sagichdoch?

Vor einiger Zeit erwähnte ich ja schon mal, warum ich mich nicht bei “E-Post” anmelden werde. Jetzt wurde das sozusagen “Original” beschlossen: die “DE-Mail”.

Neben ähnlichen rechtlichen Problemen wie bei der “E_Post” - vor allem wieder der Blödsinn der rechtsverbindlichen Zustellung, die bedeutet, wenn ich im Urlaub bin und keine Frist verpassen will, dass ich jemandem den Zugriff auf das gesamte Konto geben müsste, während es beim Briefkasten reicht, dem Nachbarn den Briefkastenschlüssel zu geben, um genau nur die paar Briefe ungeöffnet einzusammeln und ggf. mal anzurufen, wenn was “amtlich” ausschaut - und nicht gleich den Wohnungsschlüssel plus ein Stapel Blankounterschriften und Zugriff auf sämtliche abgeheftete Post, die ich jemals bekommen und geschrieben habe …

[…] falls ein Bürger eingewilligt habe, seine Verwaltungsverfahren ausschließlich digital abwickeln zu lassen, gelte eine De-Mail analog zum Briefverkehr ebenfalls nach drei Tagen als zugestellt.[…] (heise.de)

…gibt es vor allem ein Killerargument: DE-Mail ist eben gerade nicht wirklich sicherer als normale E-Mail, die nicht verschlüsselt wird. Wenn ich das richtig verstehe, wird mein Brief beim Postamt aus seinem Kuvert rausgeholt und in ein anderes gesteckt (das dafür sorgt, dass zumindest während des Transports niemand mitlesen kann), und das selbe passiert dann nochmal bei der Poststelle des Empfängers, wo es quasi der Briefträger ist, der den Brief öffnet und aus dem Kuvert holt bevor er den Brief ohne dieses in den Briefkasten wirft. Irgendwie so.

DE-Mail möchte laut eigener Aussage E-Mails “Dokumentenecht” machen und behauptet dafür eine Sicherheit, wie man sie vor Jahren mal bei Briefpost hatte. Nur, dummerweise: diese Sicherheit existiert nicht nur nicht, nein, sie wurde bewusst weggelassen. Man konnte sie also nicht nur nicht, man will sie explizit nicht:

“Eine Ende-zu-Ende-Verschlüsselung gefährdet das gesamte Ziel von De-Mail, die einfache - und ohne spezielle Softwareinstallation mögliche - Nutzbarkeit durch die Bürger” (Golem.de)

Heißt also: damit der blöde Bürger das auch brav nutzt behaupten wir einfach mal, dass es sicher sei, das ist ja auch billiger und weniger umständlich, als es tatsächlich sicher umzusetzen. Das Argument ist in etwa so logisch, wie im Auto das Bremspedal wegzulassen mit der Begründung, dass es das Fahren leichter mache, weil das mit den drei Pedalen und nur zwei Füßen für viele zu kompliziert empfunden werde, und damit die trotzdem Autos kaufen…. (und komm mir keiner mit “Automatik” o.ä., in diesem Vergleichsszenario gibt es sowas nicht)

Ich sehe keinen Grund, den ersten Teil des Satzes nicht überdies alleinstehend verstehen zu wollen: dass eine Verschlüsselung das Ziel von DE-Mail in seiner Gesamtheit gefährde. Ich unterstelle, dass man sich tatsächlich nicht “traut”, bzw. - mal wieder - seinen Bürgern nicht traut - eine vor willkürlichem Zufriff wirklich sichere Kommunikationsmöglichkeit anzubieten. Ich sehe das schlicht so: Man möchte explizit mitlesen können. Und vielleicht sogar mitschreiben.

Nein, ich halte nicht mich in dem Fall nicht für paranoid sondern die Regierung, die so etwas beschließt, denn in den letzten Jahren haben sämtliche Regierungen (schwarz, gelb, rot und grün gleichermaßen, den alle haben entsprechende Gesetze beschlossen) zur Genüge belegt, was sie von solchen Prinzipien wie “Unschuldsvermutung” und ähnlichem halten, dass sie am liebsten (immer noch) per Vorratsdaten jeden einzelnen ihrer “Untertanen” nachverfolgen und kontrollieren würden.

Was man schon nur mit einem Bruchteil der Daten, die eine VDS sammeln würde, anstellen kann haben Malte Spitz und ZEIT ONLINE ja erst vor ein paar Tagen erschreckend deutlich demonstriert.

Denn das ist in meinen Augen der einzige logische Grund, der mir bleibt, warum entgegen aller Beteuerungen, eine “sichere” Alternative zur üblichen E-Mail anbieten zu wollen, die jetzt vorliegende Form der Pseudo-Verschlüsselung beschlossen wurde, die Sicherheit vortäuscht, aber nicht im mindesten an die Sicherheit rankommt, die jeder Mail-Nutzer schon seit Jahren haben kann, wenn er seine Mails einfach mit PGP oder ähnlichem verschlüsselt. Denn sonst hätte man es einfach anders beschließen können, und fertig. Auf anderen Gebieten kümmert es den Staat ja auch einen feuchten Dreck, ob seine Bürger mit dem Zeug zurechtkommen, dass er ihnen aufs Auge drückt. Und hier wird plötzlich “Rücksicht” auf eine unterstellte Unfähigkeit genommen, einfach nur ein Progrämmchen zu installieren? Ja nee, is klar.

Vor einem System, das nicht nur so tut, sicher zu sein, es aber nicht ist, nein, es explizit nicht sein will, mich aber in rechtliche Verpflichtungen nimmt, die eine solche Sicherheit als Mindestvoraussetzung haben müssten, um überhaupt in Erwägung ziehen zu können, sich darauf einzulassen, kann man nur warnen und empfehlen, tunlichst die Finger davon zu lassen. Ich soll rechtsverbindliche Konversationen führen, bei denen ich mir nicht sicher sein kann, dass da nicht wer mitliest oder gar drin rumpfuscht? Und - das ist ja noch die größte Frechheit: auch noch Geld für diesen Schmuh bezahlen?

Wisst ihr was? Ich mach ja jeden Scheiß mit in diesem “Internet”. Aber DE-Mail macht ihr mal schön ohne mich.

Es erscheint mir mehr als ratsam, keinesfalls bei E-Post mitzumachen, nicht nur, aber auch schon wegen dieser Klausel in den AGBs, denn diese Zustell-Zeitpunkt-Sache da ist nicht bloß lächerlich wie viele andere Behauptungen in deren Werbung, sondern in Zeiten, in denen das Handy an der Firmensteckdose aufzuladen schon ein fristloser Kündigungsgrund sein kann oder Abmahnungen und ähnliches mit Fristen von grade mal 24h versehen werden o.ä. richtig gefährlich:

[…]Der Nutzer wird daher aufgefordert, mindestens einmal werktäglich den Eingang in seinem Nutzerkonto zu kontrollieren. Von einer regelmäßigen Kenntnisnahme eines E-POSTBRIEFS mit elektronischer Zustellung durch den Privatkunden ist daher spätestens am Werktag nach Eingang im Nutzerkonto auszugehen. Beim Geschäftskunden ist von einer regelmäßigen Kenntnisnahme bei Eingang innerhalb der üblichen Geschäftszeiten am gleichen Werktag auszugehen, ansonsten mit Beginn der Geschäftszeiten am darauf folgenden Werktag.

Der Kunde muss täglich einmal seinen E-Mail-Eingang überprüfen – auch im Urlaub. „Ein weitgehender Eingriff in den Lebensbereich der Kunden“, so Udo Vetter. Eine selbst definierte Regelung der Deutschen Post AG, die beim normalen Postbrief nicht so eng gefasst werde. Vetter vermutet, hier möchte die Post ihren Service vor allem für Großkunden aufwerten, nach dem Motto: „Verschick doch Deine Kündigungsfristen über uns – wenn ein Kunde im Urlaub seine Mails nicht checkt (und das werden die Wenigsten), dann hat er halt Pech gehabt!“ […]”

Wem das nicht reicht: Richard Gutjahr hat noch ein paar Gründe mehr gefunden, z.B., dass eine gelöschte Mail mitnichten gelöscht ist, also vergleichbar wie “Real”-Briefe postlagern lassen, sie nur auf dem Amt einsehen (OK, eine Kopie machen und mitnehmen) und wenn ich sie wegwerfen will werden sie halt meinem Zugriff entzogen, sozusagen in eine andere Schachtel gesteckt. Natürlich hat Vater Staat auch einen Generalschlüssel und kann mein Postfach theoretisch jederzeit durchsehen, nicht nur mal einen einzelnen Brief sondern die komplette Konversation (inklusive angeblich gelöschter, die kann ja nur ich nicht mehr sehen) einer nicht näher definierbaren Zeit. Und noch viel mehr Zeug, wo man sich nur noch an den Kopf langen kann, wenn man das mal durchdenkt, was das alles bedeutet, handelte es sich um echte, also materielle, Briefe.

Nachtrag: Achso, und wer denkt, dass die andere Bürokratie-Monströsität “DE-Mail” einen Deut besser wäre: Das ist sie natürlich nicht. (via Jens)

Muss man sich auch gar nicht lange fragen - und auch kein Verschwörungstheoretiker sein - warum eine Mail, die über Server laufen soll, auf die Ermittlungsbehörden mehr oder weniger unbegrenzten Zugriff haben, nicht so verschlüsselt sein soll, dass sie dort nicht entschlüsselt werden kann sondern erst beim eigentlichen Empfänger. Denn nein, technisch notwenig ist eine solche Entschlüsselung freilich nicht. Sonst würden die vielen schon verfügbaren Verschlüsselungsmöglichkeiten ja nicht schon seit Jahren funktionieren.