Wie sicher ist De-Mail?

Gestern Abend, am 19. April 2013, verabschiedete die Bundesregierung in letzter Minute das umstrittene Gesetz zur Förderung des eGovernment. Es soll die De-Mail und sonstige sichere Verfahren zur Bürgerkommunikation mit Behörden und Verwaltungen etablieren. Doch Bürger wie Unternehmen treibt die Frage um, wie sicher die De-Mail wirklich ist. Spiegel Online zitiert dazu den Verschlüsselungsexperten Karsten Nohl: „Das System hat keine Ende-zu-Ende-Verschlüsselung und ist daher für sensible Steuer-, Sozial- und Justizdaten ungeeignet. Hier kann eine unverschlüsselte Datenübertragung fahrlässiger Geheimnisverrat sein, der nach § 203 StGB mit Gefängnis geahndet wird.“

Das wollte die Bundesregierung ändern: Nicht, indem sie an der Verschlüsselungstechnik etwas verbesserte, sondern, indem sie an den Gesetzen drehte: Im ursprünglich geplanten Gesetz zur „Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ sollte festgeschrieben werden, dass die Übertragung von Steuergeheimnissen per De-Mail  „legal und sicher“ ist.  Mit einem kurzfristigen Änderungsantrag wurde die bislang im Behördenverkehr vorgeschriebene Schriftform nicht nur durch De-Mail, sondern auch durch „sonstige sichere Verfahren“ ersetzt.

Um zu demonstrieren, wie „sicher“ De-Mail ist, zeigte die Deutsche Telekom – der größte De-Mail-Anbieter – vorab einigen Journalisten das Herzstück, die „besonders sicheren Server-Räume des Systems“: In einem Frankfurter Vorort liegt dieses ganz besondere Rechenzentrum. Das Gelände sei laut Detlev Borchers , dem Redakteurs von heise.de, mit Zäunen abgesperrt, dahinter „der Perimeterschutz gegen angreifende Bulldozer“. Wer als Mensch die Gebäude betreten möchte, müsse drei Sicherheitszonen über Vereinzelungsschleusen durchqueren, ehe er in die Serverräume komme. Dort würden in langen Reihen von Racks die Server, Switches und Router stehen. In einem von ihnen, noch einmal durch einen Drahtkäfig gesichert, stehen die De-Mail-Server der Deutschen Telekom (für Privatkunden), von T-Systems (für Geschäftskunden) und eine Plattform, auf der Entwickler neue Ideen rund um De-Mail ausprobieren. Wer den Käfig betreten will, braucht einen Begleiter: Der alleinige Aufenthalt einer Person ist untersagt und führt zum Alarm. Wenn ein Techniker eine defekte Hardware austauschen muss, soll er dies nur unter Aufsicht tun.

Doch was ist mit den Daten selbst? Borchers: „Geschäftig blinkende Lämpchen künden laut  davon, dass De-Mail abgeholt wird oder eintrifft. Die De-Mail wird dann kurzzeitig entschlüsselt, auf Viren geprüft und für die Abholung durch den Kunden gespeichert oder zu einem anderen De-Mail-System weitergeleitet.“ Das heißt also, in den De-Mail-Servern liegen die Daten in Klarschrift vor und sind – trotz all der organisatorischen Sicherheitsmaßnahmen – ungeschützt. Der Betreiber kann also auf die Daten der Kunden jederzeit zugreifen. Einen  effektiveren Weg, Geschäftsgeheimisse zu bewahren, beschreibt das Portal Search Security.de: Bei dem Verfahren der Sealed Cloud werden die Daten permanent in verschlüsselter Form in den Datenbanken gesichert. Jeder Datensatz wird einzeln verschlüsselt und den dazugehörigen Schlüssel hat nur der Besitzer der Daten selbst. Findet ein Zugriff auf einen Server statt, der unverschlüsselte Daten verarbeitet, werden diese innerhalb von Millisekunden eliminiert. Unautorisiert kann niemand die Daten lesen – auch nicht der Anbieter!