Kritik am Chaosradio-Podcast zu De-Mail und E-Postbrief

Ich weiss, dass ich mir mit folgendem Artikel sicherlich den Unmut einiger Leser einhandle, aber nachdem bei Twitter viel über das Radiointerview bei Chaosradio bzw. Fritz.de getwitter wurde, habe ich mir den Podcast auch mal angehört und muss ehrlich zugeben, dass ich aus mehreren Gründen leicht enttäuscht bin. Zum einen muss ich sagen, dass das Interview vom journalistischen Standpunkt her mehr als fragwürdig war. Mir wurde als Journalist immer gesagt: „Mach dich nicht mit einer Sache gemein“. Dies gilt auch für negative und kritische Sichtweisen. Wie sah jedoch das Interview im Podcast aus? Der Interviewer, Markus Richter, machte keinen Hehl daraus, dass er das De-Mail-System komplett anlehnte. Dementsprechend waren nicht nur seine Fragen und Anmerkungen formuliert, sondern auch sein Reaktionen. Kaum war eine Sache unklar fing er an zu lachen oder sonst eine komische Bemerkung zu machen. Von journalistische Neutralität aus meiner Sicht keine Spur. Schon der Eröffnungssatz: „ich bekomme in Zukunft meine Knöllchen per De-Mail zugesandt“ zeigt, wie schon zu Beginn versucht wurde das Systeme anzugreifen. Niemand bekommt gerne Knöllchen, ob digital oder als Brief. Ähnliches gilt für die Interviewpartner Constanze Kurz und Jörg Pohle. Zwei Personen, die als klar ausgewiesene Kritiker des Systems aber auch als IT-Profis, unter anderem des CCC, gelten. Was passiert also wenn sich drei Kritiker auf einem kritischen Radiosender zum Interview treffen? Das darf sich jeder selber ausmalen. Ich hätte mir z.B. auch ein Vertreter der Gegenseite gewünscht, der seine Meinung äussern kann. Aber egal. Es geht um die Sache. Dazu muss an dieser Stelle angemerkt werden, dass das schnelllebige Internet in diesem Fall die Interviewpartner vermutlich überholt hat, denn am gleichen Tag hat die Post ein paar Sachen zu ihren AGB erläutert, die im Interview noch als fragwürdig oder unklar galten. Von dem her sind einige Sachen heute schon etwas klarer, die im Interview bemängelt wurden. Achtung: Ich sage an dieser Stelle deutlich, dass ich nicht den E-Postbrief oder die De-Mail verkaufen will. Aber kurz vor dem Interview wurden im Internet ein paar Sachverhalte aufgeklärt, die so wohl den Interviewpartnern zum Zeitpunkt des Interviews noch nicht bekannt waren.

Doch jetzt zum Interview und den Punkten. Wichtig ist, dass es hauptsächlich um De-Mail und weniger um den E-Postbrief der Deutschen Post ging. Auch wenn diese beiden „unterschiedlichen“ System immer wieder gern vermischt wurden und auch von den Anrufern oft unsauber getrennt wurden. Ein paar Punkt sind mir aufgefallen.

Wann gilt das Einschreiben oder der Brief als zugestellt?:
Bei De-Mail gilt ein Brief nach 3 Tagen als zugestellt. Das ist bei beim Papier-Postbrief meines Wissens genauso. Bei beiden Zustellformen, wie auch beim E-Postbrief, ist es egal ob man im Urlaub ist. Der Brief liegt trotzdem im Hausbriefkasten und somit im Machtbereich des Empfängers. Ein Einschreiben gilt und da stützte ich mich auf ein Kommentar in meinem Blog von einem Piraten auch unabgeholt nach 3 Tagen als zugestellt. Auch wenn es noch bei der Post liegt. Ob dies ganz genau so stimmt kann ich nicht genau sagen (Sind Juristen im Raum?)(Wikipedia). Andere Quellen im Internet sagen, dass man ein Einschreiben immer abholen muss, sonst geht es zurück an den Absender. klar ist es bei Einschreiben mit Rückantwortschein. Das geht bei Nichtabholung immer an den Absender zurück. Wie ich auf einer Anwaltsseite gelesen habe gilt dies nicht für „bewusste Zugangsvereitelung“. Wenn ich den Inhalt kenne und die Annahme verweigere, weil es eine „schlechte Nachricht“ für mich ist, bin ich also nicht geschützt. Wenn man sich über Pflichten von De-Mail unterhält sollte man auch alle „Papier-Briefpflichten“ gegenüberstellen. Das wurde im Beitrag etwas husch husch (schnell) übergangen.
Beim E-Postbrief und vermutlich auch bei bald bei De-Mail gibt es übrigens auch ein Einschreiben mit Lesebestätigung (höherer Preis). Der Empfänger kann das Einschreiben erst lesen/öffnen, wenn er den Empfang manuell bestätigt hat. Somit ist der Ansender 1000%ig sicher, dass der Brief empfangen und gelesen wurde. Soviel zum technischen Aspekt.
Ausserdem wurde der BVG Entscheid „Rücksetzung in den Ausgangszustand“ angesprochen. Wenn ich beweisen kann, dass ein Schriftstück nie bei mir angekommen ist, kann man Fristen vom Gericht eventuell zurücksetzen lassen. Das war, so ich das verstanden habe, aber ein nachträgliches Urteil und stand nicht von Anfang an im Gesetz. Wer sagt, dass das bei De-Mail und Co. nicht auch mal kommt. Haus abgebrannt, PC kaputt und wegen Hartz4 kein Geld für einen Neuen usw. Da finde ich wird zu schnell geurteilt. Auch das De-Mail-Gesetz ist nicht in Stein gemeiselt und kann und wird vermutlich auch durch Präzedenzfälle „erweitert“.

Thema Wirtschaftsspionage:
Die Wirtschaftsspionage ist ein weit verbreitetes Übel. Aber ich finde man sollte bei der Kritik über De-Mail und den E-Postbrief immer trennen zwischen Fehler im System und der Umsetzung und illegalen Angriffen von aussen. Kritikpunkt war, dass durch De-Mail die Wirtschaftsspionage beflügelt würde. Aus eigener Erfahrung weiss ich, dass auch heute geheime Dinge ohne Sicherheitsbedenken über ungeschützt E-Mailkanäle laufen. Viele Benutzer wissen das nicht, oder es interessiert sie nicht. De-Mail unternimmt wenigstens den Versuch hier eine bessere Sicherheit gegen aussen zu setzen. Ob das gelingt ist wieder ein anderer Punkt. Aber die Wirtschaftsspionage ist auch heute schon da. Und teilweise auch mit richtigen Einbrüchen, Abhöraktionen, Hackern usw. Da wäre De-Mail nur ein Teilaspekt und keine exorbitante Steigerung wie das im Radiointerview meiner Meinung nach suggeriert wurde. Sicherlich ist bei weit verbreiteter Nutzung von DE-Mail die Chance gross, dass alle sensible Daten „auf einem Haufen“ liegen, Industriespione also „nur zugreifen“ müssen wie in einem Süssigkeitenregal. Dies ist dann aber auch eine Frage der Technik, welche weiter unten noch aufgegriffen wird.

Thema SPAM:
Da wurde im Interview und auch am Telefon meiner Meinung nach viel vermischt. SPAM-Filter, Firewalls, Freemail Anbieter usw. – alles in einen Topf geworfen und dann ein De-Mail Schildchen „draufgeklebt“. Meine leicht saloppe Formulierung gründet sich auf Ausführungen der Interviewpartner und der Anrufer. Ob man denkt, dass die beiden neuen System (De-Mail und E-Postbrief) für immer und ewig SPAMfrei bleiben, sei jedem selber überlassen. Ich finde man sollte die Fakten aufzählen. Und auch hier wieder zwischen Fehlern im System und illegalen Angriffen trennen. Wenn eine Firma mir ungefragte Werbung schickt, ist das SPAM und damit illegal. Ich kann diese Firma nun verklagen. Wenn ich einer Behörde meine De-Mail Adresse weitergeben ist das meine Entscheidung – die ich meiner Meinung nach auch Wiederrufen kann und immer nur für eine Behörde gilt.* Wenn ein Hacker einen Account knackt und mir Viagra-Werbung schickt, dann ist das ein Angriff von aussen. Wenn ein Anbieter (GMX, Telekom) mir Werbung schickt, kann ich ihn auch anzeigen und er fliegt vielleicht aus dem System. (AGB werden hier interessant)
Jetzt wurde das Argument gebracht, dass ich mich ja selber als De-Mail-Anbieter registrieren könnte. Sprich ich setzten einen eigenen Mailserver auf und durchlaufe alle Prüfungen um zum System zugelassen zu werden. Technisch durchaus möglich. Aber wie sehen die weiteren Schritte aus? Ich bin als Anbieter und vielleicht als einziger Nutzer (da ja mein eigener Server) komplett namentlich erfasst. Jede SPAM kostet, jede SPAM ist zurückverfolgbar, jede SPAM ist illegal. Ich zahle Geld fürs Verschicken, ich zahle Strafen, vielleicht sogar Entschädigungen und werde gesperrt. Ob sich das lohnt? Natürlich könnte ich vortäuschen, dass mein Server gehackt wurde, aber dann fliege ich wegen schlechter Technik ebenfalls aus dem System. Und ausserdem ist die Möglichkeit sich als Privatperson anzumelden im Moment nicht vorgesehen und es gibt auch im Moment keine Verlautbarungen ob und wann dies möglich sein wird.
Bleibt meiner Meinung nach der Angriff von aussen durch Hacker oder Phisher.
Was mich zum nächsten Punkt bringt.

Das Vertrauen zum Anbieter:
Als zwei weitere Punkte wurde das Registrierungsverfahren der Regierung (Zulassung der Anbieter) und das technische Know-How der Anbieter ins Spiel gebracht. Für den Interviewführer waren diese zwei Punkt klar negativ. Er vertraut weder der Regierung, dass diese die Anbieter richtig kontrolliert, noch das Anbieter wie Telekom, Stichwort Datenskandal, oder United Internet das Know-How haben den Zugang sicher zu gestalten. Das ist meiner Ansicht nach eine Frage, die jeder Nutzer sich selber stellen muss. Und das soll ja auch, zumindest bei De-Mail, der Markt regeln. Wer ist der bessere Anbieter? Welcher Anbieter hat das bessere Firmen-Image und welcher Anbieter geniesst das Vertrauen der Leute? Darum soll es ja mehrere Anbieter geben, die auch untereinander mit Zusatzdiensten, unterschiedlichen Preisen und vielleicht auch unterschiedlich starken „Hacker-Barrieren“ konkurrieren.
Aber jetzt ein provokante Gegenfrage: Warum macht die Piratenpartei nicht einen eigenen Server/Anbieter auf? Nach dem Motto: „Die Gesetze müssen wir leider einhalten aber für den Rest sind wir die Besten.“ Keine Datenskandale, keine Weitergabe der Daten, bestes Sicherheits-Know-How usw. Ich finde hier könnte die Piratenpartei sehr gut zeigen, dass sie technisch besser ist als andere Anbieter und vertrauenswürdiger was die Daten angeht. Sozusagen mit gutem Beispiel vorangehen. Ich würde mir ein Konto dort eröffnen und vielleicht sogar mehr bezahlen (Parteikasse für spätere Wahlkampagnen?) als bei anderen De-Mail-Anbietern. Eine automatische PGP Implementierung wäre auch denkbar.

Gegenargument PGP schon lange bekannt:
Provokante Frage: Wer ist PGP? Wo wohnt der?
Was ich damit sagen will. PGP ist im Moment nicht massentauglich, nicht rechtskräftig, wird von Ämtern nicht angeboten und ist somit „eigentlich“ nicht existent. Warum gab es bis jetzt keine rechtlichen Vorstösse oder Aktionen PGP in Rathäusern oder ähnlichem zu installieren? Ich habe OpenPGP kenne aber niemanden mit dem ich schreiben könnte. Und Verabredungen zum Kaffee muss ich nicht verschlüsseln. Wenn man die De-Mail im grossen Stil kritisiert, finde ich muss man sich auch die Frage gefallen lassen, warum man bisher keine Vorstösse gesehen hat PGP auch nur im Ansatz auf staatlicher Ebene einzuführen. Laut Interviewpartnerin benützen 20% ihrer Studenten PGP. 20% von vermutlich erfahrenen IT-Studenten. Das macht umgerechnet auf die Gesamtbevölkerung wieviel Prozent? Auch erkenne ich, wie oben beim Punkt Industriespionage, (noch) keine Sensibilität für das Thema in der Bevölkerung. Vielleicht sollte man mit Kampagnen auch hier einmal ansetzen?

Zusatzverschlüsslung De-Safe:
Da fand ich die Reaktion des Interviewführers interessant. Als erstes sprach er die nicht sichere Verschlüsselung durch die Anbieter an und dann lachte er, als gesagt wurde, dass es eine optionale private Verschlüsslung gibt. Das kam für mich so rüber, dass man als erstes sagt, die interne Verschlüsselung sei nicht sicher und dann eine optionale Zusatzverschlüsslung als negativen Punkt „verkaufen“ will. Ja wie jetzt? Als erstes „Verschlüsselung Verschlüsselung“ schreien und dann eine optionale Zusatzverschlüsselung ankreiden? Das Widerspricht sich doch oder? Natürlich wäre eine sauber Verschlüsselung von Anfang an zu wünschen, aber wenn sie zusätzlich installiert werden kann ist das doch nicht negativ. Oder sehe ich das zu streng? Bitte nicht falsch verstehen. Die Werbung verspricht hier viel und das System hält wenig oder nur eine Teil davon. Aber die Reaktion des Interviewführers war etwas komisch aus meiner Sicht.

3mal falsches Passwort eingeben und der Zugang ist gesperrt:
Die Aussage war grob, dass wenn man in der Pilotphase von De-Mail 3mal sein Zugangspasswort falsch eingibt, man gesperrt wird und per Post ein neues Passwort geschickt bekommt. Diese Aussage ist falsch. Als Teilnehmer der Pilotphase (der selber 3mal sein Passwort falsch eingeben hat) kann ich sagen, dass es dann ein „Entsperrpasswort“ gibt, welches man zu Beginn der Registrierung per Papier-Brief zugeschickt bekommt. Gibt man dieses ein, hat man wieder 3 Möglichkeiten sein Passwort zu versuchen. Erst wenn man das „Entsperrpasswort“ 3mal falsch eingibt, bekommt man ein Neues. Das konnte zumindest in der Testphase etwas mit PIN und PUK beim Handy verglichen werden. Ob dieses System beim offiziellen Start beibehalten wird, kann ich nicht sagen.

Was mich zum nächsten Punkt bringt – Handy:
Das ist auch eine leicht komische Geschichte. Beginn wir am Anfang. De-Mail hat zwei Arten von Zugängen: einen „normalen“ Zugang mit Login und Passwort und einen „sicheren“ Zugang mit Login, Passwort und Handy-Tan (alternativ auch Tokken-Tan). Datenschützer hatten schon zu Beginn der De-Mail-Testphase bemängelt, dass der „normale“ Login nicht besonders sicher sei (Stichwort Phishing, Trojaner, Key-Logger etc.). De-Mail sollte doch darauf komplett verzichten und nur mit „sicherem“ Login mit Handy-Tan arbeiten, da man ein Handy normalerweise nicht abhören kann. Bei dem E-Postbrief wurde bemängelt, dass es nur mit Handy-Tan geht, „handylose“ Menschen also ausgeschlossen werden. Ja was denn jetzt? Mal so mal so.
Wenn ein Trojaner meinen PC ausspioniert, kann er durch die Handy-Tan „ausgetrickst“ werden, da der zugeschickte Code nur ein einziges Mal funktioniert. Der ausspionierte Login samt Passwort bringt dem Trojaner somit nichts. Dafür können „handylose“ Menschen sich nicht anmelden. Andererseits können Accounts, die mit der Handy-Tan geöffnet werden, auch nicht von bösen Phishern für SPAM missbraucht werden. Welche Vorgehensweise ist jetzt besser? Zugang für alle oder sicheren Zugang für Handybesitzer? Darüber hinaus gibt es bei De-Mail auch die Möglichkeit Mails mit „hohem Sicherheitslevel“ zu verschicken. Ganz sensible Daten, können so verschickt werden, dass der Empfänger sich mit Handy-Tan einloggen muss um diese zu lesen. Selbst wenn also per illegalem „normalen“ Login auf sein Konto zugegriffen wird, kann er Phisher die Nachrichten mit „hohem Sicherheitslevel“ nicht anschauen/lesen. (Quelle)

Sehr geehrter Leser und vielleicht auch sehr geehrter Interviewteilnehmer. Seit mehreren Wochen lese ich fast alles was zu diesem Thema durch die Twitterwelt und Blogssphäre geistert und suche, vielleicht auch unterbewusst, nach sachlich dargebrachten Kritikpunkten. Aber sehr oft werden interessante Punkte durch die Antwortformulierung so abgeschwächt oder so schwammig beantwortet, dass ich, selbst als eingelesener Internetnutzer, kaum weiss woran ich schlussendlich bin. Wie mag es da wohl dem unerfahrenen Leser gehen. Wo bleibt die sachliche Kritik, die genau trennt nach Fehlern im System, im Gesetz und illegalen Angriffen bzw. möglichen Angriffspunkten? Welche Gefahren gehen vom User selber aus und welche von der Regierung? Wo muss ich aufpassen und wo kann ich noch sicherer kommunizieren? Und zwar so, dass meine Mails auch gelesen werden können.
Wie immer gilt, dass ich gerne bereit bin dazuzulernen. Sollte ich also etwas falsch verstanden haben oder den Podcast falsch zitiert haben bitte ich um Korrektur.

* Eine De-Mail Freigabe für eine Behörde z.B. Einwohnermeldeamt soll laut Interview mit Dr. Uwe Schiel nicht für andere Behörden gelten. Nur weil man also seinen Pass verlängert, bekommt man nicht automatisch Knöllchen per De-Mail zugeschickt.

Bätschman

Zweiter Account von Ralf Bachmann

–> Details: https://www.ralfbachmann.de/author/ralfbachmann/