Über das Thema DE-Mail habe ich mich ja bereits an mehreren Stellen geäußert (DE-Mail made by Deutsche Post: E-Postbrief, Bürgermail kommt: DE-Mail für alle! und Weniger ist mehr – der Dienst Bürgermail) und es ist auch nicht von gestern oder letzter Woche. Umso erstaunlicher, dass jetzt Sicherheitsbedenken die Runde machen.
Nach Thomas Lapp und Elmar Müller besteht mit der kurzzeitigen Entschlüsselung der Inhalte auf den Servern der Anbieter eine Sicherheitslücke, die nach Meinung der Experten geschlossen werden sollten. Worin besteht das Problem?
De-Mail arbeitet browserbasiert, die Nutzer geben also ihre De-Mails im Browser ein. Die über das Browserformular gesendeten Daten werden dann über eine per SSL verschlüsselte Verbindung an den Server übertragen und dort entschlüsselt. Erst wird die eigentliche De-Mail auf Serverseite verschlüsselt und gegebenenfalls an einen anderen Provider übertragen. Ruft nun ein Nutzer eine so verschlüsselte De-Mail über das Browserinterface seines Providers ab, wird die De-Mail wieder serverseitig entschlüsselt und über eine mit SSL gesicherte Verbindung an den Browser geschickt.
Die Meinungen zum Thema sind kontrovers und werden im Netz auch so diskutiert. Tatsächlich sind zum aktuellen Zeitpunkt noch nichtmal die Geschäftsmodelle geschneidert und das Thema wandert mit negativem Touch durch die Medien.
Da der Dienst einfach und für jeden nutzbar sein soll, lässt sich nach aktuellem Stand der Technik der beschriebene Prozess kaum vermeiden. Möglich wären nutzerseitige Zertifikate was sich jedoch nicht einfach realisieren lässt. Tatsächlich ergäben sich unter der Annahme, dass sich Nutzer um die Sicherheit (im Sinne der Anschaffung eines Zertifikats o.ä.) kümmern noch deutlich erweiterte Möglichkeiten ohne den Bedarf an DE-Mail.
Fazit: die Blogosphäre scheint sich einig: so wird das nichts mit DE-Mail (stefan.ploing.de, Ereignisblick und ein neutraler Artikel bei Vinews).
Wie immer und überall handelt es sich um einen Prozess, in dessen Verlauf sich Erfolg oder Misserfolg einstellen wird. Neben der technischen Realisierung halte ich die Anlaufphase und insbesondere die Bepreisung des Dienstes für ein entscheidendes Erfolgskriterium. Für die kleine technische Unschärfe dürften sich geeignete Maßnahmen finden lassen (organisatorische / technische).
Im Gegensatz zum Stand “Heute” – ich unterstelle, dass der Monsteranteil der Nutzer die Kommunikation gänzlich unverschlüsselt abfrühstückt – könnte DE-Mail ein Schritt nach vorn sein. Wir werden sehen.
Related posts:
- Bürgermail kommt – DE-Mail für alle! Schon vor einiger Zeit hatte ich das Thema Bürgermail aufgegriffen und für mich einige Erfolgskriterien identifiziert. Damals dachte ich eher...
- Google Mail alias G-Mail – nicht in Deutschland! Skurrile Dinge findet man gerade in der Welt der Bits und Bytes doch regelmäßig – dass allerdings ein Einzelner die...
- E-Mail is for Spam! Diese Erkenntnis ist nicht tagesaktuell und wird auch nur wenige verwundern. Schätzungen zufolge beträgt der Anteil Spam am gesamten E-Mail-Verkehr...
- DE-Mail made by Deutsche Post: E-Postbrief Es lockt ein neues Geschäftsmodell – wenngleich noch lange nicht geklärt ist, ob es sich dabei wirklich um die Cash...
- Der Aufreger des Tages: Sicherheitsleck bei Facebook Wer hätte das gedacht: die Facebook-Chatfunktion hatte ein nettes Zusatzfeature, welches ich ehrlich gesagt nicht erwartet hätte. Eine kleine Demonstration:...
Denke nicht, das Verschlüsselung die effektiv nur vorgegaukelt wird und zu der Kapitalgesellschaften den Schlüssel haben eine Fortschritt ist. Das klingt mehr nach Schlagsöl.
Wie bereits geschrieben – ich könnte mir für die Anfangsphase vorstellen, dass es eine Frage der Organisation und des Regelwerks sein könnte. Im Vergleich zum unverschlüsselten Versand sehe ich da schon Vorteile. Sollte sich eine breite Nutzerbasis entwickeln könnte ich mir auch vorstellen, dass durch weitere Investition auch technisch eine verbesserte Lösung entsteht.
Ein anderer Ansatz ist ja die Fragestellung, inwiefern überhaupt schützenswerte Daten übertragen werden – ich vermute der Anteil liegt im kleinen einstelligen Prozentbereich.
vielleicht ist opolis secure mail (http://www.opolis.eu) eine alternative: gratis, verschlüsselter email dienst, wobei der absender entscheidet, was der empfänger mit der nachricht tun darf ….
auch folgender interessanter artikel dazu:
http://www.freie-pressemitteilungen.de/modules.php?name=PresseMitteilungen&file=article&sid=16181