bürgermail Archiv

Sichere elektronische Kommunikation – Ring frei!

Von
Stefan Jung
10. August 2010Veröffentlicht in: IT, Kurioses

Seit Jahren existieren Verfahren, anhand derer man elektronische Korrespondenz vor Dritten geschützt und authentisch übermitteln kann. Die Verfahren verfügen über asymmetrische Verschlüsselungsverfahren und bedienen sich dadurch bedingt leider etwas holprig. Darüber hinaus sind im Vorfeld der Kommunikation zwingend Schlüsselteile auszutauschen und folgend zu verwalten, was offensichtlich vielen Nutzern lästig ist.

Nun hat – getriggert durch die DE-Mail-Offensive auch die Deutsche Post ihren Dienst E-Postbrief in die Startblöcke gestellt (aktuell ist die Registrierung von Adressen möglich). Beide Verfahren ähneln sich in einem Punkt doch auffallend: die Verschlüsselung auf der “letzten Meile” erfolgt mittels SSL. Da keine Schlüssel ausgetauscht werden müssen sind die Verfahren einfach zu bedienen – leider besteht die Notwendigkeit, die Inhalte beim Diensteanbieter kurz unverschlüsselt zu verarbeiten.

Aktuell steht insbesondere das Verfahren DE-Mail in der Kritik, was die Post nun vesucht, gewinnbringend zu vermarkten. So wird zum “Sicherheitscheck” aufgerufen, bei dem prinzipiell jeder – allen voran jedoch vor allem Firmen mit Hintergrund teilnehmen sollen. Dazu werden Accounts (leider nicht näher spezifiziert, vermutlich jedoch Nutzeraccounts wie sie später Kunden erhalten) mit der Bitte des Testings (“Hacking” – Einbruch – Ausspähen – Manipulieren – …) ausgegeben.

Ich bin gespannt wie ein Flitzebogen – entweder der Ansatz entwickelt sich zum Supergau oder es stellt sich tatsächlich heraus, dass die geplanten Sicherheitsmaßnahmen ausreichend dimensioniert sind – in beiden Fällen erwarte ich die intensive Auseinandersetzung mit der Presse :-)

Tags: , , , ,

DE-Mail: Sicherheitsleck?

Von
Stefan Jung
21. Juli 2010Veröffentlicht in: IT, Recht

Über das Thema DE-Mail habe ich mich ja bereits an mehreren Stellen geäußert (DE-Mail made by Deutsche Post: E-Postbrief, Bürgermail kommt: DE-Mail für alle! und Weniger ist mehr – der Dienst Bürgermail) und es ist auch nicht von gestern oder letzter Woche. Umso erstaunlicher, dass jetzt Sicherheitsbedenken die Runde machen.

Nach Thomas Lapp und Elmar Müller besteht mit der kurzzeitigen Entschlüsselung der Inhalte auf den Servern der Anbieter eine Sicherheitslücke, die nach Meinung der Experten geschlossen werden sollten. Worin besteht das Problem?

De-Mail arbeitet browserbasiert, die Nutzer geben also ihre De-Mails im Browser ein. Die über das Browserformular gesendeten Daten werden dann über eine per SSL verschlüsselte Verbindung an den Server übertragen und dort entschlüsselt. Erst wird die eigentliche De-Mail auf Serverseite verschlüsselt und gegebenenfalls an einen anderen Provider übertragen. Ruft nun ein Nutzer eine so verschlüsselte De-Mail über das Browserinterface seines Providers ab, wird die De-Mail wieder serverseitig entschlüsselt und über eine mit SSL gesicherte Verbindung an den Browser geschickt.

Die Meinungen zum Thema sind kontrovers und werden im Netz auch so diskutiert. Tatsächlich sind zum aktuellen Zeitpunkt noch nichtmal die Geschäftsmodelle geschneidert und das Thema wandert mit negativem Touch durch die Medien.

Da der Dienst einfach und für jeden nutzbar sein soll, lässt sich nach aktuellem Stand der Technik der beschriebene Prozess kaum vermeiden. Möglich wären  nutzerseitige Zertifikate was sich jedoch nicht einfach realisieren lässt. Tatsächlich ergäben sich unter der Annahme, dass sich Nutzer um die Sicherheit (im Sinne der Anschaffung eines Zertifikats o.ä.) kümmern noch deutlich erweiterte Möglichkeiten ohne den Bedarf an DE-Mail.

Fazit: die Blogosphäre scheint sich einig: so wird das nichts mit DE-Mail (stefan.ploing.de, Ereignisblick und ein neutraler Artikel bei Vinews).

Wie immer und überall handelt es sich um einen Prozess, in dessen Verlauf sich Erfolg oder Misserfolg einstellen wird. Neben der technischen Realisierung halte ich die Anlaufphase und insbesondere die Bepreisung des Dienstes für ein entscheidendes Erfolgskriterium. Für die kleine technische Unschärfe dürften sich geeignete Maßnahmen finden lassen (organisatorische / technische).

Im Gegensatz zum Stand “Heute” – ich unterstelle, dass der Monsteranteil der Nutzer die Kommunikation gänzlich unverschlüsselt abfrühstückt – könnte DE-Mail ein Schritt nach vorn sein. Wir werden sehen.

Tags: , , , , ,

Bürgermail kommt – DE-Mail für alle!

Von
Stefan Jung
4. Februar 2009Veröffentlicht in: IT, Politik

Schon vor einiger Zeit hatte ich das Thema Bürgermail aufgegriffen und für mich einige Erfolgskriterien identifiziert. Damals dachte ich eher an technische Parameter und organisatorische Rahmenbedingungen – heute fällt mir eines wie Schuppen von den Augen: der Dienst wird nicht kostenfrei sein und damit meines Erachtens nach scheitern.

Die Gegner stehen bereits Gewehr bei Fuß: von Schäuble-Mail bis Spionagemail höre ich es von den Dächern pfeiffen – warum sollte sich also jemand kostenpflichtig eine staatlich derart trivial zu überwachende Adresse besorgen, wenn er doch kostenfrei bei hunderten Anbietern ähnliche Dienste erwarten kann? Allein die Behörden werden die freie Mail-Kommunikation nicht empfangen wollen – für den Erfolg ist IT-Sicherheit zu extrem durch die Medienmangel gedreht worden, als das diese Offerte glaubwürdig und praktikabel erscheint.

Die potenziellen Anwendungsfelder wären damit auf die Kommunikation mit dem Finanzamt des Vertrauens sowie mit dem Bürgerbüro um die Ecke abgehakt. Schade eigentlich.

Tags: , ,

Weniger ist mehr – der Dienst Bürgermail

Von
Stefan Jung
9. Oktober 2008Veröffentlicht in: IT, Politik

Die Bundesregierung (allen voran Angela Merkel) plant zur Unterstützung des elektronischen Datenaustauschs zwischen Bürgern und Behörden die Einführung eines Dienstes namens Bürgermail. Das Unterfangen DE-Mail gerät nun ins mediale Kreuzfeuer.

Das Konsortium, welches mit der Erbringung betraut ist, hört sich nicht gerade rein wirtschaftlich an: Deutsche Bahn, Deutsche Telekom, Deutsche Post, dem Sparkassenverlag – Microsoft und die Volksbanken. Neben Microsoft und den Volksbanken, denen man einen wenig politischen Background unterstellen kann, war Strato beteiligt. Auf Grund einer nicht erteilten Zertifizierung ist Strato nun aus dem Projekt ausgestiegen worden. Damit sind die (ehemaligen) Staatsbetriebe prinzipiell unter sich.

Auf den Seiten des Bundesministerium des Inneren ist dazu zu lesen:

Sichere Infrastruktur

Um die Funktionsfähigkeit und Akzeptanz der elektronischen Kommunikation trotz dieser Problematik zu erhalten und auszubauen, wird eine zuverlässige und geschützte Infrastruktur notwendig, die Verbraucherschutz, Sicherheit und Datenschutz gewährleisten kann. Bislang ist es nicht gelungen, eine breit genutzte Kommunikationsform zu etablieren, die diese Kriterien erfüllt. Das Projekt Bürgerportale beschäftigt sich mit den Voraussetzungen für eine solche Infrastruktur und entwickelt auf dieser Basis unter dem Namen De-Mail ein Bündel einfach zu nutzender Dienste. Innerhalb eines Verbundes privatwirtschaftlicher, aber staatlich zertifizierter Anbieter sollen E-Mails zuverlässig und vor Veränderungen geschützt zwischen registrierten Nutzern versendet werden können. Eine sichere Dokumentenablage und ein benutzerfreundlicher Identitätsnachweis ergänzen das Konzept.

Klingt erstmal nicht schlecht – über eine durchdachte Portallösung würde ich mich wirklich freuen. Blebit zu hoffen, dass das Vorhaben nicht nach der Einführung einiger staatlicher Mailboxen a la info@dresden-city.de als erfolgreich beendet gefeiert wird. Genauso freuen würde ich mich über die Teilnahme einiger weiterer Unternehmen – steht das Konstrukt auf zu wenigen Beinen, dürfte es schwierig werden.

Tags: , , ,