DE-Mail vom BSI empfohlen

In den letzten zwei Tagen sorgte das BSI für reichlich Aufruhr, indem es von einem Botnetz berichtet, aus dessen Tiefen eine Liste mit Mailadressen nebst vermeintlich zugehöriger Passwörter aufgetaucht ist. Auf einer eigens eingerichteten und nach dem größten Ansturm inzwischen auch nutzbaren Seite, kann man seine Mailadresse(n) auf ein Auftauchen in dieser „Hackerliste“ abgleichen lassen. Das Prozedere erscheint mir sogar ganz OK. Wenngleich ich sehr skeptisch bin, was dahinter steckt. Denn zu den Begleitumständen schweigt das BSI sich komplett aus. Und bei sowas bin ich grundsätzlich eher vorsichtig – auch wenn es das BSI ist, welches hier helfen möchte.

Warum auch beim BSI? Nun, die empfehlen zum Beispiel auch DE-Mail. Habe ich jedenfalls beim Stöbern auf der Seite gesehen. Was ich davon halte, hatte ich schon mal aufgeschrieben. Das BSI erklärt auf der eigenen Seite aber auch noch mal sehr schön, warum man DE-Mail nicht nutzen sollte. Neben vielen Dingen ist es die Verschlüsselung, die mich stört. So heißt es auf der Seite, auf welcher die Transportverschlüsselung erklärt wird: Jede De-Mail ist bei der Übermittlung
– zwischen dem Absender und seinem De-Mail-Anbieter sowie
– zwischen zwei De-Mail-Anbietern untereinander und
– zwischen De-Mail-Anbieter und Empfänger
verschlüsselt.
Alles klar, hier kann man schon aufhören, sich für den Dienst zu interessieren. An 3 Stellen ist die Mail verschlüsselt … und dazwischen NICHT. Wird sogar noch im folgenden Absatz deutlich gesagt: Erreicht die De-Mail den De-Mail-Anbieter, wird die Nachricht entschlüsselt. Die Daten liegen dann für einen sehr kurzen Moment unverschlüsselt vor. Das geht gar nicht. Bei DE-Mail existiert also keine Ende-zu-Ende-Verschlüsselung, bei der die Mail auf meinem Rechner verschlüsselt wird und erst wieder vom Empfänger entschlüsselt wird. Diese Technik gibt es seit vielen, vielen Jahren kostenlos. PGP ist erprobt, funktioniert, wird eingesetzt. Nein, bei DE-Mail wird eine Mail mit einem außerhalb meines Tanzbereiches erzeugtem Schlüssel verschlüsselt und dann zum Anbieter übertragen. Liebe Leser, das passiert auch, wenn ihr die Weboberfläche von Web.de, GMX oder Googlemail nutzt. Dort wird ebenfalls per SSL verschlüsselt. Wenn dann bei beiden Anbietern entschlüsselt wird, bedeutet das zudem, dass der „private“ Schlüssel in den Händen Dritter ist. Welchen Sinn macht dann die Verschlüsselung? In keinem Fall erhalten Beschäftigte der De-Mail-Anbieter Einsicht in die entschlüsselte Nachricht. Ich gebe Ihnen mein Ehrenwort: niemand hat die Absicht eine Mauer zu bauen und die Rente ist sicher! Außerdem ist es auch ein „anderes Prism“, welches in Deutschland genutzt wird. Ist klar!

Für wie doof halten die die Nutzer eigentlich?

Wie es richtig geht, erwähnt das BSI auf der Seite „DE-Mail Ende-zu-Ende-VerschlüsselungFür besonders sensible Nachrichten können zusätzlich zu dem Transportkanal auch die Inhalte der De-Mail verschlüsselt werden. Um diese so genannte Ende-zu-Ende-Verschlüsselung verwenden zu können, benötigen Sie ebenso wie der Empfänger Ihrer Nachricht entsprechende Verschlüsselungssoftware, die auf den eigenen Rechnern installiert sein muss. Also das, was ich oben beschrieben habe. Man verschlüsselt bei sich auf dem Rechner, der Empfänger entschlüsselt. Dieses Verfahren benötigt allerdings keinen besonderen Transportweg, sondern funktioniert mit jedem x-beliebigen Wald- und Wiesen-Provider zuverlässig. Nunja, zumindest solange der die Mails zustellt. Aber das Problem habe ich bei DE-Mail auch.

Was soll ich von einem „Bundesamt für Sicherheit in der Informationstechnik“ halten, welches mir Tipps gibt, wie ich vermeintlich sichere Mails versende, die gleichzeitig aber an einer Stelle die ich nicht beeinflussen kann mit Ansage eingesehen werden? Was passiert, wenn ich plötzlich – aus welchem Grund auch immer – auf einer Gefährderliste stehe und der Bundesnachrichtendienst oder die NSA wissen möchte, was ich so schreibe? Wo setzen die dann bequemerweise wohl an? Bei einem Dienst, von dem der Nutzer glaubt er sei verschlüsselt und sicher? Wo er sich vielleicht nicht die Mühe macht, zusätzlich wirklich sichere Verfahren zu nutzen?

  • Ich habe ja nichts zu verbergen!
    Prima, dann schreib Deine Mails weiter wie bisher!
  • Und Steuersachen oder Dinge für’s Amt?
    Entweder die gehen auch niemanden was an … dann verschlüssel‘ gefälligst – andernfalls kannst Du schreiben wie bisher.
  • Warum sollte ich dem Provider misstrauen?
    Liest Du dem Postboten Deine Briefe vor oder klebst Du den Umschlag zu?
Über

Ich schreibe hier über Fahrrad(politik), Politik an sich, Technik, unsere Familie und alles was mich sonst so bewegt.

2 Kommentare zu „DE-Mail vom BSI empfohlen

  1. Von der Wikipedia-Seite zum BSI (http://de.wikipedia.org/wiki/Bundesamt_für_Sicherheit_in_der_Informationstechnik):

    | Das BSI wurde 1991 gegründet und ging aus der
    | Zentralstelle für Sicherheit in der Informationstechnik
    | (ZSI) hervor, deren Vorgängerbehörde die dem
    | Bundesnachrichtendienst (BND) unterstellte
    | Zentralstelle für das Chiffrierwesen (ZfCh) war.
    | Der Mathematiker Otto Leiberich, seit 1957 beim
    | Bundesnachrichtendienst und dort zuletzt Leiter
    | der Zentralstelle für das Chiffrierwesen, war
    | erster Präsident des BSI.

    Noch Fragen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*