De-Mail Sicherheit

Question

"De-Mail-Dienste sind Dienste auf einer elektronischen
Kommunikationsplattform, die einen sicheren, vertraulichen und
nachweisbaren Geschäftsverkehr für jedermann im Internet
sicherstellen sollen." So steht es im § 1 Abs. 1 De-Mail-Gesetz. Dass
die Sicherheit weniger durch technische Vorkehrungen als durch
gesetzliche Fiktion hergestellt wird, bringt Linus Neumann so auf den
Punkt: "Zu jedem technischen Problem gibt es eine juristische Lösung."

In seinem Vortrag beim 30. Chaos Communication Congress in
Hamburg stellte Linus Neumann die Absurdität von De-Mail und
anderer Sicherheits-Bemühungen hierzulande (nämlich: "E-Mail made
in Germany, Schlandnet und Cloud") besonders anschaulich und
unterhaltsam dar.

TEXT
linkmailer.de/artikel/bullshit-made-in-germany
VIDEO
www.youtube.com/watch?v=p56aVppK2W4

Answer 1

Besser lässt sich das imho mit bildlichen Vergleichen beschreiben. Eine E-Mail ist etwa so sicher, wie eine Postkarte. Jeder kann zufällig oder vorsätzlich beobachten, wie du sie zum Briefkasten bringst. Der Text ist vor neugierigen Blicken kaum geschützt. Und das das ganze nichts kostet, bekommst du auch keine Quittung.
Eine DE-Mail ist vergleichbar mit einer E-Mail, für die man Geld bezahlen muss. Man bekommt eine Quittung, auf der nicht steht wofür sie ist. Und sie entspricht einer Postkarte, die von einem getarnten Agenten, der von sich behauptet ehrlich, diskret und zuverlässig zu sein, unauffällig zum Briefkasten gebracht.

Answer 2

Nein, die E-Mail ist (wie ihr Name schon lautet) eher mit einem Brief vergleichbar, da sie im Gegensatz zur Postkarte einen Absender enthält (Postkarte hat nur Empfänger) und mehr als nur eine Textsache enthalten kann (Postkarte ist sich selbst das Blatt - ein Brief kann mehrere enthalten - genau wie die E-Mail mehr als nur ihren Nettotext enthalten kann).

Seit über 20 Jahren können die Inhalte einer E-Mail kostenlos verschlüsselt werden (am meisten bekannt ist PGP, patentfrei überragt jedoch GPG). Diese können ausschließlich vom Versender und Empfänger entschlüsselt werden - bei DE-Mail ist die Sicherheit per Design inkonsequent und damit unbrauchbar, da sie automatisch vom Server entschlüsselt werden, "um sie nach Viren zu untersuchen".

Die Quittung ist unzuverlässig, da sie nicht parallel versandt wird, sondern seriell. Erhält man keine DE-Mail-Quittung bedeutet das noch lange nicht, dass die DE-Mail nicht angekommen ist. Und eine erhaltene DE-Mail-Quittung muss je nach Server-Implementierung noch lange nicht bedeuten, dass die DE-Mail eingegangen ist. Das alles ist immer nur die Betrachtungsweise für den wünschenswerten Fall - nicht jedoch für Problemfälle.