Mailserver der Parteien in Deutschland

Nachdem ich mir die Mailserver der politischen Jugendorganisationen angesehen habe, wollte ich auch mal die Parteien miteinander vergleichen.
Die Testkriterien sind die gleichen, ich habe lediglich die Schlüssellänge des SSL Zertifikats ergänzt.

Die SPD ist die einzige Partei, deren SMTP Server gar kein StartTLS beherrscht. CDU, FDP und Linke setzen auf veraltete TLS Versionen und Algorithmen. Piraten, AFD und Grüne beherrschen zwar moderne Cipher, erlauben sich aber ebenso auch extrem schwache.

Besonderen Fokus möchte ich darauf legen, dass CDU, Grüne, AFD und Piraten sogenannte Export-Cipher aktiviert haben. Dabei werden die sonst üblichen Algorithmen absichtlich mit reduzierter Komplexität (hier 40 Bit) arbeiten, damit sie leichter abgehört werden können. Sie kommen noch aus Zeiten in denen das US-Wirtschaftsministerium die Ausfuhr starker Kryptographie verboten hat.

Um es zusammenzufassen: Das Bild ist eine Schande für die deutschen Parteien.

Update: Piratenpartei hinzugefügt

SSL Mailserver Parteien

Mailserver der politischen Jugendorganisationen

Über Datenschutz reden in der Politik viele, man muss ihn aber auch selber vorleben. Ich habe mal die Mailserver der Jungen Union Deutschlands, der Jusos in der SPD, der Junge Liberalen, der Grünen Jugend, der Linksjugend [‘solid] sowie der Jungen Alternative für Deutschland verglichen und überprüft, ob sie verschlüsselte Verbindungen annehmen und wenn ja, welche Verfahren dabei zum Einsatz kommen.

Es stellt sich heraus: Komplettversagen bei der JU und den Jusos, die Linksjugend [‘solid] benutzt veraltete und unsichere Verfahren, Grüne Jugend und Junge Alternative erlauben sich in ihrem sonst nicht schlechten Setup grobe Schnitzer und nur die JuLis sind am Zahn der Zeit.

SSL Mailserver

Zur Diskussion dazu auf Facebook…

Hausdurchsuchung bei Wikileaks.de-Domaininhaber

So langsam wird es gefährlich in Deutschland, wenn man sich für unsere Demokratie und Bürgerrechte einsetzt. Aufgeklärte Bürger scheinen der derzeitigen Regierung ein Dorn im Auge zu sein.

Anders kann ich mir nicht erklären, warum die Polizei unter der Behauptung “Gefahr im Verzug” bei dem Domaininhaber der Domain “wikileaks.de” eine Hausdurchsuchung veranstaltet. Wikileaks.org hat dazu eine Stellungnahme veröffentlicht. Aus dem Polizeiprotokoll steht in schlecht leserlicher Schrift “Verbreitung pornographie” und noch irgendwas, ich kanns nicht lesen.
Offensichtlich hat die Durchsuchung mit den jüngsten Veröffentlichungen von Internetzensur-Sperrlisten zu tun, die Wikileaks.org für die aufgeklärte Öffentlichkeit vorhält. Allerdings liegen diese Dokumente offensichtlich nicht auf dem Rechner des beschuldigten.

Brisant ist allerdings, dass laut Protokoll der beschuldigte nicht über seine Rechte aufgeklärt wurde (die entsprechende Checkbox ist nicht angekreuzt) und vermutlich in Folge dessen auch keinen Zeugen hinzugezogen hat. Sollte das wirklich so sein, sollte dies eindeutlich juristische Konsequenzen haben!

Mein Fazit aus der Sache ist, dass mal wieder repressalien gegen Leute angewendet werden, die eigentlich die Grundpfeiler unserer Demokratie stützen wollen, ich würde sie als Patrioten bezeichnen.
Sobald ich meinen Rechner demnächst neu Aufsetze werden meine Platten vollverschlüsselt, so langsam fühl ich mich hier unwohl.

CeBIT ’09

Ich bin am Samstag auf der CeBIT gewesen und habe einige interessante Erfahrungen machen können.

Angefangen habe ich meinen Rundgang in Halle 6 bei CACert, wo ich mich als Assurer betätigt habe und auf mögliches Fehlverhalten von älteren Assurern getestet wurde. Dort habe ich auch erfahren, dass der Firefox wohl endlich noch in diesem Jahr CACert-Zertifikate als vertrauenswürdig einstuft.

Interessantes gab es dann auch im Future-Park bei der Bundesregierung. So war ich am Stand des elektronischen Personalausweises, ein Mitarbeiter des Innenministeriums in Erklärungsnot kam. Ich habe die Frage gestellt, wie der elektronische Personalausweis  die Terrorismusbekämpfung verbessert, was Herr Schäuble ja immer wieder beworben hat, wenn die Attentäter vom 11.09.01 mit ganz legalen Pässen ins WTC geflogen sind. Die Antwort war dann, “Ich bin mit meinem obersten Chef auch nicht immer einer Meinung”. Sehr schön 😀

Ein aufschlussreiches Gespräch hatte ich dann fünf Meter weiter, wo mich ich mit einer Frau Stach (ebenfalls vom BMI) über DE-Mail gesprochen habe. Gut fand ich, dass sie trotz teilweise erheblicher, aber sachlich vorgetragener Kritik, freundlich geblieben ist, und meinen Fragen nicht ausgewichen ist. Besonders erschreckend fand ich folgenden Aspekt, der mir bis dato gar nicht bekannt war:
Als ich sie fragte, ob man noch von sicherer Verschlüsselung reden könne, wenn die Provider verpflichtet sind, die Schlüssel an Ermittlungsbehörden rauszugeben, sagte sie, die Provider würden die Nachricht erst selber entschlüsseln und dann die unverschlüsselte Nachricht weiterleiten; der Schlüssel würde den Provider ja nie verlassen. Da habe ich nochmal nachgefragt, ob es denn wirklich nur diesen einen Schlüssel gibt und bekam die Antwort, dass in der Tat alle Mails aller DE-Mail-Konten eines Providers mit dem gleichen Schlüssel verschlüsselt werden. Dies habe ich stark kritisiert, schließlich genügt es hier einen Schlüssel zu knacken um z.B. alle 20 Mio Telekom-DE-Mail-Konten zu entschlüsseln. Sie sagte, sie würde den Vorschlag, für jeden Kunden einen eigenen Schlüssel zu erzeugen, in die Diskussion einbringen, sehe aber technische Schwierigkeiten auf Grund der Menge der zu verwaltenden Schlüssel.
Mal sehen was daraus wird. Hier muss aber unbedingt mehr Aufklärung kommen. Vielleicht schaffe ich es, einen Antrag auf dem nächsten Juli-LaKo dazu zu schreiben. Das Bürgerportalgesetz ist für mich zumindest so nicht tragbar.

Bei Microsoft konnte man dann auf einer Windows 7 Präsentation noch live einen Bluescreen of Death sehen, das war lustig, aber – da Win7 noch Beta ist – keine Schande.

Alles in allem fand ich die Messe diesmal deutlich interessanter, da ich mir weniger irgendwelche Computerhardware angeguckt habe, sondern mehr mit Ausstellern diskutiert habe.

Nedap-Wahlcomputer sind verfassungswidrig!

Das Bundesverfassungsgericht hat entschieden, dass der Einsatz von Wahlcomputern der Firma Nedap unzulässig war (AZ: 2 BvC 3/07 und 2 BvC 4/07). Zwar seien Wahlen mit Computern nicht allgemein verboten, sie müssen jedoch ohne technischen Sachverstand nachvollzogen werden können.

Der CCC hat hierzu eine Pressemitteilung veröffentlicht.

Heise und Spiegel Online haben ebenfalls berichtet.

Warum De-Mail Quatsch ist

Dass unsere derzeitige Bundesregierung eher zur Spezies “Internetausdrucker” gehört, ist so weit nichts neues.

Ihre neuste Creation? De-Mail

Mit einem De-Mail Account, den man sich bei zertifizierten Providern meist gegen Geld einrichten kann, soll sichere Kommunikation mit den Behörden gewährleistet werden. Dazu werden die Mails vom Provider verschlüsselt und mit einer Signatur versehen.

Hier meine Gründe, warum dieses Projekt Schwachsinn ist:

1.) Die Mail wird vom Provider verschlüsselt
Statt mir die Hoheit über die verwendeten Schlüssel zu geben, verschlüsselt der Provider. Welchen Schlüssel er verwendet, darauf hat man als Bürger keinen Einfluss.

2.) Der Staat soll Mails entschlüsseln können
Die De-Mail kommt gleich mit einer staatlichen Abhörschnittstelle. Sogar eine Manipulation der Mail ist dann nicht mehr nachzuweisen, da auch eine neue Signatur mit diesem Schlüssel erstellt werden kann. Für mich alles andere als vertrauenswürdig! Man macht hier den Bock zum Gärtner!

3.) Wir Private können das besser!
Mit S/MIME Zertifikaten z.B. von CACert oder PGP Varianten wie GnuPG kann man heute schon sicher kommunizieren und hat die Schlüssel selber in der Hand. Wenn diese Form der Signaturen von den Behörden einfach mal aktzeptiert würde, dann wäre diese enorme Verschwendung von Steuergeldern für die De-Mail nicht nötig!

Nach Berechnungen des Bundesinnenministeriums soll De-Mail jährlich zwischen 1 Milliarden und 1,5 Milliarden Euro einsparen, die sonst für den Versand ausgegeben werden. – heise.de

4.) Über die Pseudo-Sicherheit der De-Mail wacht das BSI
Passend dazu soll das BSI ja auch mit neuen Schreckens-Instrumenten ausgestattet werden. In einem Abwasch will die Bundesregierung, dass Google oder StudiVZ in Zukunft Nutzerprofile ihrer User generieren dürfen um dann das Klickverhalten zur Terrorabwehr zu benutzen. Mir macht das nur noch Angst!

5.) Dieser Unsinn soll auch noch Geld kosten
Provider von De-Mail sollen ihren Nutzern ein “ePorto” für jede Mail abverlangen dürfen. Dazu fällt mir nichts mehr ein. Offensichtlich hat die Bundesregierung das Internet nicht verstanden.

6.) Wie ich auf der CeBit erfahren habe, soll der Provider alle DE-Mail Konten mit einem einzigen Schlüssel verschlüsseln. Wenn dann mal zufällig jemand den Telekom-Schlüssel in der Hand hat… gute Nacht.

Hier noch ein paar Links zum selberlesen und selberdenken:
Seite mit Fragen und Antworten zur De-Mail
Gesetzestext zu Bürgerportalen