DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Ende-zu-Ende und kein Ende in Sicht

end to end ohne ende

Im Zusam­menhang mit dem eGo­­vernment-Gesetz und De-Mail wurde zuletzt die soge­nannte „Ende-zu-Ende-Ver­­­schlüs­­selung“ öffentlich dis­ku­tiert. Es stellt sich die Frage: Was ist eine Ende-zu-Ende-Ver­­­schlüs­­selung und wer braucht sie?

 

In der Dis­kussion um das eGovG werden so ein­drucks­volle poli­tische Haken geschlagen, dass kaum noch trans­parent ist, worum es im Kern eigentlich geht. Die „Com­munity“ fordert „Ende-zu-Ende für jeden Bürger“, das eGovG bietet mit De-Mail eine Lösung, die genau das nicht bietet. Das ist übrigens bereits seit 2007 klar. Schön wäre es, wenn sich fun­dierte Kritik zu einem sinn­vollen Zeit­punkt ein­bringen ließe.

Ich bemühe mich zunächst um eine Ver­ein­fa­chung: Würden wir für den E-Mail-Schutz Ver­trau­ens­klassen bilden, ließen sich Unter­schiede wie folgt auf­zeigen.

Klasse A würde „Ende-zu-Ende-Sicherheit“ bedeuten, d.h. heißt, der Ver­sender ver­schlüsselt kryp­to­gra­fisch für den Emp­fänger und NUR DER kann die lokal ent­schlüs­selte E-Mail lesen. Klasse A ist zwar Ver­trau­lich­keits­sieger, hat aber deut­liche Bequem­lich­keits­nach­teile, weshalb sie sich bis heute nicht durch­setzen konnte, obwohl sie seit vielen Jahren z.B. in Microsoft-Office­­/Outlook möglich ist. Die Zer­ti­fi­kats­ver­füg­bar­keiten über ver­schiedene Hardware (PC, Tablet, Smart­phone) ver­langen vom Anwender einen bewussten Umgang damit, — die Mehrheit der Bun­des­bürger wird über diese Brücke nicht gehen (können).

Klasse B würde De-Mail und weitere „Gateway-Lösungen“ umfassen, bei denen zentral ver- und ent­schlüsselt und anschließend über „sichere Lei­tungen“ zuge­stellt wird. Klasse B erlaubt dem Pro­vider theo­re­tisch, beim Ver- oder Umschlüsseln Ein­blick zu nehmen. Es ist gesetzlich ver­boten und wird bei den Pro­vidern auf­wendig ver­hindert, aber es ist eben grund­sätzlich möglich. Es bleibt somit ein theo­re­ti­sches Rest­risiko. Dafür sind diese Lösungen deutlich bequemer, als die Klasse A und haben somit eine bessere Chance auf Nutzung in der Breite.

Klasse C wäre alles unter Klasse A und B, also z.B. die PDF-Pas­s­wor­t­­ver­­­schlüs­­selung bei E-Mail-Anhängen. Hier ist die Bewertung „besser als gar nichts“ nicht iro­nisch gemeint. Genau so verhält es sich: Es gibt sicher­heits­tech­nisch Bes­seres, aber bevor unver­schlüsselt ver­sendet wird …

Aus meiner Sicht geht es bei der hef­tigen De-Mail-Dis­kussion gar nicht um die tat­säch­lichen Sicher­heits­qua­li­täten, sondern um Ver­trauen in staat­liche Instanzen und deren Angebote für den Bürger. Die „Com­munity“ (wie immer man die defi­nieren will) ver­traut dem Staat nicht, der selbst pri­vat­wirt­schaft­lichen Pro­vidern ver­trauen muss, von deren geset­zes­kon­formen Ver­halten er ausgeht, die De-Mails beim Umschlüsseln weder sich noch anderen zugänglich zu machen.

Das unser eGovG mit seiner De-Mail und seinem neuen Per­so­nal­ausweis vom selben Minis­terium (BMI) kommt, wie auch der berühmte „Bundes-Tro­janer“, macht es in der öffent­lichen Debatte mit­unter nicht leichter. Kämen die eID-Medien für den Bürger aus dem Ver­brau­cher­schutz­mi­nis­terium oder einem  immer wieder dis­ku­tierten  Internet- bzw. Infra­struk­tur­mi­nis­terium, wären durch die klare Trennung die Vor­be­halte der Bürger ver­mutlich geringer. So müssen wir uns weiter mit einer absurden Schi­zo­phrenie herum schlagen: Während  den sozialen Netz­werken unre­flek­tiert jeder noch so private Datensatz anver­traut wird, wird Angst vor einer De-Mail geschürt, die in der Kom­mu­ni­kation zwi­schen Bürger und Ver­waltung ein Maß an Sicherheit eta­bliert, dass bisher nicht im Ansatz zur Ver­fügung stand. Haben wir das Ver­trauen in eGov-Dienste für Bürger generell ver­loren, oder betreibt die „Com­munity“ nur die leider übliche Skan­da­li­sie­rungs­folklore? Fragen Sie sich selbst!

Bild:  © Torsten Wun­derlich

2 Kommentare zu Ende-zu-Ende und kein Ende in Sicht

  • tenzin sagt:

    Absurde Schi­zo­phrenie” und “Skan­da­li­sie­rungs­folklore” ?
    Nach Snowden sollten Sie Ihre Sicht­weise noch einmal über­denken. Leider hat sich bewahr­heitet, dass Poli­tiker und Sicher­heits­organe alles, was tech­nisch an Über­wa­chung machbar ist, auch tat­sächlich nutzen. Was das Grund­gesetz dazu sagt, inter­es­siert nie­manden. Der Bürger ist somit leider dazu gezwungen, sich vor den staat­lichen Schnüfflern zu schützen!

    • Wunderlich sagt:

      Sicht­weise über­denken.
      … ja, — mit Snowdon hat sich bestätigt, was seit Jahren ver­mutet wurde. Meine Per­spektive hat das kaum ver­ändert, weil ich auch zu denen gehöre, die es ver­mutet hatten. Mir wäre auch eine Ende-zu-Ende-Ver­schlüs­selung bei Bürgern, Behörden und Unter­nehmen die liebste Lösung, das ist aber leider aktuell für die Mehrzahl der Nutzer (noch!) nicht über intuitiv nutzbare bzw. anwen­dungs­freund­liche und mobile Lösungen abbildbar. Solche Lösungen werden aber aktuell ent­wi­ckelt und so hat der Skandal auch positive Neben­wir­kungen …

      Für Sie ein Link zu Thema: http://youtu.be/FgyltflcHFI

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Torsten Wun­derlich, DATEV eG

Dipl. Kaufmann (FH)

Seit 2002 bei DATEV, zunächst als Pro­jekt­leitung elek­tro­ni­scher Rechts­verkehr tätig. Seit November 2009 ist Torsten Wun­derlich Leiter des DATEV-Infor­ma­ti­onsbüro Berlin und dort in Gremien, Ver­bänden und poli­ti­schen Aus­schüssen am Ohr der Zeit zu eGo­vernment-Themen und deren IT-Sicher­heits­merk­malen. Oft über­nimmt er die Rolle des “Über­setzers” zwi­schen Tech­nikern, Juristen, Poli­tikern und Betriebs­wirten, die oft keine gemeinsame Sprache in der Sache haben.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare