Antwort auf die Schlüsselfalle

Volker Grabsch v at njh.eu
Mi Feb 25 00:15:46 UTC 2015


Thomas Doczkal schrieb:
> Ich finde richtig das "Email Made in Germany" und "De-Mail" angesprochen
> werden.

Ja, das muss man ansprechen.

Über "Email Made in Germany" kann man sich den ganzen Tag amüsieren.
Und vor "De-Mail" kann man gar nicht oft genug warnen.

> "Email Made in Germany" ist laut meinem Verständnis aber nichts weiter
> als die Zusage: "Wir machen SSL auch zwischen den Servern". Zumindest
> habe ich das bisher so verstanden. Ich hab mich aber dafür auch nicht
> sonderlich interessiert.
> und SSL zwischen den Servern ist Erstmal nichts schlechtes

Diese Kampagne ist grundsätzlich ein Schritt in die richtige Richtung,
wird aber unlauter kommuniziert.  Daher die ganze Häme und Kritik.

Das wird als riesiger Fortschritt angekündigt, obwohl die Provider
lediglich auf den Stand von 1997 nachrüsten.  Ja, SSL/TLS für
E-Mail-Austausch gibt es seit über 15 Jahren!  Eigentlich müssten
sich all diese Provider öffentlich für ihre jahrelange Nachlässigkeit
entschuldigen.

Und dann setzen sie zum Teil nicht einmal um!  Da gab es einen
CCC-Vortrag, wo das mal jemand stichprobenartig nachgeprüft hat.
Und das sah nicht so gut aus.

> Das De-Mail vom Kryptografie Ansatz nicht funktionieren kann, das war
> mir auch schon klar. De-Mail tut doch nichts anderes als pseudo
> verschlüsseln für beide Seiten mit einem anderen Schlüssel, oder?

Technisch gesehen ist De-Mail ein Witz.  Doch hinzu kommen rechtliche
Komponenten, und die machen De-Mail so gefährlich!

De-Mail soll die Papier-Kommunikation mit den Behörden ersetzen.  Eine
De-Mail gilt als zugestellt, sobald sie bei deinem Provider im
Postfach liegt - egal wann du sie abrufst.  Das heißt, sämtliche
Fristen verkürzen sich zu deinem Ungunsten, sobald du dich bei De-Mail
anmeldest.  Und wenn mal dein Internet ausfällt oder du für ein paar
Wochen im Urlaub warst - Pech gehabt.  (Ein Jurist bzw. Steuerberater
kann das sicher noch besser erklären als ich.)

Darüber hinaus findet nicht nur die Verschlüsselung, sondern auch die
Signierung beim Provider statt.  Und zwar für rechtsverbindliche
Dokumente! Das heißt, dein De-Mail-Provider hat technisch die
Möglichkeit, beliebige Verträge im Namen seiner Kunden zu
unterschreiben.  Du hast quasi bei deinem De-Mail-Provider einen
Stapel leerer A4-Blätter mit Blanko-Unterschriften hinterlegt!

Jeder dieser Punkte, für sich genommen, stellt bereits ein absolutes
No-Go da.  Und De-Mail schafft es, all diese Nachteile zu vereinen.

Ich wundere mich, dass es überhaupt De-Mail-Nutzer gibt.  Selbst das
bloße Anmelden (aus Neugier) ist bereits ein Risiko.  Ich kann mir das
nur durch irreführende Werbung sowie mangelhafte Aufklärung bei der
De-Mail-Anmeldung erklären.


Gruß
Volker

-- 
Volker Grabsch
---<<(())>>---



Mehr Informationen über die Mailingliste FSFE-de