Bernds Blog

Heute bzw. gestern Abend kamen mal wieder ein paar Artikel zum geplanten E-Mail-Dienst des Innenministeriums namens »DE-Mail« in der Onlinepresse.

Kurz gefasst denke ich, dass dieses Projekt das Potenzial hat, sich in eine Reihe unrühmlicher Geldgräber einzugliedern.

Besonders gefallen hat mir der Heise-Artikel dazu. Ich möchte mal etwas pedantisch auf ein paar Abschnitten herumreiten:

Schallbruch teilte auch die Kritik aus dem Bereich der kommunalen Anwender des OSCI-Standards (Online Services Computer Interface) nicht, wonach auf dieser Basis bereits Möglichkeiten zum verschlüsselten E-Mail- und Dokumentenversand über gängige Mail-Adressen bestünden. Dafür bräuchte es bei allen Kommunikationspartnern komplizierte Verschlüsselungsarchitekturen. Beide Seiten müssten auf ihrem eigenen PC einen OSCI-Client installieren, wobei keiner für die Systemsicherheit bürgen könne.

Der neue Dient wird also »sicher«. Absolut sicher. Schließlich verbürgt sich da jemand dafür. Ich frage mich nur: Wer? Wenn ich den Dienst nutze und ein Sicherheits-Problem auftritt. Wer zahlt mir dann eine Entschädigung? Der Bund? Die beteiligten Firmen? Der Vorstandsvorsitzende der verantwortlichen Firma? Oder ist diese Art des Verbürgens vielleicht eher sowas wie: »Wenn es ein Problem gibt, werden wir aber ganz energisch mit dem Zeigefinger fuchteln bis jemand sagt, dass wir das in Zukunft besser machen«?

Zugleich verwies der IT-Direktor auf hohe Kostensenkungseffekte. Wenn allein acht Prozent des derzeitigen Postverkehrs über das neue Verfahren abgewickelt würden, könnten die Absender eine Milliarde Euro Porto sparen. Dieser Summe stünden Aufwendungen für den Aufbau der Kommunikationsinfrastrukturen gegenüber.

Okay, auch wenn wir mal annehmen, dass mit dieser vorsichtigen Formulierung nicht ausgeschlossen werden soll, dass die Milliarde sofort wieder in die Kommunikationsinfrastruktur gepumpt wird, dann verliert die Post also eine Milliarde (in einem nicht genannten Zeitraum, möglicherweise pro Jahr). Diese Milliarde wird dann also als Finanzhilfe wieder investiert weil es dem Konzern dann plötzlich schlecht geht wenn keiner mehr Briefe verschickt. Ergo: Milchmädchenrechnung.

Aber das sind ja Details. Richtig schlecht wird mir dann bei sowas:

Die ganzen Sicherheitsmechanismen sollten beim Provider im Hintergrund ablaufen, um die Nutzung so einfach wie möglich zu machen. So sei dort etwa eine Kontrolle auf Schadsoftware und eine Versandberechtigung, die Integritätssicherung über eine Prüfsumme, die Verschlüsselung über S/MIME und eine Ergänzung von Metadaten durchzuführen.

Bitte nochmal langsam lesen.
Ja, die begründen ihre Sicherheit wirklich damit, dass beim Provider die Daten verschlüsselt werden. Damit der seine Daten dort eintragen kann wird dann vermutlich eine normale end-to-end-Verschlüsellung nicht vorgesehen werden oder wie? Zudem: Schadsoftware? Hieß es nicht eben noch, der Dienst sei spamfrei? Ist er vielleicht nur ein bisschen spamfrei?

Die Webhostlist (ja, ohne Link. Jeder kann .de dahinter setzen, wenn er will) ist ein Web-Portal, auf dem Angebote von Providern und Gesuche von zukünftigen Kunden zusammen finden sollen. Ein ganz normaler Preisvergleich bzw. Kleinanzeigenmarkt.

Dafür gibt es zwei Kanäle: Das Angebotlisting, in dem jeder Provider seine Angebote einstellt und Kunden nach diversen Kriterien suchen können auf der einen Seite und das Forum auf der anderen Seite. Im Forum stellt ein Kunde seine Anforderungen ein und Provider können mit einem Angebot antworten. nicht selten führt das zu skurrilen Dingen wie "Suche Webspace mit Feature foobar." mit der Antwort "biete das zwar nicht an, aber vielleicht ja was anderes was dich interessiert".

Als wichtige Bemerkung sei noch eingeführt, dass Provider bei Webhostlist unterschiedlichen Status haben können. Ungeprüft ist man immer als erstes. Wenn man dann viel Geld zahlt (ich weiß viel ist relativ), wird man Geprüfter Provider. Dazu muss man eigentlich nichts weiter machen als Geld zu zahlen. Zahlt man dann noch mehr Geld, wird man sogar Premium-Provider. Bisher war der Mehrwert darauf begrenzt, dass neben den Angeboten ein hübsches goldenes Emblem gezeigt wurde, das dem Kunden versichert, dass der Provider auch wirklich Geld an Webhostlist gezahlt hat.

Die zahlenden Provider haben sich (mittlerweile erfolgreich) beschwert, dass das Geldausgeben nur für ein hübsches Bildchen vielleicht nicht ganz gerechtfertigt ist.

Daraufhin wurde folgendes Umgestellt:
Wer ein Gesuch in das Forum einstellt, muss Daten-Striptease betreiben. Webhostlist fordert eine vollständige Adressangabe, anfangs sogar zwingend mit Telefonnummer. Gleichzeitig kann der Suchende auswählen, welcher Provider-Typus seine Daten und sein Gesuch sehen kann. Standardeinstellung ist (*Tusch*) zahlender Geprüfter Provider.
Die Webhostlist begründet das unter dem Applaus einiger zahlender Provider damit, dass man ja auf seriöse Geschäftsbeziehungen setze und daher die Angabe einer Identität verlangt werden könne. Zudem möchten Anbieter auch wissen, wem sie eventuell kein Angebot mehr machen möchten, wenn die den Namen schon kennen. Nun ja.
Ein Foren-Teilnehmer hat das treffend umschrieben mit der Pflicht, bei jedem Geschäft einer Einkaufspassage immer vor jedem Betrachten des Schaufensters eine Visitenkarte abgeben zu müssen.

Klar, so schlägt man zwei Fliegen mit einer Klappe: Es wird für alle Datenkraken-Provider sehr interessant, viel oder sehr viel Geld an Webhostlist zu zahlen, denn dafür bekommt man jetzt zuverlässig neue Adressen für seine Verbraucherinformationen. Webhostlist bekommt also mehr zahlende Kunden. Auf der anderen Seite werden die Adressen ja gespeichert und somit reiht sich Webhostlist nahtlos in die Liste der in den letzten Jahren stark an Wert gestiegenen Unternehmen mit vielen "Benutzerprofilen", in welcher Form auch immer.

Die vielen Forums-Beiträge, die diese Regelung als kompletten Unsinn bezeichnet haben, wurden konsequent ignoriert, was natürlich auch irgendwie aussagt, dass diese Regelung wohl nicht mit guten Argumenten belegt werden kann.

Die komplett sinnbefreite Kompromisslösung, die jetzt angestrebt wird (oder schon implementiert ist), sieht vor, dass der Anbieter erst nach Abgabe eines Angebots die Kontaktdaten des Interessenden sieht. Wie man das überhaupt irgendwie begründen kann, ist mir noch nicht eingefallen.



Als weitere Veränderung (da weiß ich aber nicht seit wann) gibt es bei der Suche nach Webhosting-Tarifen jetzt auch keine Möglichkeit, die nicht-zahlenden Provider überhaupt anzuzeigen. Erst nach Erhalt der Ergebnis-Liste kann man die Suchergebnisse auf nicht-zahlende Provider ausdehnen. Und diese Einstellung springt meiner Erfahrung nach manchmal etwas willkürlich wieder auf die Standardeinstellung zurück.

Was ich damit sagen will: Jeder, der über Webhostlist einen Provider sucht, sollte sich darüber im Klaren sein, dass er immer erstmal nur Angebote von Firmen bekommt, die der Webhostlist Geld bezahlt haben. Auch wenn die Webhostlist sich nach außen als kostenlos für beide Seiten kommuniziert. Und dass im Forum nun die Angabe falscher Daten zur Regel wird, ist (denke ich) auch klar.

Heise Telepolis schreibt heute in einem Artikel über die Möglichkeiten des PIN-Abgriffs bei Lidl folgenden Absatz zur Biometrie:

Ob die von der ebenfalls im Videoüberwachungsskandal verwickelten Edeka-Kette als Lösung propagierten Fingerabdruckbezahlverfahren Abhilfe schaffen, ist mehr als fraglich. Tatsächlichen Sicherheitsgewinn brächte dagegen eine Umstellung auf die Erkennung des individuellen Venenmusters. In Japan wird dieses Verfahren bereits seit geraumer Zeit an Geldautomaten eingesetzt.

Ich sehe das aber sehr skeptisch. Vor der Zeit der elektronischen Datenbanken galten Fingerabdrücke als sehr sicher, ja es galt eigentlich sogar als ausgeschlossen, dass es da Verwechslungen gibt. Trotzdem denken wir heute, nach Beginn des allgemeinen Biometrie-Hype anders darüber. Die in immer größeren Stückzahlen hergestellten Fingerabdruck-Scanner erkennen nicht zuverlässig genug, Fingerabdrücke werden sowohl für die Aufklärung von mehr und weniger schweren Straftaten als auch für Lappalien wie Laptop-Zugangskontrolle verwendet.

Die Aussage von Heise Telepolis kann ich aber aus einem anderen Grund nicht wirklich unterstützen. Hier wird Biometrie empfohlen als Alternative zur anderer Biometrie. Meiner Ansicht nach, stellt sich momentan jede Biometrie als Passwort-Ersatz dar. Ob es gute Passwörter (Venenmuster, Iris-Scan) oder schlechte Passwörter (Fingerabdruck, Gesichtsmetriken) sind, spielt keine Rolle, es sind immer noch Passwörter.

Jedem Computer-Benutzer werden immer wieder 3 wichtige Grundregeln für die Verwendung von Passwörtern mit auf den Weg gegeben (zudem, dass man sich ein sicheres Passwort aussuchen soll):

1. Ändere dein Passwort gelegentlich
2. Sorge dafür, dass niemand dein Passwort herausfinden kann
3. Benutze für unterschiedliche Zugänge auch unterschiedliche Passwörter

Und diese drei Regeln lassen sich mit Biometrie nicht abbilden. Und zwar gleich welche Biometrie man nimmt. Man kann natürlich mehrere Merkmale unterschiedlich kombinieren, aber das ändert nichts am Problem.

Wir haben heute die Situation, dass jemand, der meinen Fingerabdruck reproduziert, damit bei Edeka einkaufen kann. Der CCC veröffentlichte jüngst den Bausatz mit Erklärung, wie man Fingerabdrücke sichert und reproduziert. Dass das ganze dann bei Edeka funktioniert ist ebenfalls bewiesen.

Es wird nicht lange dauern, bis es entsprechende Techniken gibt um Iris- oder Venenmuster zu reproduzieren. Wenn mein Bankkonto dann darüber geschützt ist, sehe ich wenig Handhabe über den Missbrauch, der damit möglich ist. Je sicherer eine Technologie in den Medien beschrieben wird, um so blinder ist das Vertrauen darin.

Die Frage, die ich den Verantwortlichen dabei gelegentlich mal stellen möchte ist: Wenn jemand mein Venenmuster reproduziert (und ich das merke), wie kann ich dann neue Zugangsdaten für mein Bankkonto erhalten?

Mit unserer Firma bin auch ich direkt von der Vorratsdatenspeicheurng betroffen. Bei allem Aktivismus und berechtigter Kritik an der ganzen Sache, darf man aber meines Erachtens trotzdem die geltenden Gesetze nicht einfach ignorieren sondern jetzt, da das alles gilt, muss man es auch erst einmal beachten. Natürlich in der Hoffnung, dass das Bundesverfassungsgericht das alles wieder kippt.

Ich habe heute ungelogen einen Tag damit verbracht, das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007" zu finden, zu lesen, die Bezüge zu recherchieren, herauszufunden was uns als E-Mail-Provider betrifft und das alles zu verstehen.

Ich möchte gerne die stellen aus den Gesetzen zitieren, die ich persönlich als einschlägig betrachte. ausdrücklich möchte ich darum bitten, dass jeder, der irgend etwas anders verstanden hat, also denkt, ich hätte etwas falsch aufgefasst oder übersehen, mir das bitte mitteilt. Zudem ist hoffentlich klar, dass von mir zu diesem Thema gegebene Kommentare jeglicher juristischer Sachkunde entbehren und die Gesetzes-Auszüge sich nicht eignen um sich darauf zu verlassen. das ist hier keine Rechtsberatung und so, klar.

ich verlinke an einigen Stellen zu www.gesetze-im-internet.de. Dort ist jetzt momentan noch die alte, nicht mehr gültige Version der Gesetze zu begutachten, das eignet sich aber gut um das Fließtext-Diff in oben verlinkter PDF-Datei darauf anzuwenden.

Telepolis brachte heute einen Artikel über den von Innenminister Schäuble vorgeschlagenenen Umgang mit Verdächtigen des Terrorismus. Nun, natürlich ist "Terrorismus" im Schäuble-Slang nicht ganz das was man naiver Weise erwarten würde, aber die Kernaussage ist doch sehr einfach:

Diejenigen, die sagen, Guantanamo ist nicht die richtige Lösung, müssen auch bereit sein, darüber nachzudenken, was die bessere Lösung ist, denn allein mit der Kritik ist kein Problem gelöst.

Nette Einstellung, Herr Schäuble...

Für mich persönlich ist es ja sehr ungewöhnlich, dass ich überhaupt öffentlich eine politische Meinung äußere, aber das hat unser Innenminister geschafft. Jetzt, da eigentlich jeder des Terrorismus verdächtigt wird und des Terrorismus Verdächtigte nach Guantanamo kommen sollen, da mag sogar ich ein bisschen Stellung beziehen.

Was mich an der ganzen Debatte am meisten wundert ist, wie andere CDU-Politiker mit der Situation umgehen. Mir ist bisher einfach komplett rätselhaft, wie es ein normaler Mensch aushalten kann, ständig in einen Topf mit Schäuble geworfen zu werden. Und was ist mit der SPD? Stört es dort niemanden, dass hier dank Koalition alles auf alle projeziert wird, was Herr Schäuble sagt? Ich bin ziemlich perplex über das Schweigen sämtlicher Personen, die sich mit dieser Politik identifizieren müssten.

Natürlich sollte in einer Koalition oder innerhalb einer Partei nicht jede Meinungsverschiedenheit öffentlich ausgetragen werden, das hat Frau Merkel korrekterweise mehrfach betont und offenbar auch im Griff. Aber wenn es einen gewissen Gegenpol gibt, sollte das die Öffentlichkeit mitbekommen. Da sie das nicht tut, nehme ich an, so einen Gegenpol gibt es nicht. Irgendwelche Basis-Grünen machen immer wieder etwas Wirbel ohne dass das jemanden interessieren würde (noch nichtmal die ganze Partei bezieht Stellung!), lediglich die FDP bekennt sich immer wieder (mehr oder weniger) geschlossen gegen diesen Wahnsinn.

Leute, es ist zwar noch etwas hin, aber bedenkt mal, dass man Vertrauen nicht mal eben in einem Wahlkampf erreicht. Würde sich bitte wenigstens irgend eine Partei mal auf den Weg machen, das Vertrauen derer zu gewinnen, die da nicht mitmachen wollen? Danke.

Und nein, das was sich Herr Schäuble als Wir-schützen-die Bevölkerung-Politik vorstellt schafft nicht wirklich Vertrauen!

Durch Telepolis bin ich heute auf eine Aktion aufmerksamt gemacht worden, die zur Idee hat, unsere Überwacher zu überwachen.

Klingt gut, ist gut, wird unterstützt. Neuer Button rechts unten.

Auf http://www.uberwach.de/protokoll.html kann jeder sehen, welche (mitmachenden) Seiten die Regierung so aufruft.

Nach Lektüre dieses SPIEGEL-Artikels...

Schäuble will die staatlichen Befugnisse gegen Terror- Sympathisanten deutlich ausweiten. "Man könnte beispielsweise einen Straftatbestand der Verschwörung einführen wie in Amerika", sagte er dem SPIEGEL. Für Gefährder brachte er ein Kommunikationsverbot im Internet oder mit dem Handy ins Spiel. Schäuble erinnerte zudem daran, dass es in Extremfällen wie der gezielten Tötung von Terroristen eine ungeklärte Rechtslage in Deutschland gebe.

...war ich doch im ersten Moment etwas beunruhigt.

Aber mit etwas Nachdenken kommt man doch recht schnell dahinter, dass dies unabdingbare Forderungen sind:

1. Die Verschwörung ist doch irgendwie mit einer Kombination aus Erpressung, Nötigung, "bildung einer terroristischen Vereinigung" ganz gut abgedeckt, oder? Wie, da sind die Regeln zu eng? Man kann nicht mal eben jemanden verknacken weil er daran DENKT, etwas böses zu planen? Hm, Mist, das ist dann natürlich ein Argument.
2. Ein Kommunikationsverbot für "Gefährder". Ist das nicht durch eine normale U-Haft ganz gut abgedeckt? Was sind eigentlich "Gefährder"? Ist das was anderes als ein dringend Tatverdächtiger? Ja? Jemand, der nichts getan hat und bei dem man grade versucht, ihm was anzuhängen? Ja, stimmt, den muss man natürlich dann mit einem neuen Gesetz hinter Gitter bringen. Oh, Pardon, er soll ja nichts von Mitbekommen. Also ihm einfach Kommunikationsmittel sperren. Stimmt, gute Idee.
3. Nun, mit der gezielten Tötung von Terrorverdächtigenisten bewegt man sich natürlich auf dünnem rechtsstaatlichem Eis. Also wenn ich das richtig überblicke, dürfen in Deutschland von der Polizei Straftäter getötet werden, wenn das die einzige Möglichkeit ist, die Tötung von Opfern abzuwenden ("Notwehr"). Naja, ich weiß, eigentlich sollte man ja erstmal ins Bein schießen oder sowas. Aber hey, hier geht es ja um Leute, die nicht nur ein paar harmlose Opfer bedrohen sondern den ganzen Staat oder eventuell sogar den Innenminister. Das ist natürlich ein Sonderfall. Alle erschießen. Die, Ihre Familien und alle die so aussehen als könnten ihre Freunde mit solchen Leuten sympathisieren.

Ach, eigentlich ist das doch alles gar nicht schlimm. Kann man ruhig machen.

Nur eine Bitte, Herr Innenminister: Wenn's geht nicht in dem Land in dem ich wohne. Und eigentlich nicht auf dem Planeten auf dem ich wohne. Aber ansonsten: Machen Sie ruhig, dient ja alles einem guten Zweck.

War es nicht mal so, dass Leute die den Rechtsstaat öffentlich in Frage gestellt haben von der Presse zum Rücktritt gebracht wurden? Also ich finde die Planung der Einführung der Todesstrafe wäre eigentlich Grund genug, so jemanden aus der Regierung dieses Landes zu verbannen.

Quelle: Spiegel Online