Deutschland streitet um den Sinn der rechtssicheren E-Mail. Die zwei neuen Produkte De-Mail und E-Postbrief sollen in Zukunft den digitalen Postverkehr revolutionieren. So das Versprechen der beteiligten Firmen. Rechtssichere und verbindlich Kommunikation durch klare Identifikation aller beteiligten Personen und Verschlüsselung ist das Ziel.
Doch manchmal fragt man sich, wie tief die jeweiligen Journalisten sich informiert haben und wie weit sie sich mit der Technik überhaupt auskennen.
Immer wieder liest man Behauptungen, die technisch nicht wahr sind oder bereits im Internet widerlegt wurden. Alte Kamelen neu aufgewärmt. Man liest von einer „Verwirrung durch De-Mail und E-Postbrief“, als ob die Kunden verwirrt wären, wenn es mehr als zwei Automarken oder mehr als zwei Fluggesellschaften geben würde. Sicherlich wird es „da draussen“ genug Menschen geben, die sich nicht mit der neuesten Technik beschäftigen und darum erstmal aufgeklärt werden müssen über technische Neuerungen. Deshalb aber gleich von Verwirrung zu sprechen?
FAZ Artikel bester Beweis
Einen solchen Artikel stellt auch der neueste Erguss der FAZ vom 14. November 2010 dar. Im Artikel „Gefährliche Angriffe auf die E-Mail“ erfährt der Leser mit welchen Tricks und Maschen Betrüger Zugriff auf E-Mailkonten erhalten. Wie sie durch Bettelbriefen und vorgetäuschten Sicherheitslücken Passwörter ergaunern und damit Zugriff auf vertrauliche Daten erhalten. Kontoeigentümer werden dann entweder um ihr Geld erleichtert oder regelrecht mit der Freigabe ihrer E-Mailkonten erpresst. Quintessenz der ersten Hälfte des Artikels ist jedoch immer die freiwillig Herausgabe der Passwörter. Die Nutzer werden durch verschiedene Methoden dazu verleitet ihre Zugangsdaten an andere Menschen freiwillig weiterzugeben.
Hier soll laut FAZ Autor Peter Welchering die De-Mail Abhilfe schaffen.
eine verlässliche Kommunikationsbasis zu schaffen und Mail-Napping möglichst auszuschließen. Mit dem DE-Mail-Verfahren soll sichergestellt werden, dass der Empfänger genau weiß, wer der Absender der E-Mail ist.
Jetzt stellt sich von technischer Seite aus die Frage wie das genau gemeint ist, denn auch bei De-Mail können auf dem einen oder anderen Wege die Kunden dazu verleitet werden ihre Zugangsdaten herauszugeben. Der Nutzer an sich ist immer das schwächste Glied in der Sicherheitskette. Wenn dieser sich überrumpeln lässt, nützen die besten Sicherheitsmaßnahmen nichts.
Oder redet der Autor vom „man-in-the-middle“? Also das Abfangen der Mails durch einen „Mann in der Mitte“, welcher die Mail dann verändert und an den eigentlichen Empfänger weiter sendet und so z.B. die Lieferadresse einer Ware austauschen kann, wobei das Bezahlkonto jedoch das Gleiche bleibt. Der Originalsender würde seine bezahlte Ware also nie erhalten.
Oder redet der Autor vom Hacken der De-Mails Server? Wer den Artikel weiter liest erfährt nämlich, dass die De-Mail Nutzer sich ausweisen müssen. Wie jedoch das Sicherstellen der Namen einen Sicherheitsgewinn bedeuten soll erfährt der Leser nicht. Sollen damit Napping-Versuche aufgedeckt werden? Der unwissende Leser wird mit dieser Information allein gelassen.
Ein paar Kritikpunkt zur Abrundung
Im nächsten Absatz geht es um die Verschlüsselung der De-Mails auf der Server. Wie bereits seit Monaten bekannt ist, werden De-Mails sowohl auf den Wegen, wie auch auf den Server verschlüsselt. Leider, und dies ist eine sehr wichtiger Punkt, findet für eine kurzen Zeitraum eine Entschlüsselung der De-Mails auf den Server der jeweiligen Provider statt. Hier könnten Hacker nun Zugriff auf die De-Mails und damit auf sensible Daten erhalten.
Allerdings wird dieser Zusammenhang in keinster Weise mit den Informationen in der oberen Hälfte des Artikel in Verbindung gebracht. Wie ist das Hacken eines Server mit dem freiwilligen Herausgeben der Zugangsdaten zu verbinden und welche Rolle spielt dabei De-Mail? Auch hierüber wird der Leser im Unklaren gelassen. Der Leser erfährt, dass auch De-Mails Server gehackt werden können um Mail-Napping zu betreiben. Soweit so gut. Werden jedoch der Amazon-Server oder der Bankserver hackt, erhält der Angreifer auch Zugriff auf meine Daten. Die Information, dass Server gehackt werden können, ist in Zeiten des Internet irgendwie nicht so extrem neu. Natürlich müssen von einer Zeitung auch Leser informiert werden, die nicht jeden Tag im Internet unterwegs sind und sich auf den Laufen halten. Aber innerhalb eines Artikel sollten die technischen und realistischen Zusammenhänge doch gegeben sein.
Ganz obskur wird es bei den Verbesserungsvorschlägen
So könnte zum Beispiel eine zentrale Stelle im DE-Mail-Service, die den Schlüsselaustausch koordiniert, Abhilfe schaffen.
Ist damit eine Schlüsselstelle gemeint, welche die Schlüssel für den Endverbraucher oder die Provider verwaltet? Was passiert wenn diese Schlüsselstelle ebenfalls gehackt wird? Sicherlich ist es schwieriger zwei Server zu hacken, jedoch besteht auch hier die theoretische Möglichkeit, dass die Schlüssel und damit die Daten in fremden Hände geraten. Die Hürde wird erhöht, aber eben nicht ganz ausgeschlossen.
(Un-)konkrete Verbesserungsvorschläge
Jedoch hat der Autor erkannt, dass es auch die Möglichkeit gäbe sein De-Mail selber nochmals individuell zu verschlüsseln.
Auch würde eine zusätzliche Sicherheitssoftware, die im Browser ausgeführt wird, für eine direkte Verschlüsselung vom Absender zum Empfänger sorgen können. Dann müsste allerdings ein anderes Verschlüsselungsprotokoll verwendet werden als das bisher für den DE-Mail-Service geplante. Ebenso könnte eine eigene DE-Mail-Software auf den PCs der Nutzer das Problem lösen. Sie müsste dann statt des Browsers verwendet werden, mit dem PC-Anwender den bisherigen Planungen zufolge ihre DE-Mail-Postfächer verwalten sollen.
Der Leser erfährt also, dass es noch Programme gäbe, welche die De-Mail zusätzlich verschlüsseln können. Welche diese jedoch sind bleibt geheim. Der Leser erfährt, dass dies mit Hilfe von Zusatzsoftware im Browser oder durch Mail-Client möglich wäre. Dass die Provider bereits an Plugins für Mail-Clients wie Thunderbird und Co. arbeiten erfährt der Leser des Artikel jedoch nicht. Dass De-Mail S/MIME unterstützen soll bleibt auch unerwähnt. Vermutlich wären das zuviel technische Information in einem Artikel. Lieber stochert man etwas im Nebel der E-Mailkommunikation herum.
Wo liegt das Problem?
Irgendwie hat man das Gefühl, der Autor suche ein Möglichkeit eine Artikel über De-Mail zu schreiben und leitet ihn ein mit einem Überblick über die Betrugsmöglichkeiten bei der normalen E-Mail. Ob die Arten der Betrugsmaschen dann auf die De-Mail passen bzw. die Überleitungen im Artikel auch passen, scheint dabei nicht zu interessieren. Es werden ein paar Betrugsmaschen aufgezählt, dann der klassische Satz „hier soll De-Mail Abhilfe schaffen“ und dann wird De-Mail erklärt. Am Ende ein paar allgemeine Kritikpunkt und dann noch ein paar unrecherchierte Verbesserungsvorschläge und fertig ist der oberflächliche De-Mail Artikel der mehr Verwirrung schafft als Antworten zu geben. Und dann wird im nächsten Artikel wieder behauptet, die Existenz von De-Mail und dem E-Postrief würde den Kunden verwirren.
P.S.: Wer Inhalte zu De-Mail und dem E-Postbrief sucht bitte auf in die Rubrik
De-Mail vs. Onlinebrief schauen!
Zweiter Account von Ralf Bachmann
–> Details: https://www.ralfbachmann.de/author/ralfbachmann/