Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Ende-zu-Ende und kein Ende in Sicht
Im Zusammenhang mit dem eGovernment-Gesetz und De-Mail wurde zuletzt die sogenannte „Ende-zu-Ende-Verschlüsselung“ öffentlich diskutiert. Es stellt sich die Frage: Was ist eine Ende-zu-Ende-Verschlüsselung und wer braucht sie?
In der Diskussion um das eGovG werden so eindrucksvolle politische Haken geschlagen, dass kaum noch transparent ist, worum es im Kern eigentlich geht. Die „Community“ fordert „Ende-zu-Ende für jeden Bürger“, das eGovG bietet mit De-Mail eine Lösung, die genau das nicht bietet. Das ist übrigens bereits seit 2007 klar. Schön wäre es, wenn sich fundierte Kritik zu einem sinnvollen Zeitpunkt einbringen ließe.
Ich bemühe mich zunächst um eine Vereinfachung: Würden wir für den E‑Mail-Schutz Vertrauensklassen bilden, ließen sich Unterschiede wie folgt aufzeigen.
Klasse A würde „Ende-zu-Ende-Sicherheit“ bedeuten, d.h. heißt, der Versender verschlüsselt kryptografisch für den Empfänger und NUR DER kann die lokal entschlüsselte E‑Mail lesen. Klasse A ist zwar Vertraulichkeitssieger, hat aber deutliche Bequemlichkeitsnachteile, weshalb sie sich bis heute nicht durchsetzen konnte, obwohl sie seit vielen Jahren z.B. in Microsoft-Office/Outlook möglich ist. Die Zertifikatsverfügbarkeiten über verschiedene Hardware (PC, Tablet, Smartphone) verlangen vom Anwender einen bewussten Umgang damit, — die Mehrheit der Bundesbürger wird über diese Brücke nicht gehen (können).
Klasse B würde De-Mail und weitere „Gateway-Lösungen“ umfassen, bei denen zentral ver- und entschlüsselt und anschließend über „sichere Leitungen“ zugestellt wird. Klasse B erlaubt dem Provider theoretisch, beim Ver- oder Umschlüsseln Einblick zu nehmen. Es ist gesetzlich verboten und wird bei den Providern aufwendig verhindert, aber es ist eben grundsätzlich möglich. Es bleibt somit ein theoretisches Restrisiko. Dafür sind diese Lösungen deutlich bequemer, als die Klasse A und haben somit eine bessere Chance auf Nutzung in der Breite.
Klasse C wäre alles unter Klasse A und B, also z.B. die PDF-Passwortverschlüsselung bei E‑Mail-Anhängen. Hier ist die Bewertung „besser als gar nichts“ nicht ironisch gemeint. Genau so verhält es sich: Es gibt sicherheitstechnisch Besseres, aber bevor unverschlüsselt versendet wird …
Aus meiner Sicht geht es bei der heftigen De-Mail-Diskussion gar nicht um die tatsächlichen Sicherheitsqualitäten, sondern um Vertrauen in staatliche Instanzen und deren Angebote für den Bürger. Die „Community“ (wie immer man die definieren will) vertraut dem Staat nicht, der selbst privatwirtschaftlichen Providern vertrauen muss, von deren gesetzeskonformen Verhalten er ausgeht, die De-Mails beim Umschlüsseln weder sich noch anderen zugänglich zu machen.
Das unser eGovG mit seiner De-Mail und seinem neuen Personalausweis vom selben Ministerium (BMI) kommt, wie auch der berühmte „Bundes-Trojaner“, macht es in der öffentlichen Debatte mitunter nicht leichter. Kämen die eID-Medien für den Bürger aus dem Verbraucherschutzministerium oder einem immer wieder diskutierten Internet- bzw. Infrastrukturministerium, wären durch die klare Trennung die Vorbehalte der Bürger vermutlich geringer. So müssen wir uns weiter mit einer absurden Schizophrenie herum schlagen: Während den sozialen Netzwerken unreflektiert jeder noch so private Datensatz anvertraut wird, wird Angst vor einer De-Mail geschürt, die in der Kommunikation zwischen Bürger und Verwaltung ein Maß an Sicherheit etabliert, dass bisher nicht im Ansatz zur Verfügung stand. Haben wir das Vertrauen in eGov-Dienste für Bürger generell verloren, oder betreibt die „Community“ nur die leider übliche Skandalisierungsfolklore? Fragen Sie sich selbst!
Bild: © Torsten Wunderlich
2 Kommentare zu Ende-zu-Ende und kein Ende in Sicht
Schreiben Sie einen Kommentar

Dipl. Kaufmann (FH)
Seit 2002 bei DATEV, zunächst als Projektleitung elektronischer Rechtsverkehr tätig. Seit November 2009 ist Torsten Wunderlich Leiter des DATEV-Informationsbüro Berlin und dort in Gremien, Verbänden und politischen Ausschüssen am Ohr der Zeit zu eGovernment-Themen und deren IT-Sicherheitsmerkmalen. Oft übernimmt er die Rolle des “Übersetzers” zwischen Technikern, Juristen, Politikern und Betriebswirten, die oft keine gemeinsame Sprache in der Sache haben.

“Absurde Schizophrenie” und “Skandalisierungsfolklore” ?
Nach Snowden sollten Sie Ihre Sichtweise noch einmal überdenken. Leider hat sich bewahrheitet, dass Politiker und Sicherheitsorgane alles, was technisch an Überwachung machbar ist, auch tatsächlich nutzen. Was das Grundgesetz dazu sagt, interessiert niemanden. Der Bürger ist somit leider dazu gezwungen, sich vor den staatlichen Schnüfflern zu schützen!
Sichtweise überdenken.
… ja, — mit Snowdon hat sich bestätigt, was seit Jahren vermutet wurde. Meine Perspektive hat das kaum verändert, weil ich auch zu denen gehöre, die es vermutet hatten. Mir wäre auch eine Ende-zu-Ende-Verschlüsselung bei Bürgern, Behörden und Unternehmen die liebste Lösung, das ist aber leider aktuell für die Mehrzahl der Nutzer (noch!) nicht über intuitiv nutzbare bzw. anwendungsfreundliche und mobile Lösungen abbildbar. Solche Lösungen werden aber aktuell entwickelt und so hat der Skandal auch positive Nebenwirkungen …
Für Sie ein Link zu Thema: http://youtu.be/FgyltflcHFI