CeBIT ’09

Ich bin am Samstag auf der CeBIT gewesen und habe einige interessante Erfahrungen machen können.

Angefangen habe ich meinen Rundgang in Halle 6 bei CACert, wo ich mich als Assurer betätigt habe und auf mögliches Fehlverhalten von älteren Assurern getestet wurde. Dort habe ich auch erfahren, dass der Firefox wohl endlich noch in diesem Jahr CACert-Zertifikate als vertrauenswürdig einstuft.

Interessantes gab es dann auch im Future-Park bei der Bundesregierung. So war ich am Stand des elektronischen Personalausweises, ein Mitarbeiter des Innenministeriums in Erklärungsnot kam. Ich habe die Frage gestellt, wie der elektronische Personalausweis  die Terrorismusbekämpfung verbessert, was Herr Schäuble ja immer wieder beworben hat, wenn die Attentäter vom 11.09.01 mit ganz legalen Pässen ins WTC geflogen sind. Die Antwort war dann, „Ich bin mit meinem obersten Chef auch nicht immer einer Meinung“. Sehr schön 😀

Ein aufschlussreiches Gespräch hatte ich dann fünf Meter weiter, wo mich ich mit einer Frau Stach (ebenfalls vom BMI) über DE-Mail gesprochen habe. Gut fand ich, dass sie trotz teilweise erheblicher, aber sachlich vorgetragener Kritik, freundlich geblieben ist, und meinen Fragen nicht ausgewichen ist. Besonders erschreckend fand ich folgenden Aspekt, der mir bis dato gar nicht bekannt war:
Als ich sie fragte, ob man noch von sicherer Verschlüsselung reden könne, wenn die Provider verpflichtet sind, die Schlüssel an Ermittlungsbehörden rauszugeben, sagte sie, die Provider würden die Nachricht erst selber entschlüsseln und dann die unverschlüsselte Nachricht weiterleiten; der Schlüssel würde den Provider ja nie verlassen. Da habe ich nochmal nachgefragt, ob es denn wirklich nur diesen einen Schlüssel gibt und bekam die Antwort, dass in der Tat alle Mails aller DE-Mail-Konten eines Providers mit dem gleichen Schlüssel verschlüsselt werden. Dies habe ich stark kritisiert, schließlich genügt es hier einen Schlüssel zu knacken um z.B. alle 20 Mio Telekom-DE-Mail-Konten zu entschlüsseln. Sie sagte, sie würde den Vorschlag, für jeden Kunden einen eigenen Schlüssel zu erzeugen, in die Diskussion einbringen, sehe aber technische Schwierigkeiten auf Grund der Menge der zu verwaltenden Schlüssel.
Mal sehen was daraus wird. Hier muss aber unbedingt mehr Aufklärung kommen. Vielleicht schaffe ich es, einen Antrag auf dem nächsten Juli-LaKo dazu zu schreiben. Das Bürgerportalgesetz ist für mich zumindest so nicht tragbar.

Bei Microsoft konnte man dann auf einer Windows 7 Präsentation noch live einen Bluescreen of Death sehen, das war lustig, aber – da Win7 noch Beta ist – keine Schande.

Alles in allem fand ich die Messe diesmal deutlich interessanter, da ich mir weniger irgendwelche Computerhardware angeguckt habe, sondern mehr mit Ausstellern diskutiert habe.

Warum De-Mail Quatsch ist

Dass unsere derzeitige Bundesregierung eher zur Spezies „Internetausdrucker“ gehört, ist so weit nichts neues.

Ihre neuste Creation? De-Mail

Mit einem De-Mail Account, den man sich bei zertifizierten Providern meist gegen Geld einrichten kann, soll sichere Kommunikation mit den Behörden gewährleistet werden. Dazu werden die Mails vom Provider verschlüsselt und mit einer Signatur versehen.

Hier meine Gründe, warum dieses Projekt Schwachsinn ist:

1.) Die Mail wird vom Provider verschlüsselt
Statt mir die Hoheit über die verwendeten Schlüssel zu geben, verschlüsselt der Provider. Welchen Schlüssel er verwendet, darauf hat man als Bürger keinen Einfluss.

2.) Der Staat soll Mails entschlüsseln können
Die De-Mail kommt gleich mit einer staatlichen Abhörschnittstelle. Sogar eine Manipulation der Mail ist dann nicht mehr nachzuweisen, da auch eine neue Signatur mit diesem Schlüssel erstellt werden kann. Für mich alles andere als vertrauenswürdig! Man macht hier den Bock zum Gärtner!

3.) Wir Private können das besser!
Mit S/MIME Zertifikaten z.B. von CACert oder PGP Varianten wie GnuPG kann man heute schon sicher kommunizieren und hat die Schlüssel selber in der Hand. Wenn diese Form der Signaturen von den Behörden einfach mal aktzeptiert würde, dann wäre diese enorme Verschwendung von Steuergeldern für die De-Mail nicht nötig!

Nach Berechnungen des Bundesinnenministeriums soll De-Mail jährlich zwischen 1 Milliarden und 1,5 Milliarden Euro einsparen, die sonst für den Versand ausgegeben werden. – heise.de

4.) Über die Pseudo-Sicherheit der De-Mail wacht das BSI
Passend dazu soll das BSI ja auch mit neuen Schreckens-Instrumenten ausgestattet werden. In einem Abwasch will die Bundesregierung, dass Google oder StudiVZ in Zukunft Nutzerprofile ihrer User generieren dürfen um dann das Klickverhalten zur Terrorabwehr zu benutzen. Mir macht das nur noch Angst!

5.) Dieser Unsinn soll auch noch Geld kosten
Provider von De-Mail sollen ihren Nutzern ein „ePorto“ für jede Mail abverlangen dürfen. Dazu fällt mir nichts mehr ein. Offensichtlich hat die Bundesregierung das Internet nicht verstanden.

6.) Wie ich auf der CeBit erfahren habe, soll der Provider alle DE-Mail Konten mit einem einzigen Schlüssel verschlüsseln. Wenn dann mal zufällig jemand den Telekom-Schlüssel in der Hand hat… gute Nacht.

Hier noch ein paar Links zum selberlesen und selberdenken:
Seite mit Fragen und Antworten zur De-Mail
Gesetzestext zu Bürgerportalen