Skip to content

web - E-Government-Gesetz: Bundesregierung will Verschlüsselungsstandards senken

Lang war es still um De-Mail. Dies lag vornehmlich daran, dass es keine Nutzungmöglichkeiten für den “sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet” gab. [...] Daraus ergeben sich nun für sensible Daten große Probleme, zum Beispiel im Steuer-, Sozial- und Justizbereich: Die De-Mail in ihrer jetzigen Form genügt den gesetzlichen Ansprüchen an Kommunikationssicherheit nicht. Die naheliegende Reaktion wäre es nun, das De-Mail-Gesetz nachzubessern. Statt jedoch De-Mail auf eine sichere Technikgrundlage zu hieven, soll der aktuelle Schutz in mehreren Gesetzen aufgeweicht werden. Im Teil “Änderung der Abgabenordnung” des Gesetzentwurfs zur Förderung der elektronischen Verwaltung heißt es dann:
Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.
Die vorgeschlagenen Ausnahmeregelungen sind ebenso einzigartig wie gefährlich: Statt auf ein sicheres Verfahren zu setzen, werden die gesetzlichen Ansprüche anhand fadenscheiniger Argumente herabgesetzt: Kurzzeitige Entschlüsselung: Dieses Argument kennen wir schon aus der Debatte ums De-Mail-Gesetz. Natürlich ist es für das Abhören von E- oder De-Mails völlig egal, ob ich sie nur für eine Sekunde oder einen halben Tag entschlüsselt werden: Wenn sie automatisch entschlüsselt werden können, sind sie nicht verschlüsselt. Wer den Server eines der wenigen De-Mail-Anbieter kontrolliert (zum Beispiel der Provider selbst, ein Angreifer oder Geheimdienste), hat Zugriff auf alle darüber abgewickelte Kommunikation. Überprüfung auf Schadsoftware: Das Versenden einer De-Mail kostet Geld und wird anonym nicht möglich sein. Für Masseninfektionen per Spam ist der Dienst daher denkbar ungeeignet. Wer die Kosten auf sich nimm, sich unter einer falschen Identität ein De-Mail-Konto zu verschaffen, um mit diesem dann gezielt Viren an ein ausgewähltes Opfer zu senden, wird dafür auch Schadsoftware nutzen, welche die automatische Prüfung nicht erkennt. So wird den Nutzern durch den serverseitigen Virenscan eine falsche Sicherheit vorgegaukelt.
Quelle

Wenn die Behörden dann untereinander mit dieser nicht vorhandenen Verschlüsselung arbeiten (müssen, denn auch dort muss es fähige Menschen geben - alleine der Statistik wegen), werden all meine Daten praktisch unverschlüsselt durch die Welt geblasen. Wie soll ich es ausdrücken ... welch Freude :-(.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

No comments

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Markdown format allowed
Form options