Stolz und selbstbewusst präsentierten die Deutsche Telekom und das Fraunhofer Institut für Sichere Informationstechnologie SIT Ende Juni die „Volksverschlüsselung“. Dahinter verbirgt sich eine sichere, kostenlose und einfache Email-Kommunikation für private Technik-Laien.
Ob bei der Namensgebung die Bild-Zeitung mitgewirkt hat, ist bislang nicht bekannt ;))
Was erst einmal zu loben ist: die Tatsache, dass es für Jedermann eine Ende-zu-Ende-Verschlüsselung gibt. Sie erfolgt über den bewährten S/MIME-Standard und die Einrichtung ist kostenlos. Bei genauerer Betrachtung zeigen sich allerdings gravierende Schwächen:
1. Die erste Version läuft ausschließlich auf Windows-PCs und zwar für die Email-Programme Outlook und Thunderbird sowie für die Browser Internet Explorer, Chrome und Firefox (unter Windows). Lösungen für die Apple-Systeme OSX und iOS sowie Android und Linux seien geplant, versprechen die Erschaffer.
2. Die Registrierung für das Angebot ist mühsam. Der Nutzer muss sich im ersten Schritt entweder per Telekom-Login (ist nur praktisch für alle Telekom-Festnetzkunden) oder mit einem elektronischen Personalausweis ausweisen (ist hierzulande wenig verbreitet) oder gleich in einen Telekom-Shop gehen und sich bei Vorlage eines Ausweises registrieren lassen. Danach bekommt der Registrierte das sogenannte Class-3-Zertifikat. Es verknüpft den Nutzer eindeutig mit seiner Email-Adresse. Damit wird sichergestellt, dass der öffentliche Schlüssel auch wirklich der ausgewiesenen Person gehört. Eine verschlüsselte Mail lässt sich dann auch nur an Empfänger verschicken, die ebenfalls registriert sind.
3. Ich kann mich nur mit Klarnamen anmelden, nicht unter Pseudonym. Und geht es irgendjemand etwas an, wenn ich mich mit anderen unter einer anonymen Email-Adresse austausche? Direkte Kommunikation zwischen Menschen, egal auf welchem Weg, ist Privatsache! Gesetzlich ist das übrigens im deutschen Telemediengesetz geregelt. Dort wird dem Nutzer das Recht auf Pseudonym eingeräumt. ( 13 Abs. 6 Telemediengesetz (TMG)).
4. Außerdem stellen sich mir die nicht mehr vorhandenen Haare zu Berge, wenn ich an den Datenschutz denke: Die Zertifikate aller Registrierten werden bei der „Volksverschlüsselung“ standardmäßig veröffentlicht. Darin ist der volle Name des Inhabers (durch Ausweis verifiziert) hinterlegt. Wer eine volksverschlüsselte Email-Adresse kennt, kann sehr einfach über eine Online-Abfrage herausfinden, wer sich hinter der Adresse verbirgt, wenn der Nutzer bei Zertifikatsantrag seine Einwilligung zur Veröffentlichung erteilt hat.
Fazit: Wieder einmal wurden hohe Erwartungen für eine einfach zu handhabende Verschlüsselung geweckt, das Thema aber einmal mehr medial verbrannt. Das hatten wir bereits bei E-Post der Deutschen Post und De-Mail (übrigens auch ein Telekom-Dienst). Es erstaunt mich immer wieder mit welcher Verve sich deutsche Konzerne auf wichtige Themen stürzen, um letztendlich kolossal zu versagen, weil sie an den Bedürfnissen der Zielgruppen vorbei entwickeln.
Telekom und Fraunhofer Institut: Volksverschlüsselung
Tagesschau: E-Mail-Sicherheit mit Hindernissen
Netzpolitik: Volksverschlüsselung für unfreie Bürger
Ich weiß, der Beitrag ist 1 Jahr alt. Da ich jedoch die „Volksverschlüsselung“ gerade selbst ausprobiere, möge man mir nachsehen, wenn ich trotzdem etwas dazu sage.
Grundsätzlich gebe ich dir in allen Punkten recht. Ich würde sie aber trotzdem nicht einfach so stehen lassen – beleuchten sie doch auch nur einen Teil des Ganzen.
zu 1: Das stimmt. Allerdings trifft das nur für den Vorgang des Generierens zu. Sind die Schlüssel generiert, können sie in verschiedenen Formaten exportiert und beliebig auf anderen Systemen verwendet werden. Zudem kann man die Software danach auch komplett deinstallieren. Es liest sich im Netz sehr oft so, als wäre die Software grundsätzlich immer notwendig. Ist sie wie gesagt nur für ca 5 min – bis man das Zertifikat erhalten hat. Danach geht es dann auch unter iOS, Linux oder anderen Systemen weiter.
zu 2: Ja, ist wirklich sehr sehr schlecht gelöst. Mehrpersonen-Haushalt und der Anschluss läuft nicht auf meinen Namen. Wie bei vermutlich 80% aller Ehepaare in Deutschland. Zudem wurde mir das mit dem Telekom-Shop gar nicht mitgeteilt. Ich bin tatsächlich bis nach Darmstadt gefahren (komme aus Mittelhessen/LDK)
zu 3: Für Personen, die tatsächlich anonym bleiben sollen auf jeden Fall keine Lösung. Es gibt aber durchaus Personen, die sich vielleicht gegenüber Ämtern oder Einrichtungen identifizieren und ausdrücklich mit Klarnamen kommunizieren wollen. Es gibt viele Menschen, die viel Geld für ein Class-3 mit persönlichen Daten ausgeben.
Hier muss ich anmerken, dass dies auch oft auf Firmen und Selbstständige zutrifft – diese können die Volksverschlüsselung aber eh nicht nutzen und bleiben außen vor.
Dennoch wäre das in meinen Augen kein tatsächlicher Kritikpunkt, wenn man eben genau das sucht. Über meine Domain in der Mailadresse wäre ich zum Beispiel sowieso zu identifizieren.
zu 4: Ich konnte aus, bzw abwählen, ob veröffentlicht werden soll.
Als einen mehr oder weniger negativen Punkt möchte ich aber noch erwähnen, dass für die Nutzung unter iOS zwei weitere Zertifikate benötigt werden, die ich zunächst manuell installieren musste. Die Anleitung dazu war in meinen Augen zu gut versteckt.
Unter Android habe ich es noch gar nicht hin bekommen. Zwar lässt sich das Haupt-Zertifikat installieren – danach bekommt der Empfänger aber eine Warnung angezeigt, dass das Zertifikat nicht geeignet wäre. Liegt vermutlich ebenfalls an fehlenden zusätzlichen Zertifikaten (root CA, Private, etc).
Aber schön, dass sich mal jemand mit diesem Thema auseinandersetzt und nicht nur die Pressemitteilungen in den eigenen Blog kopiert. Habe euch direkt mal meiner „Leseliste“ hinzugefügt.
Liebe Grüße aus Mittelhessen
Bo
Servus Bo,
ich möchte es nicht versäumen mich für Deinen Kommentar und die Analyse zu bedanken. Auch nach über einem Jahr ist die Volksverschlüsselung für die Betreiber offensichtlich immer noch ein reines Windows-Thema.
Viele Grüße aus München,
Karsten