Ansichten eines Informatikers

Einige Überlegungen zu De-Mail/Bürgerportal

Hadmut
14.5.2009 0:00

Ich habe mal angefangen, einige der verschiedenen Papers zu De-Mail bzw. dem Bürgerportal zu lesen. Dabei ist mir nicht wohl.

Um es mal vorauszuschicken: Es wirkt nicht so schlecht, wie ich es von BMI und BSI erwartet hätte. Die grobe Hauptzielsetzung ist eigentlich auch nicht so verkehrt, und die haben anscheinend doch eine Menge Arbeit reingesteckt. Aber mir kommen da trotzdem immer mehr stirnrunzelnde Bedenken. Irgendwie kommt da so der Beigeschmack auf, daß das erstens eine Masche ist, um da ein Geschäft künstlich zu erzeugen, zweitens da irgendwelche Gutmenschen unterwegs sind, die sich in behördenmäßigen Vorgehensweisen befriedigen, aber nicht so wirklich Ahnung von und Überblick über Security haben.

  • Das Hauptansinnen ist, sichere Kommunikation anzubieten. Ein seriöses, ehrenvolles Ziel. Nur die Sicherheits- und Bedrohungsanalyse scheint zu fehlen. Wie so oft in der Politik und Forschung, scheint man einfach mal draufloszubauen und alles in den Kochtopf zu werfen, was das Zutatenregal so hergibt. Wird schon klappen.

    Die an sich richtige Überlegung ist, daß die normalen Heim-PCs kein ordentliches Sicherheitsniveau bieten können. Stimmt. Trotzdem beruht das Konzept darauf, daß der Benutzer seinen Home-PC zum Zugriff verwendet. Und da es nur wenige Betreiber geben wird, kann ein Autor irgendwelcher Spyware oder Bots relativ leicht Schadsoftware schreiben, die die Meldungen ausliest oder falsche Nachrichten losschickt. Nur mit dem Unterschied zu früher, daß die jetzt rechtsverbindlich sind wie Papier. Das dürfte früher oder später so richtig Ärger geben. Und was ist, wenn es den Ärger gibt? Wenn sich herausstellt, daß es ein leichtes ist, mit irgendwelcher Software Nachrichten, die man verschickt, vor der Übertragung, also lokal auf dem Heim-PC zu verändern? Wenn man Glück hat, findet man einen Richter, der einem das glaubt. Und der bestätigt, daß das doch nicht so rechtssicher ist. Anders als bei Papier wird sich das nicht auf einzelne Schriftstücke beschränken, sondern das System in Frage stellen. Und was ist dann?

    Das Problem ist nicht neu. Dasselbe Problem hatte man eigentlich schon beim Telebanking, was letztlich auch nur eine Übersendung wichtiger Nachrichten ist. Und da hat man einige Erkenntnis gesammelt. Etwa daß man die Überweisung über einen zweiten sicheren Kanal bestätigen läßt. Warum hat man diese bestehenden Erkenntnisse nicht genutzt? Will man Fehler noch einmal selbst machen?

  • Daraus ergibt sich ein ganz fieses Standardproblem von Kryptosoftware (denn die Portale sollen ja Daten verschlüsseln und Signature prüfen): Immer dann, wenn man nicht selbst mit den kryptographischen Daten arbeitet sondern nur die Benutzeroberfläche einer Kryptosoftware benutzt besteht die Möglichkeit, diese Oberfläche zu fälschen.

    Kleine Macke im Browser, Schreibfehler im URLs, bischen Pharming, Spyware, ein versauter Rechner im Interne-Cafe, irgendwelcher JavaScript-Dreck, noch ein typischer Laienfehler, und schwups ist man auf einer Fake-Seite die nur so aussieht wie das Portal und dann Man-in-the-middle spielt. Bisher habe ich da noch nichts gesehen, was dagegen schützen würde. Aber ich hab ja auch erst angefangen zu lesen.

  • Nehmen wir mal an, das Ding käme so richtig in Schwung. Dann wird es drei oder vier Anbieter geben, durch deren Hände dann so ziemlich der gesamte vertrauliche Behörden- und Bestellverkehr der Deutschen geht. Vom Steuerbescheid bis zur Bestellung im Sado-Maso-Sex-Shop. Bei einigen zentralen Datenkraken. Wie geht man damit um? Im DuD-Aufsatz von Heike Stach heißt es dazu:

    Dem möglichen Missbrauch von Daten durch den Bürgerportal-Betreiber selbst wird durch die Datenschutz-Zertifizierung entgegengewirkt: Die Zertifizierung stellt sicher, dass beim Provider vertrauenswürdiges Personal und eben solche Betriebsprozesse zum Einsatz kommen. Zudem werden keine unerlaubten bzw. nicht benötigten Protokolldaten erhoben und notwendig erhobene Daten so frühzeitig gelöscht, pseudonymisiert bzw. anonymisiert wie das gesetzlich zugelassen ist.

    Das erscheint mir reichlich naiv. Eine Zertifizierung kann gar nichts sicherstellen. Und woher will man wissen, wann Personal “vertrauenswürdig” ist? Und vertrauenswürdig bleibt? Ich habe das Gefühl, daß das eine der größten systematischen Schwachsstellen ist und man da versucht, sich drumherumzulabern.

  • Dann heißt es, daß das Bürgerportal die Möglichkeit einer Ende-zu-Ende-Verschlüsselung unterstützen soll, so dass Daten erst auf dem PC des Empfängers wieder entschlüsselt werden können. Abgesehen von der Frage, wozu man dann das Bürgerportal noch braucht, frage ich mich, wie die dann eigentlich ihre Einschreibe-Quittungen erstellen wollen. Wie kann der Anbieter bestätigen, daß ich eine Nachricht erhalten habe, wenn sie doch erst auf meinem PC entschlüsselt werden kann (oder auch nicht)?
  • Komisch, ich habe schon so viele Projekte und Dissertationen gesehen, die alle glaubten, das Problem elektronischer Einschreibequittungen gelöst zu haben. Das Einschreibeproblem ist aber ein Problem, das nicht so einfach lösbar ist. Wer ein bischen kryptographisch geschult ist, der weiß, wie unglaublich hart und eigentlich unlösbar dieses Problem ist. Letztlich läuft es eigentlich immer auf irgendwelchen statistischen Beweishokuspokus oder die Hinzuziehung eines Notars hinaus. Und letzteres versuchen die hier durch den Diensteanbieter, ohne sich der Problematik aber wohl voll bewußt zu werden. Das Problem ist hier, daß ein Lesen in Anwesenheit des Notars nicht abgebildet werden kann und deshalb das Einschreibeproblem voll zuschlägt. Die Quittung wird erstellt, bevor die Nachricht den Empfänger erreicht hat. (Gut, das tut sie beim Einwurfeinschreiben durch die Post auch, aber die Problemstellung an der Haustür ist eine ganz andere als die beim PC mit digitalen Nachrichten.)
  • Und dann gibt es noch einen ganz unterschwellig-subtilen Aspekt, den ich sehr häufig beobachte, und der bei mir immer alle Alarmsirenen angehen läßt. Nämlich wenn ich bei einem Text den Eindruck gewinne, daß Sicherheit nicht durch technische Maßnahmen herbeigeführt, sondern durch Formulierungen herbeigeredet werden soll. Etwa wenn da steht, daß die Sicherheit durch eine Zertifizierung sichergestellt wird. Oder wenn die Zustellung durch den Diensteanbieter sichergestellt wird. Oder wenn immer wieder von jeder Menge Verschlüsselung und Signierung die Rede ist. Eine Mail, die ich abschicke wird außerdem mit meinem eigenen Schlüssel verschüsselt und in meinem Ausgangsordner abgelegt, damit sie verschlüsselt gespeichert ist und ich sie auch wieder entschlüsseln und lesen kann. Tolle Idee. Fragt sich nur was das bringt, wenn mein Schlüssel beim selben Anbieter offen hinterlegt ist. Der Witz einer Verschlüsselung liegt darin, Schlüssel und Chiffrat an verschiedenen Stellen aufzubewahren. Das riecht schon wieder nach diesen Eintopf-Kryptologen. Nicht die Eigenschafen der einzelnen Maßnahmen werden betrachtet, analysiert und zu einer geschlossenen Kette zusammengefügt, sondern einfach wieder mal alles was an guten Zutaten bekannt ist, in den großen Topf und einmal kräftig umrühren. Wird schon passen. Sieht man immer öfter. Wenn man die Sicherheit nur eindringlich genug beschreibt, muß sie zwangsläufig herbeikommen.
  • Nun reden sie also von verschiedenen Sicherheitsniveaus. Der Absender einer Nachricht an mich kann sich aussuchen, mit welchem Sicherheitsniveau ich mich authentifizieren muß um die Nachricht lesen zu können. Ein niedriges Niveau gibt es etwa durch “Wissen” (z. B. Passwort) ein höheres durch “Wissen + Haben” (z. B. Passwort + Token). Jetzt bin ich mal nicht zu Hause. Sondern unterwegs. Und jemand schickt mir eine Mahnung. Oder einen Steuerbescheid. Das Gericht stellt mir eine Klage zu. Irgendwas mit Frist eben. Wer will denn jetzt überprüfen, ob ich das Token dabei habe und es nicht einsetzen will oder es nicht kann, weil ich es nicht dabeihabe. Die Quittung wird erstellt und das Ding gilt als zugestellt. Anders als beim Brief in meinem Briefkasten komme ich aber nicht mit der Ausrede durch, daß ich nicht zu Hause war. Der Richter wird befinden, daß ich doch wissen mußte, daß ein wichtiger Brief kommt, weshalb anzunehmen sei, daß ich den Token dabei hatte.

    Oder ich bin zu Hause und finde den Token nicht. Mist. Die Widerspruchsfrist läuft ab und ich kann den vermaledeiten Brief nicht lesen, weil ich das Token verschlampt habe. Oder es in der anderen Wohnung liegt. Oder ich es in der Jacke im Büro vergessen habe. Oder die Batterie leer ist. Oder ich es versehentlich in der Waschmaschine hatte. Vielleicht hatte ich es auch und habe mich angemeldet. Aber nichts gesehen. Ja, Herr Richter, ich habe mich dreimal eingeloggt, aber nur ein leeres Browserfenster gesehen. Deshalb wußte ich nicht, daß ich eine Frist einzuhalten hätte. Die Bestätigung des Dienstleisters ist unzutreffend.

  • Ein ganz wichtiges Versäumnis: Bisher habe ich nicht gesehen, daß da ein Nachrichtenformat definiert worden wäre. Nun schickt mir irgendein Beamter – wie auch so oft per E-Mail – irgendwas als Word-Dokument. Und ich hab kein Word und kein Windows. Und OpenOffice zeigt nur Mist an. Oder ich habe Word, aber einen anderen Druckertreiber, weshalb alles ganz anders aussieht. Oder ich habe einen PDF-Anzeiger, der irgendwas anders interpretiert und deshalb anders anzeigt. Alles schon dagewesen. Und plötzlich fällt der ganze Mist zusammen. Ein rechtsverbindliches Nachrichtenportal, das den Papierverkehr nachbilden können soll, muß genauso eindeutige und universell lesbare Datenformate definieren wie eben ein schwarz auf weiß bedrucktes Blatt DIN-A4-Papier. Man bekommt es ja heute nicht einmal hin, daß eine Webseite auf allen Versionen des Internet-Explorers gleich aussieht. Von Adobe gibt es eine besonders für Dokumentenechtheit und lange Archivierbarkeit vorgesehene PDF-Version. Die hätte man beispielsweise in Betracht ziehen können.

    Oder noch einfacher, einfach eine Graphikdatei festgelegten Formate, in dem DIN A4-Seiten als Grahik abgelegt sind. Kein ASCII, keine Zeichensätze, kein Word, kein PDF, sondern nur dumme, einfache Bilder mit 300 dpi. Deshalb war und ist ja auch Fax so erfolgreich. Es käme eine DIN A4-Seite, die man sich angucken und ausdrucken kann. Fertig. Keine Diskussionen über Aussehen und Druckertreiber, eindeutiges Aussehen. Bisher habe ich aber überhaupt nichts dazu gefunden, daß die über Datenformate nachgedacht haben.

    Das wirft aber die Frage auf, ob die Übersendung von Daten in gewillkürten Datenformaten überhaupt je die Rechtssicherheit einer Papiersendung erreichen kann, unabhängig von dem ganzen Brimborium außenrum. Scheint man sich nicht überlegt zu haben.

    Schon aufgrund dessen, daß der Dienst was kosten soll, wird er niemals E-Mail verdrängen, sondern nur ein Nischendienst für wichtige Mitteilungen sein. Die Notwendigkeit, andere Daten als papierähnliche oder gar Attachments anzufügen kann man durchaus weglassen. (Wie oft bekommt man schon von Behörden Briefe, in denen außer normalem Papier noch was anderes ist?)

  • Es heißt in der technischen Beschreibung, daß Nachrichten, die Malware enthalten, nicht weitergeleitet werden. Wie aber will man das so genau feststellen? Virenscanner funktionieren schon lange nicht mehr zuverlässig. Und falschen Alarm geben die auch immer öfter. Und was, wenn die Sendung darin besteht, einem Gutachter Malware zur Begutachtung zu übersenden?

    Vielleicht ist das ganze Konzept falsch. Man will normale E-Mail nachahmen, womit ich alles übertragen kann. Vielleicht ist genau das ein wesentlicher Fehler. Wenn ich dieselbe Sicherheit wie bei Papier haben will (s.o.), hätte man das eben so einheitlich machen müssen, wie es ein Blatt Papier ist.

    Und dann würde man überhaupt nicht nach Malware suchen, sondern einfach nur prüfen, ob die Daten dem Dateiformat entsprechen.

Wie schon gesagt, daß ist alles irgendwie so lapprig und schwafelmäßig. Das ist so ein schwimmend unscharfer direkter Übergang vom Wunschdenken zur deklarativen Feststellung. Sicherheit wird nicht gebaut, es wird einfach behördlich festgelegt, daß sie da ist. Basta. Da stehen dann wohlfeile Sätze wie

Ein Abruf von Nachrichten durch den Empfänger erfolgt über einen sicheren Transportkanal.

Und damit fühlt man sich sicher und fertig mit der Aufgabe. Was genau ist denn ein sicherer Transportkanal? Wann gilt der denn als sicher? Welche Anforderungen muß denn der erfüllen? Gibt es überhaupt Lösungen, die unter den gegebenen Randbedingungen, nämlich breite Bevölkerung nutzt den virenverlausten Heim-PC, die Anforderungen erfüllen können?

Da merkt man dann doch die Handschrift von BSI und BMI. Das sind so Deklarations- und Zertifizierungsschwätzereien. Wie im Grundschutzhandbuch. Wir sorgen dafür, daß Daten nicht verändert werden. Aha.

Erinnert mich an die Vorgehensweise des BMI in der Kinderpornosperre: Da wollte man sich auch nicht darauf einlassen, daß mal genau und statistisch untersucht wird, ob die Sperren was bringen. Die Ansage war, daß es politisch entschieden wird und entschieden ist, ob die Maßnahme greift, noch bevor es mit der Sperre überhaupt losging. Und genauso scheint es bereits politisch entschieden zu sein, daß das Bürgerportal sicher sein wird.

Das könnte eine Bauchlandung werden. Sehen wir’s mal so: Noch viel Stoff für Blog-Artikel.

3 Kommentare (RSS-Feed)

someone
14.5.2009 3:35
Kommentarlink

Ich koennte mir durchaus vorstellen, dass das ein zusätzlicher Dienst sein sollte. Viele deiner Bedenken gelten absolut (z.b. deine Ausführungen beim Sicherheitsniveau), nur gelten die auch beim normalen Briefkasten.
Ich glaube, es gibt bei diesem DeMail-Gerangel noch 2 Sachen zu beachten:
– Manche TechnikerEntscheider wollen deshalb zentrale Mailsysteme haben, weil die Verantwortung beim Verschicken der SMTP-Nachrichten “in der Familie” bleibt und bei Nichtfunktionieren viel leichter die Personen zur Verantwortung zu ziehen ist, als wenn man das über reguläre Emailserver macht, wo halt auch Hinzkunz seinen eigenen betreibt und man nichts über die Sicherheit aussagen kann. Und dann zieht man sich natürlich zur Begründung noch halbgare Endanwendervorteile aus dem Hut. Ist eigentlich auch tödlich für die dezentrale Struktur des Internet, deshalb will man schon DeMail nicht. Weil es gibt dann irgendwann wirklich “das gute Internet” und das böse…

-Manche Leute (ich auch) wollen einfach nur Papier sparen. Ich hasse die blöden Rechnungen von meinem Handyprovider oder von der Stromgesellschaft. Ich will die aufheben, weil ist ja wichtig, aber ich will NICHT lauter Papier rumliegen haben.
Da wäre es doch ganz nett, wenn die mir das technisch vertrauenswürdig schicken könnten? Denn die grossen Konzerne machen ja bei sowas sofort mit.

PS: bei manchen Blogeinträgen von dir bin ich eingeloggt, bei anderen kann ich mich partout nicht einloggen, da kommt dann “falsches Passwort”, nur zur Info… und dein “Kontakt” auf der Hauptseite gibt auch nur “webmaster.de” her. *MalVorDanischsHaustuerKehr* :> Nur so zur Info, vielleicht hilft es ja. 🙂


yasar
14.5.2009 21:32
Kommentarlink

Apropos Rechnugen;

Das ganze Brimborium von DeMail braucht man auch nicht für Paierrechnungen. Diese könne ohen weiteres als PDF, png oder sonstwas geschictk werden. Für größere Firmen sollte es kein Problem sein diese mit einer geeigneten Signatur zu versehen. Ich als Einmann-Firma verschicke meine Rechnungen auch auf Wunsch als PDF mit pgp oder S/MIME signiert/verschlüsselt,

Wie Hadmut schon sagte: Es fehlt die sinnvolle Anwendung für DeMAil, die den Nachteilen einen gewaltigen Vorteil entgegenbringt.

PS: Die “verschlüsslüsselung” und “Vertraulichkeit” kann man heute schon bei vielen freemailern bekommen. z.B.bei web.de und auch anderen freemailern besteht die Möglichkeit sich “sein” zertifikat herunterzuladen udn in seinen MUA, z.B. Thunderbird zu importieren. Und ab da kann man vertraulich (abzüglich freemail-provider) Kommunizieren. Also hat man kostenlos das eine “feature” von DeMail schon bekommen. Und was die “Einschreibe-Problematik angeht hat Hadmut das ja schon ausführlich erläutert. Da wird nichts so leicht das Papier ersetzen können und selbst da gibt es genügend Probleme.


[…] einem älteren Beitrag sagt er: “Irgendwie kommt da so der Beigeschmack auf, daß das erstens eine Masche ist, um da […]