E-Postbrief Pressekonferenz 2.0 – Die Post äussert sich zu Kritikpunkten

Deutsche Post steht nach heftiger Kritik im Internet per Web-Konferenz Rede und Antwort zum E-Postbrief. (25.08.2010)
Die Deutsche Post bemerkte seit dem Start des E-Postbrief am 14. Juli, dass doch nicht alles so reibungslos verläuft wie es sollte. Technische Probleme, Fragen zur Datensicherheit und komplizierte Formulierungen in den AGBs haben das Internetvolk auf die digitalen Strassen getrieben. Mit Twitter-Fackeln und Blog-Heugabeln marschieren sie in Richtung Deutsche Postzentrale. Da ist es nur verständlich, dass die Deutsche Post ihr neuestes Kind den E-Postbrief schützen möchte. Aus diesem Grund lud sie Blogger und Journalisten zur Web-Pressekonferenz am heimischen PC ein. Vorab konnte man viel böse Worte im Internet lesen, dessen Autoren keinen Hehl daraus machten, dass die den E-Postbrief und prinzipielle alle „Rettungsversuche“ der Deutschen Post kategorisch ablehnen. Dieser Fundamentalopposition möchte ich mich nicht anschliessen. Aufklärung steht im Mittelpunkt und nicht Verurteilung.
Dr. Georg Rau Chef des E-Postbrief bei der Deutschen Post stellte sich auf der Web-Konferenz den zahlreichen Fragen der Blogger und Journalisten. Obwohl die Fragen teilweise im Vorfeld per E-Mail eingereicht werden konnten, reichten rund 90 Minuten nicht aus, um alle Fragen zu beantworten. Dies zeigt deutlich, dass noch einige Punkte der Klärung bedürfen. Dr. Georg Rau gab sich jedoch alle Mühe und stand den Bloggern und Journalisten Rede und Antwort.

Registrierung, Technik und Fehler:
Als erstes entschuldigte sich Dr. Rau für technische Fehler, Browserabstürze und verzögerte Registrierungen. Dies sei jedoch der Startphase des E-Postbriefs zuzuschreiben und soll sich ab Anfang November ändern. Dann sollen sich Nutzer auch direkt und ohne Adress-Tan als Zwischenschritt anmelden können. Vermutlich wird dann am Ende das Anmeldeprozesses die Post-ID direkt zum ausdrucken bereitgestellt, welche dann nur noch bei der Post angegeben werden muss. Somit würde ein Registrierungsschritt entfallen. Sollte die Nachfrage vorhanden sein, könnte sich Dr. Rau auch vorstellen, dass in mittelfristiger Zukunft der neue Personalausweis für die Registrierung benutzt werden kann. Jedoch gibt es auch bei dem neue Ausweisdokument Kritik zur Datensicherheit, auf die an dieser Stelle nicht eingegangen werden sollen.
Weitere Stabilität in der Anwendung des Onlineportals sollen auch immer wieder neue Software-Updates bringen, die vom Nutzer unentdeckt circa alle 14 Tage aufgespielt werden, so Dr. Rau.

Adresshandel findet nicht statt:
Heiß wurde in den letzten Wochen die Möglichkeit diskutiert, dass die Deutsche Post auf Grund der AGBs, welche man ja mit der Registrierung annimmt, Nutzerdaten weiter gibt oder sogar Handelt damit triebt. Diese Vermutung wurde von Dr. Rau ganz klar verneint.
Als Firma (z.B. Versicherung) besteht jedoch die Möglichkeit eine Art Adressenabgleich durchzuführen bzw. bei der Deutschen Post anzufragen, ob eine Kunde eine E-Postbriefadresse besitzt. Dabei hat aber die Firma keinen direkten Zugriff auf die Datenbank, sondern muss bei der Deutschen Post anfragen. Auf Nachfrage der Konferenzteilnehmer wie dann nach erwünschter und unerwünschter Post (SPAM) unterschieden werde könnte verwies Dr. Rau auf die gesetzliche Regelung, nach denen SPAM grundsätzlich illegal ist. Sollte also eine Firma unerwünschte Werbung schicken, so muss der Kunde diese Firma melden (siehe auch Twitter)(+Twitter 2). Die Post baut also auf Mitarbeit der einzelnen Nutzer und nimmt sich das Recht heraus, diese Firma dann im Notfall komplett zu sperren. SPAM ist somit technisch durchaus möglich, kann aber danke Identifikation gemeldet werden. Böse Zungen könnten jetzt natürlich die Frage stellen, in wie weit die Post eine grosse Firma wie z.B. eine Versicherung sperren würde, wenn diese wegen SPAM gemeldet wird? Könnte eine Firma sich hier über finanzielle Macht SPAM „erpressen“?

POP3, Einbindung in der Work-flow und Nutzerfreundlichkeit:
Kundenfreundlichkeit wird belohnt. Dies hat auch die Deutsche Post verstanden. Doch leider gibt es bis jetzt keine Möglichkeit den E-Postbrief komfortabel zu Hause auf dem heimischen Rechner per Mail-Client à la Outlook o.ä. zu empfangen und zu versenden. Um die Sicherheit des Systems und der Nutzer zu gewährleisten sind solche Ideen zwar mittelfristig in Planung, müssen aber auf nächstes Jahr verschoben werden. Knackpunkt ist hier die Unsicherheit bzw. die Gefährdung des Systems durch Viren und Trojaner, welches sich eventuell auf dem Computer des Nutzers befinden könnten. Dr. Rau betonte, dass nutzerfreundliche Anbindungen, unter anderem auch mobile Apps, sich aber auf der mittelfristigen Agenda befänden. Schutz des Systems sei aber höchstes Gebot.

Anbindung De-Mail Fehlanzeige:
Alle die sich hier Hoffnung gemacht habe wurde enttäuscht. Die Deutsche Post will erstmal abwarten in welche Richtung sich das De-Mail Projekt entwickelt, bevor sie plant dort Verbindungen zu knüpfen. Die Post war ja De-Mail Teilnehmer der ersten Stunden, hatte sich dann aber entschlossen ihr eigenes Konzept auf die Beine zu stellen. Die Vorteile liegen auf der Hand. Man ist sein eigener Herr und muss auf keinen Rücksicht nehmen oder warten bis Gesetze verabschiedet sind. Man unterwirft sich mit seinem Produkt den Regelungen des freien Marktes und vertraut auf sein Konzept. Nicht um sonst wird die Deutsche Post ihren E-Postbrief deutlich vor dem De-Mail auf den Markt gebracht haben. Es geht hier schliesslich um Geld und um Marktanteile.

Datensicherheit und Datenschutz beim Hybridbrief:
Einer der Knackpunkt des Hybridbriefs war bzw. ist das Ausdrucken. Ein per Hybridfunktion verschickter Brief wird von der Deutschen Post ausgedruckt und einkuvertiert. Hierbei bestände rein theoretisch die Möglichkeit, dass eine Postangestellter oder auch ein „Polizist“ den Brief abfängt und liest. Dies soll jedoch, so Dr. Rau, durch interne Kontrollen und voll automatische Druckvorgänge mit Hochgeschwindigkeit verhindert werden. Ein Punkt der sehr interessant ist, wird er doch von vielen Internetnutzern als einer der ganz grossen Fehler des Systems gesehen. Was vielleicht viele nicht wissen, ist das gerade grosse Firmen, aber auch mittlerweile einige KMU, externe Subunternehmer beschäftigen, welche das Drucken und Verschicken von Lohnabrechnungen, Rechnungen und sonstigen Briefen übernehmen. Wir denken nur zu gerne, dass die Briefe, welche wir erhalten von der Sekretärin persönlich zugeklebt worden sind. Ein Grossteil der Briefe, die wir erhalten wurde aber auf genau die gleiche Art verschickt, wie es die Deutsche Post machen will. Komischerweise stört das aber niemanden.
(siehe hierzu zwei ältere Artikel – Quelle 1 – Quelle 2)
Was das Thema Briefgeheimnis angeht, so steht seit längerem fest, dass der E-Postbrief schlicht und einfach nicht dem Briefgeheimnis, sondern nur dem Telekommunikationsgeheimnis unterliegt und damit nicht so gut vor staatlicher Kontrolle geschützt ist wie ein regulärer Brief (siehe auch Twitter). Dr. Rau betonte, dass es nur mit einen richterlichen Beschluss möglich sei, Briefe und auch E-Postbriefe einzusehen. Ausnahmen bildeten Anordnungen des Staatsanwalts auf Grund schwerer Verbrechen oder bei „Gefahr im Verzug“. Somit unterscheidet sich der E-Postbrief rechtlich nicht von einem gewöhnlichen E-Mail.
Ob dies nun für den einen oder anderen Nutzer sicher genug ist, muss jeder für sich selber entscheiden. Spannend wird es, wenn bei Gerichtsverhandlungen die ersten E-Postbriefkonten (oder auch De-Mail Konten) als Beweise vorgelegt werden.
EDIT: Wie ich über Twitter erfahren habe, unterliegt der E-Psotbrief ab dem Ausdrucken bei der Deutschen Post dem Briefgeheimnis. Zitat DP: “Beim klassischen Versand unterliegt der E-POSTBRIEF ab dem Ausdrucken dem Briefgeheimnis, bis dahin fällt er unter das TKG.”

Verschlüsselung per Zertifikat:
Wem das alles aber noch zu unsicher ist, der erhält die Möglichkeit seine E-Postbriefe durch ein persönliches Zertifikat zusätzlich zu verschlüsseln. Leider sind hier einige Punkte noch nicht ganz klar. Und eine wichtige Frage meinerseits wurde sogar komplett verweigert. So ist z.B. unklar, ob es sich um eine sichere asymmetrische Verschlüsselung handelt und wo genau die Schlüssel gespeichert werden. Fakt ist, dass jeder E-Postbriefkunde ein kostenloses Zertifikat über das E-Postbriefportal anfordern kann. Er erhält dann ein Passwort, mit dessen Hilfe er die an ihn adressierten E-Postbriefe entschlüsseln kann. Damit ein andere E-Postbrief Kunde nun seinem Kommunikationspartner einen verschlüsselten E-Postbrief schicken kann, benötigt dieser nicht nur ein Zertifikat sondern auch den öffentlichen Schlüssel des anderen Empfängers. Diesen findet er im Adressverzeichnis des E-Postbriefs. Was die Deutsche Post vergessen hat zu sagen, ist dass wenn man ein Zertifikat beantragt hat, man automatisch mit Namen und öffentlichem Schlüssel im öffentlichen Adressverzeichnis auftaucht. Um dort wieder gelöscht zu werden, muss man das Zertifikat ebenfalls löschen. Von dem her sieht es nach einer asymmetrischen Verschlüsselung à la PGP aus. Doch leider wurde mir die Antwort verweigert, wo genau der Schlüssel gespeichert wird und ob der Schlüssel auf richterlichen Beschluss offen gelegt werden muss. Fakt ist, dass der individuelle Schlüssel bei Verlust nicht wieder hergestellt werden kann und alle verschlüsselten Dokumente für immer verschlüsselt bleiben. Leider lässt die Antwort von Dr. Rau komplett offen, ob Ermittlungsbehörden dennoch Zugriff auf den Schlüssel erhalten. Eine direkte Anfrage bei SIGNTrust ergab, dass diese nur das Zertifikat bereitstellen. Die Schlüsselgenerierung jedoch bei der Deutschen Post bzw. beim E-Postbrief liegt:

Die entsprechenden E-Postbrief-Zertifikate werden von uns ausgestellt,nachdem wir vom E-Postbrief-System entsprechende Zertifikatsrequests erhalten haben. Die Schlüsselgenerierung und das Schlüssel- und Zertifikatsmanagement erfolgt also nicht durch uns.

Diese Aussage würde bestätigen, dass der E-Postbrief Server gleichzeitig der Schlüsselserver ist. Was meines Wissens nach die PGP Idee komplett aus hebelt. (siehe hierzu Kommentar von Bernd)
EDIT: Ich habe ein Zertifikat beantragt (Bearbeitungsdauer circa 1 Woche – Gültigkeit 5 Jahre). Dazu musste ich ein neues Passwort im Onlineportal eingeben, welches jetzt vermutlich mein Entschlüsselungspasswort ist. Da ich es im Onlineportal eingegeben habe kennt es der E-Postbrief Server. Eine Fussnote machte mich darauf aufmerksam, dass dieses Passwort nicht wieder herstellbar wäre, sollte ich es vergessen. Jetzt wäre es natürlich sehr fragwürdig, sollte das Passwort auf dem Postserver liegen und im Ernstfall für Richter zugänglich sein, der Kunde es aber bei Verlust nicht mehr abfragen könnte. Da die Deutsche Post hierzu schweigt, können nur Vermutung aufgestellt werden. Ich denke kaum, dass das Passwort nach Ausstellung des Schlüsselpaars vom Server komplett gelöscht wird um eine echte PGP Verschlüsselung zu gewährleisten. (Zusatzinfos werden gerne entgegen genommen)

Datenspeicherung und Vorratsdatenspeicherung:
Dr. Rau versicherte, dass Daten und E-Postbriefe nur solange gespeichert werden, wie dies vom Kunden gewünscht wird. E-Postbriefe, welche gelöscht wurde, werden mit minimaler Verzögerung auch im Backup System gelöscht. Wie grosse diese Verzögerung ist, konnte Dr. Rau jedoch nicht sagen. Darüber hinaus findet eine der Vorratsdatenspeicherung vergleichbare Speicherung nicht statt. So die Aussagen von Dr. Georg Rau. Im Internet gibt es bereits die ersten kritischen Kommentare zu dieser Aussage, dass wenn die Vorratsdatenspeicherung dann unter Umständen doch wieder eingeführt wird der E-Postbrief ebenfalls davon betroffen ist. Hier finde ich wichtig zu sagen, dass die ein rechtliches Problem ist. Die Deutsche Post dafür zu kritisieren, dass sie sich an das deutsche Gesetz hält finde ich an dieser Stelle sehr extrem. Wer keine Vorratsdatenspeicherung will muss ins Ausland abwandern. Dort warten aber schon FBI und Co., was die Situation auch nicht besser werden lässt. (leicht ironisch gemeint)

Leerung des Postfachs:
Wie zu erwarten fand zwar kein Widerruf der AGBs zu diesem Punkt statt, jedoch konnte man meiner Meinung nach heraushören, dass es der Post so ziemlich egal ist wie oft man sein E-Postbrief Postfach leert. Hier trifft also wie es zu erwarten war Realität auf juristische AGBs. Jeder Nutzer ist selbst verantwortlich wie oft er in sein E-Postbrief Postfach schaut. Und für den Notfall gibt es immer noch eine kostenloses SMS Benachrichtigung.
Die Eigenverantwortung kommt auch zum Tragen, sollte ein Nutzer länger Urlaub machen. Nach Dr. Rau ist es im Gegensatz zu den Formulierungen in den AGB erlaubt seine Login Daten an vertrauenswürdige Freunde weiterzugeben. Diese können dann während der Abwesenheit das Postfach kontrollieren und gegebenenfalls Eingänge melden. Ob man jedoch dem Nachbar sein Codewort verraten will, womit dann dieser z.B. auch die letzten Blutwerte o.ä. einsehen kann, sei jedem selber überlassen. Dann doch lieber bei SMS Benachrichtigung ins Internet-Cafe.

Firmen:
Firmen sollen zukünftig eigene E-Postbrief Adressen erhalten, die dann auch in einem gewissen Rahmen frei gewählt werden können. Als Beispiele wurden presse@[firma].epost.de oder max.mustermann@[firma].epost.de genannt.

Regulärer Brief oder doch lieber digitaler Brief:
Ab November sollen Kunden welche die Postadresse eines Empfänger eingeben automatisch gefragt werden, ob sie lieber eine digitale E-Postbrief schicken möchten, sollte der Empfänger eine E-Postbrief Adresse haben.
Ein Teilnehmer brachte die Frage auf ob ein regulärer Brief mit der E-Postadresse adressiert werden könnte und dieser dann als digitale Version im E-Postbrief Postfach landen würde. Laut Dr. Rau wird jedoch diese „Scan-Dienstleistung“ erst auf langfristige Zeit angeboten werden. Interessant war jedoch, dass auf einer Powerpoint Folie, welche zu Beginn der Pressekonferenz gezeigt wurde, genau dieses Szenario per Pfeilschaubild gezeigt wurde. Hier wurde wohl Folien der „5-Jahres-Strategie“ einfach per Copy-Paste in die Pressekonferenz eingebunden.

Keine durchgängige Verschlüsselung?:
Eine, wie ich finde wichtige Frage, wurde leider auch komplett weggelassen.
Wie ich gesehen habe gibt es eine Art „Quarantäne-Station“ für mit Viren u.ä Schadprogrammen verseuchte E-Postbriefe. E-Postbriefe welche als gefährlich eingestuft wurden landen automatisch in diesem „SPAM-Ordner“. Um die E-Postbriefe jedoch “scannen” zu können, müssen sie, wie bei De-Mail, auf dem Server zumindest kurz entschlüsselt werden. Die Deutsche Post behauptet jedoch, dass der E-Postbrief vom Sender bis zum Empfänger durchgängig verschlüsselt wird. Beide Aussagen passen meines Wissens nach nicht zusammen. Somit würden hier die gleichen Kritikpunkte zum tragen kommen, wie auch bereits bei De-Mail. Eine Entschlüsselung auf dem Server würde Hackern eine mögliche Angriffsstelle bieten und das System somit weniger sicher machen.

Hacker und die Sicherheit:
Um die Sicherheit gerade vor kriminellen Hacker zu gewährleisten beschäftigt die Deutsche Post ebenfalls Hacker (andere würden Sicherheitsbeauftragte dazu sagen), welche die Aufgabe haben mit vorgetäuschten Angriffen Schwachstellen im System zu finden.

Der E-Postbrief bei Behörden:
Leider konnte Dr. Rau kein Angaben machen, wann der E-Postbrief auf staatlicher Ebene eingesetzt werden wird. Man sei zwar auf Bundes- und Länderebene im Gespräch und habe auch schon Kontakt zu Kommunen aufgenommen, jedoch könnte man noch keine konkreten Pläne kommunizieren. Jetzt stellt sich natürlich die Frage warum ein Amt (Land oder Kommune) lieber den E-Postbrief nutzen sollte, wenn der grosse Bruder (Bundesebene) das Konkurrenzprodukt De-Mail an den Start bringt. Meiner Meinung wird man hier eine horrizontale „zweiklassen“ Kommunikation erleben. Ämter, Firmen und einige Privatleute werden De-Mail nutzen, Firmen und Privatleute werden den E-Postbrief nutzen und ganz wenige werden beide Systeme nutzen. Die Akzeptanz der Systeme wird mit den beteiligten Firmen stehen und fallen. Der Privatnutzer wird sich dem Produkt zuwenden, welches für ihn die meiste Kommunikation abdeckt. Der Nutzer wird sich dabei die Frage stellen, mit wem er mehr kommuniziert.

Änderungen der AGB:
Leider wurden Änderungen in den AGB vorerst abgelehnt. Änderungswünsche sollen jedoch gesammelt werden und als Komplettpaket in unbestimmt Zeit in die AGB einfliessen.

Fazit dieser Pressekonferenz:
Mein Fazit dieser Pressekonferenz fällt, wenn auch durchwachsen, positiv aus. Die Deutsche Post stellte sich der Kritik und versuchte einige Kritikpunkte zu entschärfen. Leider gelang ihr das, gerade im Hinblick auf die Verschlüsselung, meiner Meinung nach nicht vollständig. Dennoch sei vermerkt, dass das Gesamtbild des E-Postbrief deutlich klarer ist als zu Beginn. Hier dürfen sich wohl Blogger und Internet-Journalisten auf die Schulter klopfen.

Weitere Quellen:
E-Postbrief – eine neutrale Pro&Kontra Liste
Erste Eindrücke: #ePost-Webkonferenz – Die Post stellt sich den Usern
Deutsche Post steht Rede und Antwort zum E-Postbrief (Bericht von der Web-Konferenz am 25.08.2010)
Der ePost-Brief: Post AG stellt sich Fragen aus dem Netz

P.S.: Wie immer gilt, dass ich kein Geld o.ä. für diesen Beitrag erhalten und in keinem Lohnverhältnis zur Deutschen Post und den angebenden Firmen stehe. Sollte ich etwas falsch zitiert oder verstanden habe, so kann das per Kommentarfunktion gern vermerkt werden.

Update I:
Noch ein nachträgliches Interview, das zwar keine neuen Fakten bereithält, dafür aber nochmals den Leiter des E-Postbriefes Georg Rau im Interview zu Wort kommen lässt.

Bätschman

Zweiter Account von Ralf Bachmann

–> Details: https://www.ralfbachmann.de/author/ralfbachmann/