Die Wirtschaftswoche berichtet, die Post nehme eine neue Bedrohung aus dem Internet wahr: Die DE-Mail. Darüber gibt es einen langen Artikel, auch online:
Kampf um die elektronische Post
In wenigen Wochen startet ein neues E-Mail-System, das einen Großteil des Briefverkehrs überflüssig machen soll. Die Deutsche Post droht ein Milliardengeschäft zu verlieren und entwickelt daher eine eigene Version der elektronischen Post.
Das ist in vielerlei Hinsicht erstaunlich. Es ist also noch ein Milliardengeschäft, die Briefschreiberei. Aber, so wie es aussieht, nicht solche Briefe, wie man sie sich gemeinhin unter diesem Namen vorstellt. Denn hier ist der Schrumpfungsprozeß längt abgeschlossen, EMail gibt es schon und DE-Mail ist was anderes. Bei Privatbriefen und bei Reklame ändert sich nichts. Also um was geht es?
Verträge? Kann man faxen. Rechnungen müssen auf Papier verschickt werden. Zumindest theoretisch, das kostet noch viel Porto. Müssen sie es wirklich? Wo steht das? Wenn das Unternehmen A dem Kunden B eine PDF-Rechnung per EMail schickt, ist das nicht verboten. B zahlt die Rechnung, fertig. Das Problem beginnt, wenn B selbst gewerblich tätig ist, genauer: vorsteuerabzugsberechtigt, ungenauer: Die Mehrwertsteuer wieder rauskriegt. Dafür bedarf es einer Papierrechnung oder, oft unrealistisch, einer Rechnung, die dem Gesetz zur digitalen Signatur Genüge leistet. Typischerweise werden von Unternehmen Rechnungen, die per EMail eintrudeln, einfach ausgedruckt und manchmal listig mit einem Eingangsstempel versehen. Das ist so üblich, dass es längst Anzeichen gibt, dass dieses Vorgehen nicht mehr beanstandet werden wird, denn schließlich haben alle Rechnungen eindeutige Nummern zu tragen, da spielt es keine Rolle, ob eine Rechnung kopiert wird. Die normative Kraft des Faktischen also.
Was gibt es noch? Einschreiben. Das gibt es tatsächlich noch nicht per EMail. Das heißt, es gibt es schon, nur nicht zuverlässig. Alte Mailclients von Microsoft hatten die Möglichkeit, Empfangsbestätigungen anzufordern. War dies auf Empfängerseite freigegeben, wurden Bestätigungen verschickt: „Zeitpunkt 1: Hat die Mail bekommen“. „Zeitpunkt 2: Hat die Mail gelesen“. „Zeitpunkt 3: Hat die Mail weitergeleitet/gelöscht/beim Lesen gelacht“ oder so. Besonders liebevoll programmierte Mailclients aus anderen Welten hatten durchaus zum Teil die Option „Microsoftkonforme Statusmeldungen zulassen“. Ich hatte das alles abgeschaltet – Bandbreite war damals kostbar und ich war der Meinung, diese Rückmeldungen gingen weit über das hinaus, was einen potentiell anonymen Kommunikationspartner irgendetwas anginge.
Will ich heute den Zugang einer EMail nachweisen, lege ich schlimmstenfalls Logfiles vor. Und Manipulationen schließe ich aus, indem ich meine Mails signiere. Fertig. Zugegeben, da ist ein Unsicherheitsfaktor. Die Gegenseite kann ja lügen. Aber das kann sie heute auch schon – „ja, ich habe das Einschreiben bekommen, aber der Umschlag war leer“. Und genau wie heute kann man sich eigentlich nur mit Zeugen absichern.
Hier eine Schnittstelle zu schaffen, die mehr Rechtssicherheit schafft, ist vielleicht eine gute Idee. Aber keine neue. Neu ist lediglich, daß die Idee gesetzlich gefördert wird. Was macht DE-Mail genau?
[… ein] E-Mail-System, das weitaus höheren Sicherheitsansprüchen genügt als die gängige elektronische Kommunikation. Dieser höhere Standard garantiert Absendern und Empfängern, dass eine E-Mail tatsächlich von demjenigen stammt, den er vorgibt, zu sein. Damit werden Verträge, Dokumente und Mitteilungen online rechtsverbindlich. Den Nachweis, die Anforderungen zu erfüllen, müssen die Anbieter von De-Mail gegenüber dem Bundesamt für Sicherheit in der Informationstechnik erbringen. Die digitale Signatur, eine Art elektronische Unterschrift, gibt es zwar schon seit einigen Jahren, galt jedoch in der Regel nur für den E-Mail-Verkehr bei einem bestimmten Internet-Anbieter.
Das muß sich auf ein Paralelluniversum beziehen. Dem Absender muss niemand garantieren, wer der Absender ist. So ein Unsinn. Verträge, Dokumente und Mitteilungen sind auch heute durchaus rechtsverbindlich möglich.
Vielleicht muß man Verträge besser formulieren, vielleicht muß man gelegentlich Empfangsbestätigungen hinterherjagen, aber man kann einfach heute schon seine AGB ändern, ohne daß ein Briefträger seinen Finger krumm machen muss. Will der Empfänger wissen, dass der Absender der ist, der er zu sein vorgibt, so kann er das bei der heutige Briefpost nicht. Hier geht also kein Geschäft für die Post zurück. Bei EMail kann er das schon seit vielen Jahren, und von Jahr zu Jahr wird es einfacher. Die digitale Unterschrift per PGP war im letzten Jahrhundert bereits nicht nur etwas für Spielkinder. Der heise-Verlag (c’t) veranstaltete auf jeder größeren Messe, mindestens Systems und cebit, eine PGP-Signing-Party. Das funktionierte so: Jeder kann sich kostenlos einen Schlüssel basteln. Selbstverständlich auch einen gefälschten. Ein Schlüssel legt Absender und Inhalt einer Mail fest. Dass man damit auch Mails verschlüsseln kann, sei hier nur kurz erwähnt. Es kommt also darauf an, ob ich einem Schlüssel vertraue. Hier gibt es das Web of Trust: Vertraut jemand mir, so kann er auch den Schlüsseln vertrauen, denen ich vertraue. Man unterschreibt also die Schlüssel der anderen und stellt all diese Informationen weltweit auf Schlüsselservern zur Verfügung. Fertig. Ein kleines Problem mit PGP war, dass der Erfinder auf einmal Geld verdienen wollte, aber so individuell war die Idee einfach nicht, und so entstand die freie Version GPG. Tut hier nichts mehr zu Sache, aber was oben in der WiWo stand, dass digitale Unterschriften nur bei bestimmten Internet-Anbietern gegolten hätten, ist nicht wirklich nachvollziehbar.
Aber ach, ein Schlüssel, der nichts kostet, taugt nichts, und so weigerten sich alle mehr oder weniger amtlichen Stellen, sich mit dem System weiter zu beschäftigen. Egal, das Netz ist erfinderisch, heute gibt es ein System, das amtliche, halbamtliche und frei erzeugte Schlüssel nebeneinander betreiben kann. Outlook kann damit umgehen, Mac und Linux sowieso. Na also.
Zu jedem Kommunikationssystem gehören immer zwei. Ein Sender und ein Empfänger. Was nützt mir eine Empfangsbestätigung, die nur sagt, die Mail wurde abgeliefert? DE-Mail geht davon aus, daß Sender und Empfänger beide am System teilnehmen. Nur so funktioniert die Empfangsbestätigung wirklich. Und da muß sich das System der Öffentlichkeit stellen, wie alles im Internet. Wird es angenommen, wird es eine Norm. Wenn nicht, dann floppt es. Bis jetzt gibt es nicht einmal einen RfC zu dem Thema – das schaut schlecht aus mit der Akzeptanz der Benutzer.
Angesichts der unschönen Attitüden unseres Innenministeriums werden sich viele Leute hüten, einem System zu vertrauen, das staatlich gefördert ist. Kostenlos wird das Ganze auch nicht sein. Von einem Schätzpreis von 10 ct wird ausgegangen – das ist wenig, vergleicht man es mit den Kosten für ein Einschreiben, aber es ist ziemlich viel, vergleicht man es mit den Kosten einer simplen EMail. Das muß einfacher gehen. Meine Bank schickt mir keine Kontoauszüge mehr. Ich kann sie in einem geschützten Bereich des Onlinebanking herunterladen. Daß ich den Auszug abgeholt habe, kann die Bank nachweisen. Datenschutzprobleme habe ich damit nicht, denn das konnte sie vorher schon, als ich noch den Belegdrucker in der Bank aufsuchen mußte dafür. Die Bank braucht somit schon kein DE-Mail.
Viele stört sicher auch das „D“ in „DE-Mail“. Was ist, wenn ich europaweit die Vorzüge genormter Mailnachweise nutzen will? Das gibt es schon längst, nennt sich „eWittnes“, Werbung will ich dafür nicht machen, aber es ist eine Initiative eines Italieners und eines Franzosen, Sitz in Luxemburg, Technikdienstleister eine deutsche Firma. Somit genügt mir nur der Hinweis, daß der ganze DE-Mail-Komplex nach einem bürokratischen Coup aussieht. Wie erfinde ich was, was es längst gibt und keiner erkennt des Kaisers neue Kleider?
ein feiner und erhellender beitrag.
ich habe vor vielen jahren lange mit pgp in der kommunikation zwischen räumlich getrennten unternehmensteilen gearbeitet und fand das system vor allen dingen recht handlich in der täglichen arbeit. heute maile ich im geschäftsverkehr ausschließlich unverschlüsselt, was mich offen gestanden bei der struktur meiner kunden ein wenig wundert. aber wann immer ich in der vergangenheit dieses thema bei meinen kunden zur sprache brachte, stieß ich auf wenig gegenliebe. und wie svb zurecht sagt: zum ver- und entschlüsseln gehören immer zwei.
es ist schon eigenartig, dass unternehmen durchaus bereits sind, geld für den schutz vor viren, trojanern und spam auszugeben und sich um die abstrahlung von röhrenmonitoren kümmern, aber ihre post in offenen umschlägen verschicken.
Der große Nachteil digitaler Informationsübermittlung besteht darin, dass es bei rechtlich relevanten Kommunikationsaktivitäten zu einem eklatanten Mangel an juristisch akzeptabler Nachweisbarkeit kommt. Dann bleibt meist nur der Medienbruch in Form eines Rückgriffs auf teure und zeitraubende Verfahren, wie zum Beispiel das Einschreiben mit Rückschein oder die Zustellung per Gerichtsvollzieher.
Unser in dem Beitrag erwähntes System eWitness kann Nachweisprobleme bei der Versendung von E-Mails oder bei FTP-Uploads lösen. Es handelt sich dabei um eine Art „elektronisches Einschreiben mit Rückschein“, nur mit dem Unterschied, dass mit dem System nicht nur die Zustellung einer E-Mail, sondern auch deren Inhalt nachgewiesen werden kann.
Die mit eWitness versendeten Daten werden vom Mailprogramm des Absenders zunächst an einen eWitness-Server verschickt. Sobald die Daten auf diesem Server eintreffen, werden sie „versiegelt“ und dann an den jeweiligen Empfänger weitergesendet. Durch Einfügen so genannter „elektronischer Fingerabdrücke“ (Hash-Werte) und durch die genaue Protokollierung aller Transaktionen sind nachträgliche Veränderungen der übersendeten Daten nicht mehr möglich – Manipulationsversuchen wird so ein Riegel vorgeschoben. Der Absender erhält zu jeder Transaktion sofort eine qualifiziert signierte Bestätigung per E-Mail, die alle wesentlichen Transaktionsdaten enthält: Der genaue Zeitpunkt des Versandes wird in diesem Protokoll ebenso festgehalten wie der Absender, der Empfänger und ein „Fingerabdruck“ des Inhalts. Dieses Protokoll kann auf Grund der gesetzeskonformen qualifizierten Signatur und der Autorisierung durch einen Notar als Beweis des Versandes und der Zustellung benutzt werden.
Alle Versendungsvorgänge sowie die versendeten Daten werden beim Betreiber gespeichert und archiviert: Durchgeführte Versendungen können so auch noch nach Jahren durch zertifizierte digitale Kopien der Daten und der Zustellnachweise dokumentiert und zu Beweiszwecken vorgelegt werden. So lassen sich große Informationsmengen digital archivieren.
Das System wird bereits in vielen europäischen Ländern genutzt: In Deutschland ist es seit 2008 im Einsatz.