nPA und De-Mail als Antiabhörwerkzeuge?

Seit 2006 wird an De-Mail und dem neuen Per­so­nal­ausweis gear­beitet. Es wurden eID-Wer­k­­zeuge geschaffen, die noch nicht akzep­tiert werden. Hilft der Snowden-Effekt nPA und De-Mail als Anti­ab­hör­tools und Ver­mittler von IT-Sou­­ve­rä­nität zu etablieren?

Ich war für DATEV früh (ab 2006) mit am Tisch der De-Mail-Pla­­nungen. Die Wirt­schaft sollte sich schließlich aktiv ein­bringen. Mit Blick auf die DATEV-Mit­­­glieder (StB, RA, WP) und deren Berufs­ge­heim­nisse war meine erste Hoffnung eine Ende-zu-Ende-Ver­­­schlüs­­selung, die aller­dings keine Zustimmung fand, weil der „Nor­mal­bürger“ das nicht brauchen würde: zu teuer, zu anwen­dungs­un­freundlich. Ich hatte diese Sicht­weise akzep­tiert, auch weil es Anbieter geben sollte, die das optional anbieten würden und ich habe in diesem Blog auch schon die unab­dingbare Not­wen­digkeit einer Ende-zu-Ende-Ver­­­schlüs­­selung in Frage gestellt. Seit dem haben sich aber wesent­liche IT-poli­­tische (Abhör-) Variablen ver­ändert: Gäbe es heute De-Mail mit der damals gefor­derten Ende-zu-Ende-Ver­­­schlüs­­selung, würden sich wohl Politik und Wirt­schaft gegen­seitig auf die Schultern klopfen.

Beim neuen Per­so­nal­ausweis (nPA) lief es sehr ähnlich, unsere Geheim­dienste konnten ja nicht wissen 😉 was auf die deutsche Wirt­schaft und die Bürger zukommen würde: die Mög­lichkeit der Total­erfassung auf Knopf­druck. Damals for­derte die Wirt­schaft für den nPA u.a., dass auch eID-Zer­­ti­­fikate von pri­vaten (zer­ti­fi­zierten) Anbietern mit auf den nPA geladen werden können, was sich leider nicht durch­setzen ließ. Schade, in der heu­tigen Situation wäre der Wett­bewerb um die besten Sicher­heits­zer­ti­fikate für den nPA wohl gerne gekommen. Kryp­to­gra­fi­schen Schlüs­sel­längen, Anwen­dungs­in­te­gra­tionen bzw. ‑freund­lichkeit und das Anbie­ter­ver­trauen wären die Ver­kaufs­ar­gu­mente, der nPA wäre nur ein „sicheres Etui“ für einen inno­va­ti­ons­för­dernden Sicher­heits­wett­bewerb am Markt. Auch hier könnte sich die Betei­ligten auf die Schultern klopfen, wäre diese (BITKOM-) Anregung damals auf­ge­nommen worden.

Wirt­schafts­spionage

Um der Wirt­schafts­spionage vor­zu­beugen, sind sichere eMail- und Cloud-Anwen­­dungen von grund­sätz­licher Bedeutung. Eine De-Mail mit Ende-zu-Ende-Ver­­­schlüs­­selung und ein nPA zur sicheren (und mobilen) Anmeldung an der Cloud, der jene eID-Zer­­ti­­fikate ver­wendet, die der Anwender im per­sön­lichen Kontext benötigt, sind kein Hexenwerk. Aber aktuell beginnt erst die Dis­kussion zu kon­zep­tio­nellen Ände­rungen. Wenn nPA und De-Mail in dieser Legis­la­tur­pe­riode keine höheren Akzep­tanz­werte als die gegen­wär­tigen erreichen, sind diese nicht nur keine „Anti­ab­hör­werk­zeuge“, sondern auch ins­gesamt kaum geeignet als eID-Medium in der gesell­schaft­lichen Mitte. Um Akzeptanz zu erreichen, sollten beide Werk­zeuge kon­zep­tionell über­dacht werden, auch wenn zwei­fellos poli­ti­scher Mut erfor­derlich wäre, tat­sächlich kon­zep­tio­nelle Anpas­sungen vor­zu­nehmen. Dabei hätte jeder (Bürger/Unternehmer) ggf. Ver­ständnis dafür, dass Snowdens Bot­schaften solche Anpas­sungen erfor­derlich machen.

Ich bin sehr gespannt, was in den nächsten Monaten bei dem Thema pas­siert! Der neue Innen­mi­nister befördert vor­sich­tigen Opti­mismus bei mir. nPA und De-Mail könnten wichtige Medien werden, wenn nicht auf dem aktu­ellen Kon­zept­stand bestanden wird. So hoffe ich, dass dieser Fle­xi­bi­li­tätstest im Government bestanden werden kann, denn das Scheitern von De-Mail und nPA würde einen (wei­teren) Ver­trau­ens­verlust in staat­liche IT-/eID-Pro­­­jekte provozieren.

Bild:  © Torsten Wunderlich