Über das Thema DE-Mail habe ich mich ja bereits an mehreren Stellen geäußert (DE-Mail made by Deutsche Post: E-Postbrief, Bürgermail kommt: DE-Mail für alle! und Weniger ist mehr – der Dienst Bürgermail) und es ist auch nicht von gestern oder letzter Woche. Umso erstaunlicher, dass jetzt Sicherheitsbedenken die Runde machen.
Nach Thomas Lapp und Elmar Müller besteht mit der kurzzeitigen Entschlüsselung der Inhalte auf den Servern der Anbieter eine Sicherheitslücke, die nach Meinung der Experten geschlossen werden sollten. Worin besteht das Problem?
De-Mail arbeitet browserbasiert, die Nutzer geben also ihre De-Mails im Browser ein. Die über das Browserformular gesendeten Daten werden dann über eine per SSL verschlüsselte Verbindung an den Server übertragen und dort entschlüsselt. Erst wird die eigentliche De-Mail auf Serverseite verschlüsselt und gegebenenfalls an einen anderen Provider übertragen. Ruft nun ein Nutzer eine so verschlüsselte De-Mail über das Browserinterface seines Providers ab, wird die De-Mail wieder serverseitig entschlüsselt und über eine mit SSL gesicherte Verbindung an den Browser geschickt.
Die Meinungen zum Thema sind kontrovers und werden im Netz auch so diskutiert. Tatsächlich sind zum aktuellen Zeitpunkt noch nichtmal die Geschäftsmodelle geschneidert und das Thema wandert mit negativem Touch durch die Medien.
Da der Dienst einfach und für jeden nutzbar sein soll, lässt sich nach aktuellem Stand der Technik der beschriebene Prozess kaum vermeiden. Möglich wären nutzerseitige Zertifikate was sich jedoch nicht einfach realisieren lässt. Tatsächlich ergäben sich unter der Annahme, dass sich Nutzer um die Sicherheit (im Sinne der Anschaffung eines Zertifikats o.ä.) kümmern noch deutlich erweiterte Möglichkeiten ohne den Bedarf an DE-Mail.
Fazit: die Blogosphäre scheint sich einig: so wird das nichts mit DE-Mail (stefan.ploing.de, Ereignisblick und ein neutraler Artikel bei Vinews).
Wie immer und überall handelt es sich um einen Prozess, in dessen Verlauf sich Erfolg oder Misserfolg einstellen wird. Neben der technischen Realisierung halte ich die Anlaufphase und insbesondere die Bepreisung des Dienstes für ein entscheidendes Erfolgskriterium. Für die kleine technische Unschärfe dürften sich geeignete Maßnahmen finden lassen (organisatorische / technische).
Im Gegensatz zum Stand “Heute” – ich unterstelle, dass der Monsteranteil der Nutzer die Kommunikation gänzlich unverschlüsselt abfrühstückt – könnte DE-Mail ein Schritt nach vorn sein. Wir werden sehen.
