web - E-Government-Gesetz: Bundesregierung will Verschlüsselungsstandards senken
Lang war es still um De-Mail. Dies lag vornehmlich daran, dass es keine Nutzungmöglichkeiten für den “sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet” gab. [...] Daraus ergeben sich nun für sensible Daten große Probleme, zum Beispiel im Steuer-, Sozial- und Justizbereich: Die De-Mail in ihrer jetzigen Form genügt den gesetzlichen Ansprüchen an Kommunikationssicherheit nicht. Die naheliegende Reaktion wäre es nun, das De-Mail-Gesetz nachzubessern. Statt jedoch De-Mail auf eine sichere Technikgrundlage zu hieven, soll der aktuelle Schutz in mehreren Gesetzen aufgeweicht werden. Im Teil “Änderung der Abgabenordnung” des Gesetzentwurfs zur Förderung der elektronischen Verwaltung heißt es dann:QuelleWerden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.Die vorgeschlagenen Ausnahmeregelungen sind ebenso einzigartig wie gefährlich: Statt auf ein sicheres Verfahren zu setzen, werden die gesetzlichen Ansprüche anhand fadenscheiniger Argumente herabgesetzt: Kurzzeitige Entschlüsselung: Dieses Argument kennen wir schon aus der Debatte ums De-Mail-Gesetz. Natürlich ist es für das Abhören von E- oder De-Mails völlig egal, ob ich sie nur für eine Sekunde oder einen halben Tag entschlüsselt werden: Wenn sie automatisch entschlüsselt werden können, sind sie nicht verschlüsselt. Wer den Server eines der wenigen De-Mail-Anbieter kontrolliert (zum Beispiel der Provider selbst, ein Angreifer oder Geheimdienste), hat Zugriff auf alle darüber abgewickelte Kommunikation. Überprüfung auf Schadsoftware: Das Versenden einer De-Mail kostet Geld und wird anonym nicht möglich sein. Für Masseninfektionen per Spam ist der Dienst daher denkbar ungeeignet. Wer die Kosten auf sich nimm, sich unter einer falschen Identität ein De-Mail-Konto zu verschaffen, um mit diesem dann gezielt Viren an ein ausgewähltes Opfer zu senden, wird dafür auch Schadsoftware nutzen, welche die automatische Prüfung nicht erkennt. So wird den Nutzern durch den serverseitigen Virenscan eine falsche Sicherheit vorgegaukelt.
Wenn die Behörden dann untereinander mit dieser nicht vorhandenen Verschlüsselung arbeiten (müssen, denn auch dort muss es fähige Menschen geben - alleine der Statistik wegen), werden all meine Daten praktisch unverschlüsselt durch die Welt geblasen. Wie soll ich es ausdrücken ... welch Freude :-(.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt