DeMailieren wir?

Die Wirt­schafts­woche berichtet, die Post nehme eine neue Be­drohung aus dem Inter­net wahr: Die DE-Mail. Darüber gibt es einen langen Artikel, auch online:

Kampf um die elektronische Post

In wenigen Wochen startet ein neues E-Mail-System, das einen Großteil des Briefverkehrs überflüssig machen soll. Die Deutsche Post droht ein Milliardengeschäft zu verlieren und entwickelt daher eine eigene Version der elektronischen Post.

Das ist in vielerlei Hinsicht erstaunlich. Es ist also noch ein Mil­li­ar­den­ge­schäft, die Brief­schrei­be­rei. Aber, so wie es aus­sieht, nicht solche Briefe, wie man sie sich gemein­hin unter diesem Namen vor­stellt. Denn hier ist der Schrumpfungs­prozeß längt ab­ge­schlos­sen, EMail gibt es schon und DE-Mail ist was anderes. Bei Privat­briefen und bei Reklame ändert sich nichts. Also um was geht es?

Verträge? Kann man faxen. Rechnungen müssen auf Papier verschickt werden. Zu­min­dest theoretisch, das kostet noch viel Porto. Müssen sie es wirk­lich? Wo steht das? Wenn das Unter­nehmen A dem Kunden B eine PDF-Rechnung per EMail schickt, ist das nicht ver­boten. B zahlt die Rech­nung, fertig. Das Problem be­ginnt, wenn B selbst ge­werb­lich tätig ist, genauer: vor­steuer­ab­zugs­be­rech­tigt, un­ge­nauer: Die Mehr­wert­steuer wieder raus­kriegt. Dafür bedarf es einer Papier­rech­nung oder, oft un­reali­stisch, einer Rech­nung, die dem Ge­setz zur digi­talen Signa­tur Ge­nüge lei­stet. Typi­scher­weise wer­den von Unter­nehmen Rech­nun­gen, die per EMail ein­trudeln, ein­fach aus­ge­druckt und manch­mal listig mit einem Ein­gangs­stempel ver­sehen. Das ist so üb­lich, dass es längst An­zeichen gibt, dass dieses Vor­gehen nicht mehr be­an­stan­det werden wird, denn schließ­lich haben alle Rech­nungen ein­deutige Nummern zu tragen, da spielt es keine Rolle, ob eine Rech­nung kopiert wird. Die nor­ma­tive Kraft des Faktischen also.

Was gibt es noch? Einschreiben. Das gibt es tatsächlich noch nicht per EMail. Das heißt, es gibt es schon, nur nicht zu­ver­lässig. Alte Mailclients von Micro­soft hatten die Mög­lich­keit, Empfangs­be­stä­ti­gun­gen an­zu­for­dern. War dies auf Empfänger­seite frei­ge­ge­ben, wurden Be­stä­ti­gun­gen ver­schickt: „Zeit­punkt 1: Hat die Mail be­kom­men“. „Zeit­punkt 2: Hat die Mail ge­le­sen“. „Zeit­punkt 3: Hat die Mail weiter­ge­lei­tet/ge­löscht/beim Lesen ge­lacht“ oder so. Be­son­ders liebe­voll pro­gram­mier­te Mail­clients aus an­de­ren Welten hatten durch­aus zum Teil die Option „Micro­soft­kon­forme Status­mel­dungen zu­las­sen“. Ich hatte das alles ab­ge­schal­tet – Band­breite war da­mals kost­bar und ich war der Meinung, diese Rück­meld­ungen gingen weit über das hinaus, was einen potentiell ano­nymen Kom­mu­ni­ka­tions­part­ner irgend­etwas an­ginge.

Will ich heute den Zugang einer EMail nach­weisen, lege ich schlimm­sten­falls Log­files vor. Und Mani­pula­tionen schließe ich aus, indem ich meine Mails signiere. Fertig. Zu­ge­geben, da ist ein Un­sicher­heits­faktor. Die Gegen­seite kann ja lügen. Aber das kann sie heute auch schon – „ja, ich habe das Einschreiben bekommen, aber der Umschlag war leer“. Und genau wie heute kann man sich eigent­lich nur mit Zeugen ab­sichern.

Hier eine Schnittstelle zu schaffen, die mehr Rechts­sicher­heit schafft, ist viel­leicht eine gute Idee. Aber keine neue. Neu ist ledig­lich, daß die Idee ge­setzl­ich ge­för­dert wird. Was macht DE-Mail genau?

[… ein] E-Mail-System, das weitaus höheren Sicherheitsansprüchen genügt als die gängige elektronische Kommunikation. Dieser höhere Standard garantiert Absendern und Empfängern, dass eine E-Mail tatsächlich von demjenigen stammt, den er vorgibt, zu sein. Damit werden Verträge, Dokumente und Mitteilungen online rechtsverbindlich. Den Nachweis, die Anforderungen zu erfüllen, müssen die Anbieter von De-Mail gegenüber dem Bundesamt für Sicherheit in der Informationstechnik erbringen. Die digitale Signatur, eine Art elektronische Unterschrift, gibt es zwar schon seit einigen Jahren, galt jedoch in der Regel nur für den E-Mail-Verkehr bei einem bestimmten Internet-Anbieter.

Das muß sich auf ein Paralell­uni­ver­sum be­ziehen. Dem Ab­sender muss nie­mand ga­ran­tie­ren, wer der Ab­sender ist. So ein Un­sinn. Ver­träge, Dokumente und Mit­teilun­gen sind auch heute durch­aus rechts­ver­bind­lich mög­lich.

Viel­leicht muß man Ver­träge besser for­mu­lie­ren, viel­leicht muß man ge­le­gent­lich Empfangs­be­stä­ti­gun­gen hinter­her­jagen, aber man kann ein­fach heute schon seine AGB ändern, ohne daß ein Brief­träger seinen Finger krumm machen muss. Will der Empfänger wissen, dass der Ab­sender der ist, der er zu sein vorgibt, so kann er das bei der heutige Brief­post nicht. Hier geht also kein Geschäft für die Post zurück. Bei EMail kann er das schon seit vielen Jahren, und von Jahr zu Jahr wird es ein­facher. Die digitale Unter­schrift per PGP war im letzten Jahr­hundert be­reits nicht nur etwas für Spiel­kinder. Der heise-Ver­lag (c’t) ver­an­staltete auf jeder größeren Messe, min­de­stens Systems und cebit, eine PGP-Signing-Party. Das funkti­o­nier­te so: Jeder kann sich kosten­los einen Schlüs­sel basteln. Selbst­ver­ständ­lich auch einen ge­fälsch­ten. Ein Schlüssel legt Ab­sender und Inhalt einer Mail fest. Dass man damit auch Mails ver­schlüs­seln kann, sei hier nur kurz er­wähnt. Es kommt also darauf an, ob ich einem Schlüssel vertraue. Hier gibt es das Web of Trust: Ver­traut je­mand mir, so kann er auch den Schlüsseln vertrauen, denen ich ver­traue. Man unter­schreibt also die Schlüssel der anderen und stellt all diese In­for­ma­ti­o­nen welt­weit auf Schlüs­sel­servern zur Ver­fügung. Fertig. Ein kleines Problem mit PGP war, dass der Er­fin­der auf einmal Geld ver­dienen wollte, aber so individuell war die Idee einfach nicht, und so ent­stand die freie Version GPG. Tut hier nichts mehr zu Sache, aber was oben in der WiWo stand, dass digitale Unter­schriften nur bei be­stimm­ten Inter­net-An­bietern ge­gol­ten hätten, ist nicht wirk­lich nach­voll­zieh­bar.

Aber ach, ein Schlüssel, der nichts kostet, taugt nichts, und so weigerten sich alle mehr oder weniger amt­lichen Stellen, sich mit dem System weiter zu be­schäf­ti­gen. Egal, das Netz ist er­fin­de­risch, heute gibt es ein System, das amt­liche, halb­amt­liche und frei er­zeug­te Schlüssel neben­ein­ander be­treiben kann. Outlook kann damit umgehen, Mac und Linux sowieso. Na also.

Zu jedem Kommunikationssystem gehören immer zwei. Ein Sender und ein Empfänger. Was nützt mir eine Empfangs­be­stä­ti­gung, die nur sagt, die Mail wurde ab­ge­lie­fert? DE-Mail geht davon aus, daß Sender und Empfänger beide am System teil­nehmen. Nur so funktioniert die Empfangsbestätigung wirklich. Und da muß sich das System der Öffentlichkeit stellen, wie alles im Internet. Wird es angenommen, wird es eine Norm. Wenn nicht, dann floppt es. Bis jetzt gibt es nicht einmal einen RfC zu dem Thema – das schaut schlecht aus mit der Akzeptanz der Benutzer.

An­ge­sichts der un­schönen Atti­tüden unseres Innen­mini­steri­ums werden sich viele Leute hüten, einem System zu ver­trauen, das staatl­ich gefördert ist. Kosten­los wird das Ganze auch nicht sein. Von einem Schätz­preis von 10 ct wird aus­ge­gan­gen – das ist wenig, ver­­gleicht man es mit den Kosten für ein Ein­­schrei­ben, aber es ist ziem­lich viel, ver­gleicht man es mit den Kosten einer simplen EMail. Das muß ein­facher gehen. Meine Bank schickt mir keine Konto­aus­züge mehr. Ich kann sie in einem ge­schütz­ten Bereich des Online­banking herunter­laden. Daß ich den Auszug ab­ge­holt habe, kann die Bank nach­weisen. Daten­schutz­pro­bleme habe ich damit nicht, denn das konnte sie vorher schon, als ich noch den Beleg­drucker in der Bank auf­suchen mußte dafür. Die Bank braucht somit schon kein DE-Mail.

Viele stört sicher auch das „D“ in „DE-Mail“. Was ist, wenn ich europa­weit die Vor­züge ge­normter Mail­nach­weise nutzen will? Das gibt es schon längst, nennt sich „eWittnes“, Werbung will ich dafür nicht machen, aber es ist eine Initiative eines Italieners und eines Franzosen, Sitz in Luxem­burg, Technik­dienst­leister eine deutsche Firma. Somit genügt mir nur der Hin­weis, daß der ganze DE-Mail-Komplex nach einem büro­kra­ti­schen Coup aus­sieht. Wie erfinde ich was, was es längst gibt und keiner er­kennt des Kaisers neue Kleider?

2 Gedanken zu „DeMailieren wir?“

  1. ein feiner und erhellender beitrag.
    ich habe vor vielen jahren lange mit pgp in der kommunikation zwischen räumlich getrennten unternehmensteilen gearbeitet und fand das system vor allen dingen recht handlich in der täglichen arbeit. heute maile ich im geschäftsverkehr ausschließlich unverschlüsselt, was mich offen gestanden bei der struktur meiner kunden ein wenig wundert. aber wann immer ich in der vergangenheit dieses thema bei meinen kunden zur sprache brachte, stieß ich auf wenig gegenliebe. und wie svb zurecht sagt: zum ver- und entschlüsseln gehören immer zwei.

    es ist schon eigenartig, dass unternehmen durchaus bereits sind, geld für den schutz vor viren, trojanern und spam auszugeben und sich um die abstrahlung von röhrenmonitoren kümmern, aber ihre post in offenen umschlägen verschicken.

  2. Der große Nachteil digitaler Informationsübermittlung besteht darin, dass es bei rechtlich relevanten Kommunikationsaktivitäten zu einem eklatanten Mangel an juristisch akzeptabler Nachweisbarkeit kommt. Dann bleibt meist nur der Medienbruch in Form eines Rückgriffs auf teure und zeitraubende Verfahren, wie zum Beispiel das Einschreiben mit Rückschein oder die Zustellung per Gerichtsvollzieher.

    Unser in dem Beitrag erwähntes System eWitness kann Nachweisprobleme bei der Versendung von E-Mails oder bei FTP-Uploads lösen. Es handelt sich dabei um eine Art „elektronisches Einschreiben mit Rückschein“, nur mit dem Unterschied, dass mit dem System nicht nur die Zustellung einer E-Mail, sondern auch deren Inhalt nachgewiesen werden kann.

    Die mit eWitness versendeten Daten werden vom Mailprogramm des Absenders zunächst an einen eWitness-Server verschickt. Sobald die Daten auf diesem Server eintreffen, werden sie „versiegelt“ und dann an den jeweiligen Empfänger weitergesendet. Durch Einfügen so genannter „elektronischer Fingerabdrücke“ (Hash-Werte) und durch die genaue Protokollierung aller Transaktionen sind nachträgliche Veränderungen der übersendeten Daten nicht mehr möglich – Manipulationsversuchen wird so ein Riegel vorgeschoben. Der Absender erhält zu jeder Transaktion sofort eine qualifiziert signierte Bestätigung per E-Mail, die alle wesentlichen Transaktionsdaten enthält: Der genaue Zeitpunkt des Versandes wird in diesem Protokoll ebenso festgehalten wie der Absender, der Empfänger und ein „Fingerabdruck“ des Inhalts. Dieses Protokoll kann auf Grund der gesetzeskonformen qualifizierten Signatur und der Autorisierung durch einen Notar als Beweis des Versandes und der Zustellung benutzt werden.

    Alle Versendungsvorgänge sowie die versendeten Daten werden beim Betreiber gespeichert und archiviert: Durchgeführte Versendungen können so auch noch nach Jahren durch zertifizierte digitale Kopien der Daten und der Zustellnachweise dokumentiert und zu Beweiszwecken vorgelegt werden. So lassen sich große Informationsmengen digital archivieren.

    Das System wird bereits in vielen europäischen Ländern genutzt: In Deutschland ist es seit 2008 im Einsatz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.