich hinter boris.holzmann@gmx.de-mail.de jetzt wirklich ein Boris Holzmann verbirgt, oder ob das nur eine beliebige Firmenadresse der Firma GMX ist. Bei boris.holzmann@xmail.de-mail.de wäre das schon schwierig. Woher weiß der Nutzer, ob xmail für einen großen Bürgerportaldiensteanbieter steht oder für eine x-beliebige Firma?! Das eine Mal muss boris.holzmann definitiv einem Boris Holzmann gehören, das andere Mal nicht. (Oder kann auch GMX wie jede normale Firma beliebige Angaben vor das @-zeichen schreiben? Wenn support@gmx.de-mail.de gehen sollte, könnte ja auch angela.merkel@gmx.de-mail.de möglich sein? -> Nein, als BPDA darf GMX das nicht. -> Nachteil ggü. anderen Firmen, die nicht BPDA sind?!)
Durch die Festlegung des Adressschemas wollte die Bundesregierung die leichte identifizierbarkeit der De-Mail-Nutzer ermöglichen. Dies ist aber dem aktuellen Entwurf nach nicht sicher und einfach möglich!
@Ralf Bachmann:
Super, dass du das Thema (auch weiterhin) so intensiv verfolgst! Und trotz des Marketinggeschwätzes, das du sicherlich mittlerweile auch bestens kennst, immer versuchst, dich davon nicht blenden zu lassen und objektiv zu bleiben. Und die offiziellen Aussagen hinterfragst und nach Lücken suchst!
Sehe ich das richtig, dass der Onlinebrief KEINEN Vorteil gegenüber der De-Mail bietet? Wenn wir mal von dem Hybridbriefverfahren absehen, dass ja auch mit der De-Mail kommen soll (http://tinyurl.com/3y8esmz).
Als Nachteile sehe ich:
– Eigenes Projekt ohne Schnittstellen zu anderen Anbietern (Insellösung). Spätere Zusammenlegung ohne Gesetzesänderung oder Änderung der Onlinebrief-Adressen nicht möglich aufgrund eines anderen Adressenschams (kein de-mail.de in der Onlinebrief-Adresse)
– Vermeintliche Ende-zu-Ende-Verschlüsselung unsinnig, da Post im Besitz des Private Keys. Die Aussage, dass er nicht gespeichert wird, kann man glauben oder nicht. Allein die theoretische Möglichkeit der Kenntnisnahme reicht aus, um die Funktion unnütz zu machen. Und außerdem: Wofür braucht man die denn? Da findet doch kein Mailverkehr statt, nur Post-intern von einem Post-Server auf den nächsten?! Wiel vom Onlinebriefaccount aus kannt man ja nur an andere Onlinebriefaccounts Mails schicken.
– teuer: ab 0,55 € – auch wenn rein elektronisch!
– aus Sicht der Verwaltung: Keine behördlichen Zustellungen nach §3a VwVfG möglich
– Wie sicher ist der Onlinebrief wirklich? Bei Aussagen wie folgender des Projektleiters der Post, bin ich da doch unsicher: “Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen. Mehr will ich nicht sagen. Denn ein wesentlicher Aspekt unseres Sicherheitskonzeptes ist: Wir reden in der Öffentlichkeit nicht darüber.” (http://www.cio.de/2244179)
Generell ist die doch recht große Resonanz von Privatnutzern auf De-Mail und Onlinebrief etwas verwunderlich, wenn man die Nachteile durch kürzere Fristen und bei der Beweisbarkeit beachtet.
Also wichtig ist immer wieder zu sagen, dass De-Mail im Gegensatz zum E-Postbrief noch in den Wehen liegt. Es kommt frühestens Frühjahr 2011 auf den Markt. Bis dahin kann sich noch einiges ändern. Auch ist immer zu bedenken, dass sich das System die nächsten 5 Jahre durch Streitfälle noch “formen” wird. Also die Welt wird noch nicht untergehen, nur weil es De-Mail gibt.
Ein Punkt, der noch zu erwähnen wäre ist, dass bis jetzt (normale Mails) Geschäftsadressen der Telekom und 1&1 auch die Endungen @telekom.de und @1&1.de haben. GMX Mitarbeiten haben auch 1&1-Mail-Adressen und keine GMX-Adressen (Kontakt@gmx oder Presse@gmx mal ausgenommen) Wenn das beibehalten wird, sollte man erkennen ob es sich um eine Privatperson oder um eine Geschäftsperson handelt. Ausserdem kann man am Zusatz pn_max.mustermann@… erkennen ob sich um eine Spass-Adresse handelt. Aber mal ehrlich, wie oft kommt es vor, dass Firmen verkauft werden und dann De-Mail Adressen für böse Zwecke verwendet werden? Das ist doch etwas an den Haaren herbeigezogen oder?
Wenn eine Firma verkauft wird und einen seriösen Eindruck machen möchte, werden auch die Adresse neu gemacht. Und ausserdem ist die Firma rechtlich verantwortlich. Die Aussage, dass die De-Mail Adresse noch vom letzten Besitzer existent ist greift nicht. Sollte eine Firma wirklich eine so schlechte IT-Abteilung haben, dass eine De-Mail Adresse nicht zurückverfolgt werden kann, haftet halt die ganze Firma.
@E-Postbrief:
Der E-Postbrief ist eigentlich das Gleiche wie De-Mail in grün (oder besser in gelb). Die Portale und Systeme unterscheiden sich leicht, sind aber von der Idee her identisch. Also keine Vorteile.
@Stefan: Die Punkt, die du angesprochen hast stimmen. Das erwartet den Kunden.
@Resonanz
Ich denke, dass die Internetgemeinde hier eine “verschobene Weltsicht” hat. Der normale Bürger regt sich nicht über Datenschutz und Verschlüsselung auf. Der Bürger will einfach und komfortabel rechtssichere Kommunikation. De-Mail und der E-Postbrief springen in eine bis jetzt freie Lücke, welche der Bürger gefüllt haben will. Da kann die Blogssphäre und der CCC so viel meckern wie sie wollen. Was man begreifen muss, ist die Marktnachfrage und da sieht es im Moment so aus, als ob die Systeme ankommen. Man sollte immer bedenken, dass es Millionen von Menschen gibt, die kein Twitter und kein Datenschutzblog lesen. Das ist einfach das normale Leben.
De-Mail-Start:
Ursprünglich sollte die De-Mail zum 1. Juni 2009 starten. Dann 1. September 2009. Dann kam die Bundestagswahl dazwischen und das Gesetzgebungsverfahren musste nochmals von vorne begonnen werden. Im April 2010 hieß es noch, die De-Mail soll im Herbst 2010 starten. Nun Frühling 2010? Dab in ich ja mal gespannt…
Pseudonym:
Ja, aber den Zusatz pn_max.mustermann@… gibt es nur Pseudonyme von Privatpersonen, nicht für Firmen. Die können alles vor das @-Zeichen setzen, was sie wollen. Da gibt es keine Regelungen, abgesehen von den Sytsem-Adressen (http://tinyurl.com/33bjpna -> 3.1.4).
Missbrauch
Natürlich, De-Mail-Missbrauch etc wie oben beschrieben sollten bei mormalen Firmen nicht erfolgen. Aber die theoretische Möglichkeit besteht. Und somit in meinen Augen eine, zumindest theoretische, Sicherheitslücke.
Resonanz
Ich frage mich, ob die Bevölkerung wirklich De-Mail und E-Postbrief vermisst hat. Oder ob nicht unsere Regierungspolitiker und die Deutsche Post zusammen mit ihren PR-Agenturen das den Leuten einreden.
Mein kleiner Kommentar:
1) PGP
Warum stellt Du als Vergleich zu De-Mail und E-Postbrief immer nur PGP in den Raum? S/MIME mit X.509 Zertifikaten ist wesentlich besser geeignet, um mit De-Mail und E-Postbrief verglichen zu werden, wenn es um vertrauliche Kommunikation geht. Du erwähnst ja selbst, dass bei De-Mail X.509 Zertifikate beliebiger Anbieter genutzt werden können. Und E-Mails mit X.509-Zertifikaten (z.B. von CAcert) per S/MIME zu verschlüsseln und zu signieren, geht heute schon recht einfach. Bis heute habe ich nie verstanden, warum Banken ihre Newsletter nicht per S/MIME signieren. Und im Gegensatz zu PGP ist S/MIME in allen gängigen E-Mail-Clients enthalten (z.B. Thunderbird, kmail, Outlook wohl auch mittlerweile).
Mein Fazit: Statt De-Mail und E-Postbrief hätte der Staat besser mal die normale (qualifizierte) digitale Signatur gepusht. Geld könnte die Wirtschaft dann über kostenpflichtige Zertifikate hereinholen. Der Rest wäre E-Mail-Handling wie gehabt.
2) Schlüsselhinterlegung
Bist Du sicher, dass beim E-Postbrief der (private) Schlüssel bei der optionalen Ende-zu-Ende Verschlüsselung bei der Post hinterlegt ist? In der Webkonferenz wurde gesagt, dass, sollte der Kunde den Schlüssel verlieren, alle verschlüsselten Nachrichten verloren wären. Oder ist nur die Passphrase (die man ja auch kennen muss) in der Hand des Kunden? Ich denke und hoffe aber, dass der private Schlüssel nur beim Kunden sein wird.
3) SPAM / Aussichten
Ich fände es ganz schlimm, wenn es darauf hinauslaufen würde, dass elektronische Kommunikation in Zukunft nur noch mit verifizierten Teilnehmern möglich ist. Die Möglichkeit anonymer Kommunikation muss Bestand haben, sonst können wir gleich eine Diktatur etablieren. Nicht mit mir. Dann lieber SPAM.
Was das Handling mit gesperrten Accounts bei gehackten PCs angeht, sieht man schon, wie komplex die Sache wird. Das Argument PGP (oder S/MIME) wären nie angekommen, scheint mir da von der Wirtschaft nur vorgeschoben, um Geld zu verdienen. Man könnte anders, wenn man wollte…
@Ralf
Okay, habe gerade Deinen Post “E-Postbrief – PGP-Verschlüsselung durch Zertifikate”. Anscheinend wird das Schlüsselpaar beim E-Postbrief auf dem Server der Post geniert, was in der Tat merkwürdig und unsicher ist und Hintertüren für Staat und Geheimdienst sein könnte. Da hilft es nur bedingt, die Passphrase nicht abgeben zu müssen. Woher weißt Du eigentlich, dass beim E-Postbrief PGP und nicht S/MIME mit X.509 verwendet wird?
@Ralf
… sorry für die Rechtschreibung, ich war zu schnell 😉
Hi Ralf
@ PGP:
Du hast Recht. Es gibt mehrere Verschlüsselungssysteme. PGP war meistens einfach mein Überbegriff für asymmetrische Verschlüsselung. Da ich kein IT-Profi bin kann ich nur journalistisch weitergeben, was ich per Interviews und Nachfragen erfahren hab. Sollte ich hierbei technisch ungenau gewesen sein tut es mir Leid. Das mit den 509 Zertifikaten ist eine recht neue Infos, welche erst seit dem RoundTable bekannt ist.
@ E-Postbrief Verschlüsselung:
Beim E-Postbrief kann man “nur” ein Zertifikat intern anfordern. Man kann also kein externes Zertifikat oder Verschlüsselung selber “mitbringen”. Die genaue Technik wird von der Post geheim gehalten (Security through obscurity).Läuft alles durch SIGNTrust. (Tochter der Post)
@SPAM:
Es wird meiner Meinung nach immer E-Mail (anonym) geben. Das kann man (demokratisch) gar nicht verbieten. Es geht aber hierbei um die rechtssichere digitale Kommunikation. Betonung (laut den Anbietern) liegt beim Wort rechtssicher. Mein Kaffeetreffen werde ich aus heutiger Sicht nie über De-Mail ausmachen. Dafür ist das System auch nicht gedacht.
@Man könnte anders wenn man wollte:
Sicher. Aber wie man auch sieht will kaum jemand aus der Bevölkerung. Bei 3%-5% verschlüsselter Kommunikation scheint das Thema in der breiten Bevölkerung einfach nicht angekommen zu sein. So könnte man es auch sehen.
@Rechtschreibung:
Kein Thema 🙂
Hoffe ich konnte dir passend antworten.
Hi Bätschman,
danke für die Antwort.
@ E-Postbrief Verschlüsselung:
Nun ja, auch eine Key-Generierung über ein Portal der Post könnte so geschehen, dass der Private Key nur dem Kunden bekannt ist. Bei S/MIME wird die Key-Generierung im Browser gemacht, wobei der Public Key dann automatisch von der Post (bzw. SIGNTrust) signiert würde. Vieles hängt von der technischen Umsetzung ab, die eigentlich komplett bekannt sein müsste, um eine echte Analyse der Sicherheit zu machen.
Falls Du mal in S/MIME bzw. X.509 reinschnuppern willst, empfehle ich Zertifikate von CAcert, siehe auch Infos auf meiner Homepage 😉
Schönen Gruß
Ralf
@Ralf
Danke. Wenn De-Mail dann richtig anläuft, werde ich mich auf jeden Fall mit X.509 Zertifikaten befassen. Auch aus eigenem Interesse. Bis jetzt reicht mir erst mal PGP. Kenne eh nur eine Person mit Verschlüsselung + dich 😉
@Bätschman
Das Schöne ist, dass Du mit dem Signieren Deiner Emails anfangen kannst, ohne auf andere zu warten. Das klappt auch, wenn der Kommunikationspartner davon nix weiß. Je mehr Leute S/MIME zum Signieren einsetzen, desto eher kann man dann beginnen, Emails zu verschlüsseln. Dabei hat S/MIME gegenüber PGP den großen Vorteil, dass Dein Zertifikat (Public Key) automatisch an jede Email angehangen wird, so dass peu a peu ohne eigenes Zutun die Schlüssel ausgetauscht werden. Und da S/MIME eine zentrale Struktur hat (mit einer oder mehreren Certification Authorities aka CA), werden automatisch alle Zertifikate, die von diesen CAs ausgegeben wurden, als vertrauenswürdig eingestuft. Auch ein Vorteil gegenüber klassischem PGP. Das läuft bei S/MIME nach dem gleichen Prinzip wie SSL/TLS im Browser. Deshalb ist es eigentlich überall schon eingebaut.