Freitag, 29. März 2024

Archiv


Eine Frage der Verschlüsselung

Die DE-Mail der Deutschen Telekom steht vor allem deshalb in der Kritik, weil Nachrichten auf dem Weg zum Empfänger zweimal Ent- und wieder verschlüsselt werden. Die Deutsche Post bietet hingegen eine durchgängig verschlüsselte Lösung an. Nun reagiert die Telekom mit einer Art Sicherheitsoffensive.

Von Peter Welchering | 01.06.2013
    Der Streit über die Sicherheit des DE-Mail-Verfahrens hat bei den Providern tiefe Spuren hinterlassen. Um das Vertrauen der Anwender zu gewinnen, setzen sie deshalb auf eine ganz augenfällige, ja martialische Präsentation von Sicherheit. So zum Beispiel im Frankfurter DE-Mail-Rechenzentrum mit Sicherheitszäunen und regelrechten Panzersperren: Dort liegen nicht nur die Postfächer der Telekom-Kunden auf den Servern, sondern auch die von United Internet, sprich GMX und Web-de.

    Und hier präsentiert DE-Mail-Sicherheitschef Dr. Christan Scharff stolz die Sicherheitszonen samt Vereinzelungsschleusen und den separaten Drahtkäfig, in dem die Mail-Server stehen, auch DE-Mail-Käfig oder Mail-Cage genannt.

    "Das beginnt bei einer Zone, die halb öffentlich noch zugänglich ist für jeden, der sich normal anmeldet im Anmeldebereich. Dann geht es durch entsprechende Sicherheitsschleusen bis in den Bereich, wo wir unseren DE-Mail-Cage haben. Dieser Bereich ist in einem separaten Gebäude vorgesehen. Um ihn zu erreichen, müssen also Sicherheitsschleusen und Kontrollen passiert werden, so dass dort also ein Zutrittsschutz sichergestellt ist, so wie er in den technischen Richtlinien und nach die IT-Grundschutz des BSI gefordert ist."

    Wer den Server-Käfig im Frankfurter Rechenzentrum betreten will, benötigt einen Begleiter. Hier ist in allen Bereichen das Vier-Augen-Prinzip vorgeschrieben. Selbst wenn ein Techniker eine defekte Festplatte austauschen will, darf er das nur unter Aufsicht tun. Mit bewaffneten Sicherheitskräften auf dem Rechenzentrumsgelände will die Telekom die Botschaft sichtbar demonstrieren: De-Mail ist sicher. Fragen nach den Sicherheitsrisiken durch das zweimalige Entschlüsseln und erneute Verschlüsseln der DE-Mails wiegelt Sicherheitschef Christain Scharff denn auch ab.

    "Die Daten, die eingehen, werden auf dem entsprechenden Server auf Spam und auf Viren geprüft und dann umgehend wieder verschlüsselt, bevor sie irgendwo gespeichert werden. Es ist also nicht möglich, in diesem Prozess Daten unverschlüsselter Art abzugreifen oder zuzugreifen."

    Weil aber auch das weder die Datenschützer noch die Anwender wirklich überzeugt, gibt sich Dr. Frank Wermeyer, bei der Deutschen Telekom AG für die DE-Mail-Strategie verantwortlich, in Sachen der durchgängigen Verschlüsselung ausgesprochen gesprächsbereit.

    "Wenn diese Ende-zu-Ende-Verschlüsselung tatsächlich aus Kundensicht der maximale Nutzen ist, dann würden wir die auch anbieten. Klammer auf, der maximale Nutzen entsteht dann, wenn Ende-zu-Ende-Technologie tatsächlich eingesetzt werden kann, das heißt, wenn sie einfach ist, wenn sie verständlich ist. Und Stand heute gibt es nach unserer Kenntnis kein Verfahren, mit dem Sie wirklich ein Mailverfahren, das mit Webzugriff funktioniert, sauber Ende zu Ende verschlüsseln können, ohne dass sie dem Verbraucher die gesamte Komplexität und Last aufbürden. So, das heißt kurz zusammengefasst: Sobald eine Technologie verfügbar ist, die das einfach möglich macht, sind wir die Letzten, die es nicht anbieten würden."

    Einerseits sind laut Telekom-Interpretation die De-Mail-Anwender von einer Ende-zu-Ende-Verschlüsselung überfordert, andererseits wird diese durchgängige Verschlüsselung von den großen Unternehmen nicht nachgefragt, argumentiert Frank Wermeyer.

    "Technisch und juristisch ist die DE-Mail durchaus in der Lage, Ende-zu-Ende-verschlüsselte Verkehre zu transportieren. Das ist explizit so vorgesehen. Wenn der Versicherungskonzern sagt, ich möchte mit meinen Kunden Ende-zu-Ende-verschlüsselt kommunizieren, dann kann er ohne Probleme die DE-Mail einsetzen."

    Was für einen Versicherungskonzern gilt, müsste auch für die Finanzämter gelten. Würden die die durchgängige Verschlüsselung für die per DE-Mail verschickten Steuerbescheide haben wollen, würden sie sie laut Telekom bekommen. Dann aber versteht niemand mehr, warum der Gesetzgeber extra die für die Finanzämter maßgebliche Abgabenordnung geändert hat. Dort heißt es nun:
    "Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3."

    Der Gesetzgeber hat diese Änderung mit technischen Notwendigkeiten begründet. Doch selbst DE-Mail-Stratege Dr. Frank Wermeyer kommt bei dieser Frage ins Stocken.

    "Jetzt fragen Sie mich was. Ob das rein technisch notwendig wäre? Also ich sage, mit dem Dienst DE-Mail, so wie er heute konzipiert ist, können Sie Ende-zu-Ende-verschlüsseln. Das sieht der Dienst ausdrücklich vor. Das ist ausdrücklich als Option möglich, und der Dienst bietet heute ja auch Features, die das grundsätzlich vereinfachen, das heißt die Ablage von öffentlichen Schlüsseln im öffentlichen Verzeichnisdienst, all das sind Themen, die diese Ende-zu-Ende-Verschlüsselung ermöglichen, weil sie mit angedacht worden ist."