Kritik am E-Postbrief wächst

[Dynamite]

Mit der Einführung eines E-Postbriefs versucht die Deutsche Post, einen Dienst zu etablieren der „sicher und verbindlich, wie ein Brief mit der Deutschen Post“ sein soll. Jeder E-Postbrief wird mit einer qualifizierten elektronischen Signatur versehen, die eine Integritätsprüfung der enthaltenen Daten ermöglicht.

Die Stiftung Warentest hat nach einer ersten Überprüfung bereits beklagt, dass die Anmeldung für das Verfahren sehr umständlich sei, theoretisch jeder gedruckte E-Postbrief von Postmitarbeitern gelesen werden könne, die Nutzer angehalten würden, ihr Konto mindestens einmal je Werktag zu kontrollieren und der Dienst unverhältnismäßig teuer sei.

Richard Gutjahr, freier Mitarbeiter und Moderator beim Bayerischen Rundfunk, legt nun in seinem Internet-Blog nach. Er hat sich gemeinsam mit juristischem Beistand durch die Rechtsanwälte Udo Vetter und Thomas Stadler die Allgemeinen Geschäftsbedingungen der Post genauer angesehen und moniert vor allem verklausulierte Pflichten, die dem Kunden auferlegt werden und die Weitergabe von Daten an Dritte. Von Bloggern werden die Erkenntnisse bereits satirisch kommentiert.

Zunächst, schreibt Gutjahr, werde der Nutzer aufgefordert, mindestens einmal werktäglich den Eingang in seinem Nutzerkonto zu kontrollieren, das gelte zum Beispiel auch im Urlaub. Habe er der Veröffentlichung der Daten im Adressverzeichnis zugestimmt, dürfe die Post mit seiner Adresse und seinen Daten munter Handel betreiben und diese beispielsweise an Adress-Broker weiterverkaufen. Die mögliche Folge sei, dass Spam und Reklame auch die E-Mailbox verstopften. Bonbon für die Werbetreibenden: Der Kunde hat sich ja verpflichtet, jeden Tag seinen E-Mail-Eingang zu überprüfen.

Vor allem genieße der E-Brief nicht den Schutz des Briefgeheimnisses. Nach der Rechtsprechung des Bundesverfassungsgerichts unterliege er nur dem Fernmeldegeheimnis und sei damit allenfalls so geschützt wie eine Postkarte. Als E-Postbrief-Kunde sei man mit seinen kompletten Daten registriert, einschließlich der Personalausweisnummer. Darum falle es wesentlicher leichter, eine bestimmte Person zu identifizieren, Um einen herkömmlichen Brief zu öffnen, sei eine richterliche Anordnung nötig. Bei der elektronischen Variante könne ein Polizeibeamter, wenn er gegen jemanden einen Anfangsverdacht habe, bei der Post gegebenenfalls sogar E-Mails einsehen. Dabei müsse es sich nicht einmal um ein schweres Vergehen handeln. Dies falle umso mehr ins Gewicht, als die Post eine Kopie dieses Briefes für einen nicht näher definierten Zeitraum speichere – ob man das wolle oder nicht.

Derweil geriet auch De-Mail, das von der Bundesregierung propagierte, aber noch nicht im Betrieb befindliche System für rechtssichere E-Mail, in die Diskussion Zweifel an der Sicherheit von De-Mail, mit der das System der Post konkurriert, hat das Bundesinnenministerium laut einem dpa-Bericht zurückgewiesen. Nur Anbieter, die strengen Sicherheitsanforderungen entsprächen, dürften die elektronische Post anbieten, erklärte das Ministerium. Zudem sei das System so sicher, dass Hacker es in einem Pilotprojekt in mehreren Versuchen nicht hätten knacken können. Damit reagierte das Ministerium auf Kritik an der Sicherheit von De-Mail, die nach einem Bericht der Frankfurter Rundschau aufgekommen war.

Aus technischen Gründen würden De-Mails auf dem Server des Anbieters einmal kurz entschlüsselt und anschließend sofort wieder verschlüsselt. Kritiker sehen darin eine Schwachstelle, die sich Angreifer zunutze machen könnten – das sei wie bei einem Brief, der unterwegs geöffnet und in ein neues Kuvert gesteckt werde. Mehrere Unternehmen hatten in den vergangenen Wochen De-Mail-Angebote gestartet.

Das Ministerium erklärte, die zwischenzeitliche Entschlüsselung geschehe in "Hochsicherheitsrechenzentren", die strenge Vorschriften aus dem De-Mail-Gesetz einhalten müssten – bislang liegt dieses Gesetz aber lediglich als Referentenentwuf v or. Zudem könnten Nutzer mit einer zusätzlichen Software auf dem eigenen Rechner ihre elektronische Post vor dem Versand selbst verschlüsseln, also quasi in einen Extra-Umschlag stecken. "Das System ist speziell für diese Erweiterungsmöglichkeit konzipiert."

Auch die Erfahrungen sprächen für den hohen Sicherheitsstandard. Im Pilotprojekt in Friedrichshafen hätten Hacker mehrfach erfolglos versucht, in das System einzudringen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe im Rahmen der Zertifizierung Testangriffe gestartet, um Sicherheitsmängel erkennen und beseitigen zu können. (Frank Möcke) / (fm)

Quelle: Heise.de

[Dynamite]

Anwälte kritisieren De-Mail

Der deutsche Anwaltsverein hat in einer Stellungnahme (PDF-Datei) die geplanten Regelungen des De-Mail-Dienstes kritisiert. Grundsätzlich sieht er gar keinen Bedarf für den Dienst. Wer rechtssichere Mail haben wolle, könne schon heute mit der vorhandenen Infrastruktur der elektronischen Signatur arbeiten.

Der Anwaltsverein, in dem nach eigenen Angaben 67.000 Rechtsanwälte vertreten sind, sieht demzufolge auch keinen triftigen Grund, einen De-Mail-Dienst zu installieren. Mit der elektronischen Signatur sei eine Zustellung elektronischer Dokumente bereits möglich. Deshalb könne auch nicht davon ausgegangen werden, dass deutsche Behörden tatsächlich einen Bedarf für diesen Dienst hätten.

Sollte De-Mail aber dennoch eingeführt werden, heißt es weiter, würden sich die Anwälte eine klare gesetzliche Regelung wünschen, wonach es für die anonyme Kommunikation im Internet abseits der drei De-Mail-Dienste (De-Mail, De-Safe und De-Ident) keine Nachteile geben dürfe. "Die anonyme Kommunikation im Internet ist ein wichtiger Grundwert, der Meinungs- und Informationsfreiheit sichert. Er darf über die Einrichtung von De-Mail-Diensten nicht eingeschränkt werden. Dies bedingt nicht nur die Möglichkeit für die Nutzer von Portalen, sich anonym im Internet bewegen zu können", heißt es in der Stellungnahme.

Außerdem sollte die künftige Regelung einen Passus erhalten, nach dem weder eine staatliche Behörde noch ein Unternehmen mit Monopolcharakter (etwa ein Stromversorger) noch der Arbeitgeber eines Bürgers diesen über juristische Regelungen zwingen kann, sich ein De-Mail-Konto zu besorgen. Schließlich üben die Anwälte auch deutliche Kritik an der geplanten Neuregelung des Verwaltungszustellungsgesetzes, die die sogenannte Zustellfiktion an Sonn- und Feiertagen abschafft. (Detlef Borchers) / (pmz)

Quelle: Heise.de

[Dynamite]

De-Mail und E-Postbrief: Die (un)sicheren Mails

Einer der ältesten und nach wie vor der beliebteste Dienst im Internet ist die E-Mail. Fast ausnahmslos jeder Internet-Nutzer verwendet die elektronische Post zum Kommunizieren. Dennoch sind für viele wichtige und vor allem behördliche Vorgänge nach wie vor reguläre Briefe von Nöten. Das soll sich eigentlich mit der De-Mail und dem E-Postbrief ändern. Doch die Kritik an den beiden Diensten wächst.

Prinzipiell bezweifelt wohl kaum jemand den Nutzwert rechtssicherer E-Mail-Adressen. Sie ermöglichen es beispielsweise, Kaufverträge oder Versicherungen abzuschließen, ohne dass man die unterschriebenen Papier-Seiten in einem Umschlag durch die Gegend schicken oder altmodisch faxen muss. Auch zahlreiche Behördengänge würden so entfallen, da eine Bürger-zu-Staat-Kommunikation ohne Möglichkeit der Täuschung durchgeführt werden könnte. Im Prinzip wollen beide Anbieter genau dieses Ziel erreichen, doch einmal steht als treibende Kraft die Bundesregierung dahinter (De-Mail) und einmal der ehemalige Brief-Monopolist Deutsche Post AG (DPAG). Trotz dieser unterschiedlichen Anbieter ähnelt sich die Kritik bei beiden Diensten sehr stark. Wir stellen Ihnen die drei kontroversesten Punkte vor.

Kritikpunkt "Briefgeheimnis"
"Wir bringen das Briefgeheimnis ins Internet" propagiert die Post in ihren TV-Werbespots großspurig – dabei ist die Aussage schlichtweg falsch. Das Briegeheimnis ist in Deutschland ein sehr mächtiger Schutz der Privatsphäre. Es verbietet unter anderem Polizei und Staatsanwaltschaft, Briefe von Verdächtigen zu öffnen. Dieses Recht ist ausschließlich Richtern vorbehalten. Anders als die Post in ihren Werbe-Botschaften behauptet und es auch immer wieder von Politikern in Bezug auf die De-Mail verbreitet wird, trifft diese Regelung aber nicht auf E-Mails zu. Weder auf reguläre, noch auf die speziellen Personen-gebundenen Accounts von DPAG und Regierung. Vielmehr fallen Mails grundsätzlich unter das Fernmelde-Geheimnis.

Um Mails einzusehen können Ermittlungs- und Strafverfolgungs-Behörden bereits bei einem Anfangsverdacht ohne richterlichen Beschluss in die Kommunikation Einsicht nehmen. Hinzu kommt ein logistischer Unterschied: Während es bei regulären Briefen in der Masse der täglichen Sendungen schwierig bis fast unmöglich ist, einen bestimmten Umschlag abzufangen, lassen sich E-Postbriefe oder De-Mails sehr leicht per Datenbank-Abfrage aufspüren und auch noch einsehen/abfangen, nachdem sie zugestellt wurden.

Kritikpunkt "Spam-Schleuder"
Punkt 4 der AGB des E-Postbrief scheint der Deutschen Post Tür und Tor für die Weitergabe der vermeintlich sicheren Adresse zu öffnen. Dort heißt es: "Falls der Veröffentlichung der Daten im Adressverzeichnis zugestimmt wurde, können diese Angaben von der Deutschen Post AG an andere registrierte Geschäftskunden / Versender auf Anfrage auch beauskunftet werden. Dabei nennt der Geschäftskunde Name und Postanschrift des Empfängers. Anhand dieser Angaben ermittelt die Deutsche Post AG die E-POSTBRIEF Adresse des Empfängers und teilt sie dem Geschäftskunden mit, damit dieser seine Nachricht als E-POSTBRIEF versenden kann."

Der Journalist und Blogger Richard Gutjahr fragte bei der DPAG nach, ob diese Passage bedeute, dass auch ein Weiterverkauf der Daten möglich sei. Die Antwort fiel bestenfalls schwammig aus: "Adressdaten werden ohne Zustimmung des E-POSTBRIEF Nutzers weder veröffentlicht noch weitergegeben. […] Selbstverständlich ist der Eintrag im Nutzerverzeichnis freiwillig bzw. muss ausdrücklich vom Nutzer gewollt sein." Diese Formulierung könnte durchaus den Rückschluss zulassen, dass im Falle einer Zustimmung des Nutzers mit seinen Adress-Daten Handel betrieben wird. Solange die Post dies nicht ausdrücklich ausschließt, ist also Vorsicht geboten.

Kritikpunkt Kosten
Die De-Mail soll nach Willen der Bundesregierung für den Bürger kostenfrei sein, gleichzeitig ist die langfristige Finanzierung des Dienstes aber noch nicht gesichert. Zudem sehen die Richtlinien für die De-Mail nicht explizit vor, dass die entsprechenden Dienstleister den Service kostenlos anbieten, sondern formuliert dies nur als Möglichkeit. Es ist also durchaus möglich, dass sich das Blatt bis zum Start des Dienstes noch wendet und man schließlich doch für die Behörden-Mails zur Kasse gebeten wird.

Etwas eindeutiger aber keineswegs besser sieht es beim E-Postbrief aus. Es ist zu vermuten, dass die Post diesen Dienst als Gegenentwurf zur De-Mail plante und einführte, da sie massive Verdienstausfälle beim klassischen Brief-Verkehr fürchten muss, sobald sämtliche Behörden-Kommunikation von der Straße auf den Daten-Highway verlegt wird. Der E-Postbrief soll dieser Entwicklung wohl entgegenwirken und bietet daher eine Preisstruktur, die sich stark am traditionellen Briefporto orientiert. Pro versandter E-Mail verlangt die DPAG das Standard-Briefporto von 0,55 Euro. Für die digitale Gegenleistung eines Einschreibens mit Rückschein werden weitere 1,60 Euro fällig. Richtig teuer wird es, wenn der Empfänger kein E-Postbrief-Konto besitzt und die E-Mail deshalb ausgedruckt und klassisch per Hand zugestellt wird. In diesem Fall würde für ein fünfseitiges Dokument ein Basis-Porto von 0,90 Euro fällig, hinzu kommen pro ausgedruckter Seite 0,10 Euro und weitere 4,58 Euro für das Einschreiben mit Rückschein. Dieser Preis von insgesamt 5,98 Euro liegt deutlich über dem klassischen Einschreiben mit Rückschein, für das die Post lediglich 4,75 Euro als Zustellgebühr auf den Umschlag kleben würde.

Auf Grund der vielen offenen Fragen und da es bislang noch keinerlei Dienstleister oder Behörden gibt, die auf den E-Postbrief setzen, sollte man sich also derzeit überlegen, ob man den Dienst aktuell tatsächlich benötigt. Als für Endkunden interessante Unternehmen haben bislang lediglich die Versicherungen Allianz und Zürich verlauten lassen, dass Sie die Einführung des E-Postbrief als Alternative zum klassischen Briefverkehr planen, ein genauer Zeitpunkt ist aber in beiden Fällen noch nicht genannt worden. Die weiteren Partner Lotto Hessen, Mercedes Benz Motorsport und DFB dürften für die meisten Bürger eher uninteressant sein. Bei der De-Mail hat man sogar noch etwas mehr Zeit, um über die Frage des persönlichen Nutzens nachzudenken: Sie ist momentan sowieso noch nicht einmal in Betrieb. (cel)

Quelle: Heise.de

[Dynamite]

Sicherheitsunternehmen kritisieren De-Mail

In einer Mitteilung begrüßt der TeleTrusT e.V. den Gesetzentwurf (PDF) zur De-Mail, übt aber auch grundsätzliche Kritik. De-Mail soll als rechtsverbindlicher Service die Online-Kommunikation zwischen Bürgern und Behörden verbessern. Den Dienst dürfen nur zertifizierte Unternehmen anbieten, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft wurden. Sie müssen definierte Verschlüsselungs- und Speicherstandards einhalten und sind verpflichtet, die eindeutige Identifizierung der Inhaber von De-Mail-Konten nachzuweisen. Zur Vorregistrierung eines De-Mail-Accounts gehört daher, dass die interessierten Bürger mit einem Formular und dem Personalausweis oder Pass zu einer Behörde gehen. Diese muss die Identität bestätigen und das Formular zum De-Mail-Anbieter schicken. An dem geplanten Dienst, dessen gesetzliche Grundlage sich noch in der Entwurfsphase befindet, gibt es bereits einige Kritik.

Der Verein TeleTrusT wünscht sich nun eine stärkere Beteiligung von Trustcentern und eine Einbeziehung ihrer Technik: Mit dem neuen Gesetz werde "ein neues Mittel einfach neben die bestehende Lösung gesetzt, statt eine Initiative zur weiteren Verbreitung der qualifizierten elektronischen Signatur zu ergreifen." Einige der deutschen Trustcenter sind TeleTrusT-Mitglied.

Die im Signaturgesetz als "Zertifizierungsdiensteanbieter" bezeichneten Unternehmen hätten bereits eine Infrastruktur aufgebaut, die sowohl eine sichere Authentisierung als auch die Ende-zu-Ende-Verschlüsselung von Nachrichten ermögliche. Für beide Funktionen könnten die von den Trustcentern ausgegebenen Smartcards mit den darauf installierten Zertifikaten genutzt werden. Außerdem ließe sich die Erstregistrierung zumindest für diejenigen De-Mail-Interessenten vereinfachen, die bereits eine Signaturkarte besitzen: Stimmen sie zu, könnten sie sich ohne erneute Identitätsprüfung online bei dem Dienst registrieren. Die persönlichen Daten erhielte der De-Mail-Provider dann vom jeweiligen Trustcenter.

Außerdem fordert TeleTrusT eine stärkere Berücksichtigung von IT-Normen. So reiche es nicht, lediglich Web-Clients für De-Mail vorzusehen. Nötig sei auch eine sichere Anbindung klassischer Mail-Clients via POP3, IMAP und SMTP. Auch für die Absicherung dieser Dienste ließen sich die Smartcard-Zertifikate einsetzen, sagte ein TeleTrusT-Vertreter gegenüber heise online.

Kritik übt der Verein an einer Lücke im Gesetzentwurf. Sie ermögliche es, dass Behörden via De-Mail Bescheide und Verfügungen zustellten, die Bürger jedoch nicht per Antwort-Mail darauf Rechtsmittel einlegen könnten. Denn bislang sei nach Verwaltungsverfahrensgesetz und Verwaltungsgerichtsordnung eine qualifizierte elektronische Signatur dafür erforderlich. Es stelle sich für den Nutzer "die Frage, warum er De-Mail nutzen soll, wenn im Zweifel doch die qualifizierte elektronische Signatur erforderlich wird." (ck)

Quelle: Heise.de

[feldmann]

bei Stiftung Warentest habe ich das gelesen.

>>>Die Allgemeinen Geschäftsbedingen der Deutschen Post schreiben es genau vor: Nutzer sollten ihr Konto mindestens einmal je Werktag kontrollieren. Im Urlaub genauso wie bei Krankheit. Die Post argumentiert: Einen Internetanschluss gibt es schließlich überall...................Wer nicht regelmäßig in seinen elektronischen Briefkasten schaut, versäumt unter Umständen Fristen oder Mahnungen.<<<

das ist ja wohl der größte mist, alleine deswegen würde ich mir das nicht zulegen.
jeden tag leeren ??? und was ist wenn mal mal ein unfall hat und ins krankenhaus muss ???
ich bezweile das es überall inertnet anschlüsse gibt. was ist den wenn man nach afrika oder nach südamerika reist, dort gibt es bestimmt nicht überall ein anschluss.
und sollte es ein anschluss geben, ich besitze weder ein handy noch ein laptop, was bringt mir da ein internetanschluss.

wenn ich ein brief bekomme, kann der 2 oder 3 wochen im briefkasten liegen, der verschwindet nicht einfach.

[Dynamite]

Ich brauche diesen E-Brief auch nicht. Für mich reicht der Papierbrief vollkommen aus.

[Dynamite]

Notare und Anwälte gemeinsam gegen De-Mail

Nach dem deutschen Anwaltverein hat sich auch der Deutsche Notarverein gegen De-Mail in der derzeit geplanten Form ausgesprochen. In einer gemeinsamen Erklärung von Anwälten und Notaren (PDF-Datei) wird vor allem der Unterschied zwischen einem postalischen und einem elektronischen Briefkasten herausgestellt. In solch einem e-Briefkasten könne schnell eine Vielzahl auch unerwünschter Nachrichten einlaufen und so zum allgemeinen "Datenoverkill" beitragen. Die Folge: E-Mails, die anders als ein Brief nicht auf den ersten Blick als amtliche Schreiben erkennbar seien, könnten nicht wahrgenommen oder aus Versehen gelöscht werden. Dies könne dazu führen, das wichtige Dokumente zugestellt werden, ohne dass der Bürger es registriert und Fristen für Rechtsmittel ungewollt verstreichen.

Darüber hinaus kritisieren die Anwälte und Notare die Kosten für De-Mail. Es sei problematisch, dass die Kosten des Bürgers für den Unterhalt eines funktionierenden Rechners keine Erwähnung finden. Das Vorhaben sei damit ein "Versuch der Industrie, für die E-Mail Gebühren einzuführen wie beim Telefon." Anders als beim Mobilfunk aber habe der Nutzer beim Wechsel des De-Mail-Anbieters kein Rechtsanspruch darauf, seine Mail-Adresse zu behalten. Problematisch sei außerdem, dass die Indentitätsfeststellung nur einmal erfolge und Namenswechsel, etwa bei Heirat, nicht berücksichtigt würden. Damit würde dem Missbrauch des Systems Vorschub geleistet.

Schließlich kritisieren die Anwälte und Notare, dass sie im gesamten Gesetzgebungsverfahren bis zum 30. Juli nur drei Wochen Zeit hatten, Stellung zu nehmen. Demgegenüber habe die Industrie eine Frist von drei Jahren gehabt, sich auf De-Mail vorzubereiten. Anwälte wie Notare fordern mindestens einen zusätzlichen Passus im Gesetzentwurf, nach dem weder die Behörden noch die Arbeitgeber oder Unternehmen mit Monopolcharakter einen Bürger zwingen können, sich ein De-Mail-Konto zu besorgen.

Mit der gemeinsamen Erklärung von Anwälten und Notaren wächst das Lager der De-Mail-Kritiker. Zuvor hatten schon die Trustcenter De-Mail kritisiert, weil rechtsverbindliche E-Mail dank dem Signaturgesetz heute schon möglich ist. Auch die Anwälte und Notare betonen diesen Aspekt, wobei allerdings verschwiegen wird, dass die Notare auf Basis der qualifizierten elektronischen Signatur seit einiger Zeit ein eigenes europäisches Verbundsystem für den Dokumentenaustausch betreiben, dass sie ihren Klienten als Service in Rechnung stellen.

Mehr aus der Sicht des Endkundens argumentiert der Bundesverband der deutschen Verbraucherzentralen in seiner Stellungnahme zur De-Mail. In ihr kommen die Juristen zum Schluss, dass die Nachteile für den Bürger einen möglichen Nutzen deutlich überwiegen. Bemängelt werden etliche Ungereimtheiten bei den Verzeichnis- und Auskunftsdiensten. In einem Punkt üben die Verbraucherschützer allerdings Fundamentalkritik: "Eine Sicherheit, ein Datenschutz und eine Vertrauenswürdigkeit einer rechtverbindlichen elektronischen Kommunikation mittels De-Mail kann nur durch eine gesetzlich verbindliche Ende-zu-Ende-Verschlüsselung erreicht werden." Eine solche Verschlüsselung, bei der der Bürger in Besitz des Schlüssels für seine E-Mail ist, ist im De-Mail-System als zusätzliche Komponente angedacht, die den Upload von Briefen zum elektronischen Postdienst absichern kann. (Detlef Borchers) / (vbr)

Quelle: Heise.de

[Dynamite]

Innenministerium weist Kritik an De-Mail zurück

Erwin Schwärzer, Referatsleiter IT 1 im Bundesinnenminsterium, weist in der aktuellen Ausgabe des Behörden-Spiegels die Kritik an dem geplanten Dienst De-Mail zurück. Der Dienst sei datenschutzkonform und werde vom Bundesbeauftragten für Datenschutz positiv bewertet. Das Innenministerium sieht eine große Akzeptanz und hofft auf weitere De-Mail-Anbieter, die im Wettbewerb untereinander das System weiter entwickeln.

Die Kritik am De-Mail-System, das die Briefe entschlüsselt und auf Viren oder Spam überprüft, kann das Innenministerium nicht nachvollziehen. In seiner Stellungnahme heißt es: "Die Daten liegen daher kurz im Klartext beim Provider des Versenders vor. In dieser Zeit befinden sie sich ausschließlich in Hochsicherheitsrechnern, die im Rahmen der Zertifizierung des Providers einer Sicherheitsüberprüfung anhand der strengen Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik standhielten."

Nach Angaben des Bundesinnministeriums ist diese Prüfung ein besonderer Service des Systems, weil man bewusst darauf verzichtet habe, Anwender zur Installation zusätzlicher Sicherheitssoftware zu zwingen. "Erkennt das System einen Virus oder einen Trojaner an einer De-Mail, wird die Nachricht entsprechend elektronisch gekennzeichnet. Diese Maßnahme schützt den Empfänger der De-Mail und seine Technik." Was mit einer schädlichen Mail passiert, die ja ein offizielles Behördenschreiben sein kann und was dem Anwender droht, der eine solche Mail dennoch öffnet, darüber wird offenbar noch beraten. Das Innenministerium gibt zu diesem Problem keine Auskunft.

Auch der E-Postbrief der Deutschen Post wird in der Ausgabe des Behörden-Spiegels vorgestellt. Harald Lemke, ehemaliger hessische IT-Staatssekretär und Vorsitzender von Deutschland Online, nimmt als neu ernannter "Sonderbeauftragter für E-Justice" der Deutschen Post zum E-Postbrief Stellung. Nach Lemke entspricht er allen De-Mail-Standards, soll aber weit über De-Mail hinausgehen. So sollen mit einem E-Postbrief und seiner integrierten Bezahlfunktion direkt fällige Verwaltungsgebühren oder sonstige Gebühren bezahlt werden können. Im Wettbewerb mit anderen Anbietern sieht Lemke die Post in punkto Akzeptanz deutlich besser gestellt als der Wettbewerb, weil die Post bereits heute "mit hoheitlichen Aufgaben beliehen" sei. Dies zeige auch der Run auf den E-Postbrief, den über eine Viertel Million Bürger bereits bestellt haben und ausprobieren.

Zum Thema sichere elektronische Kommunikation mit Behörden hat der Behörden-Spiegel eine Sonderausgabe seines Newsletters herausgebracht, der per Download zur Verfügung steht. (Detlef Borchers) / (anw)

Quelle: Heise.de

[Dynamite]

Stiftung Warentest: E-Postbrief hakt noch

Die Stiftung Warentest hat bei Probesendungen mit dem neuen E-Postbrief der Deutschen Post Mängel festgestellt. "Zum Start hakte der E-Postbrief noch", stellen die Warentester in Berlin in ihrer Zeitschrift test (Ausgabe 09/2010) fest. Einige der elektronisch versandten Briefe seien erst am zweiten Tag angekommen, wie ein Schnelltest ergeben habe. Außerdem habe die Druckvorschau ein anderes Bild gezeigt als der dann tatsächlich ausgedruckte Brief: Statt eines als PDF verschickten Fotos sei ein weißes Blatt angekommen. Die Post habe zugesagt, die Probleme schnell zu beheben.

Die Tester bemängelten außerdem, dass es keine Möglichkeit für eine rechtsverbindliche Unterschrift gebe. Die Post empfehle dafür, die handschriftliche Unterschrift einzuscannen. "Doch ein Scan ist eine Kopie", heißt es in dem Bericht. "Wo die Originalunterschrift verlangt wird, wie etwa bei einer Mietkündigung, reicht er nicht."

Quelle: Heise.de

[Dynamite]

Knack die Post: Hacker sollen Lücken in E-Postbrief finden

Die Mozilla Foundation und Google haben es mit ihren Fehler-gegen-Geld-Programmen erfolgreich vorgemacht; nun versucht sich die Deutsche Post in einem ähnlichen, aber zeitlich begrenzten Programm zum Aufdecken von Lücken in seinem Dienst E-Postbrief. Im Rahmen des sechswöchigen "Deutsche Post Security Cup" sollen sich mehrere Teams aus der Sicherheits-Community am Live-System mit eigenen Tools versuchen, um Fehlern auf die Spur zu kommen.

Der Fund größerer Fehler soll mit 5000 Euro, kleinere Fehler mit 1000 Euro belohnt werden. Um die Bewertung der Schwachstellen kümmert sich eine vierköpfige Jury, zu der unter anderem Professor Thorsten Holz vom Honeynet Project, Harald Welte sowie Jennifer Granick von der Electronic Frontier Foundation gehören.

Noch bis Ende September können sich Teams bewerben, der Wettbewerb startet am 26. Oktober. An die Teilnahme sind einige Bedingungen geknüpft: Daten anderer Anwender dürfen nicht manipuliert werden, gefundene Fehler dürfen nur an die Jury gemeldet werden und es ist ein Abschlussbericht anzufertigen. Die teilnehmenden Teams erhalten ein Nutzerkonto und eine Start-Prämie von 3000 Euro – die allerdings zum Teil auf die gebührenpflichtigen Dienste entfallen.

Die Deutsche Post geht damit einen anderen Weg als viele andere Anbieter und Dienstleister, die ihre Webserver und Anwendungen von Sicherheitsfirmen untersuchen und anschließend mit einem Siegel ausstatten lassen. Dort ist oftmals für die Öffentlichkeit nicht nachvollziehbar, was eigentlich getestet wurde. (dab)

Quelle: Heise.de

[Dynamite]

Über eine Million Kunden für den E-Postbrief

Die Deutsche Post hat für ihren neuen Online-Brief bereits eine Million Kunden gewonnen. Das berichtete das Unternehmen am Mittwoch in Bonn. Der so genannte E-Postbrief wurde Mitte Juli eingeführt und seither in einer breit angelegten Kampagne beworben. Die Post ist das erste Unternehmen, das einen solchen Online-Brief eingeführt hat. Sie hofft, mit dem Dienst Einbußen aus dem steten Rückgang beim traditionellen Briefversand ausgleichen zu können. Doch die Konkurrenz formiert sich: Die Deutsche Telekom und United Internet (Web.de und GMX) planen ein ähnliches Angebot und verzeichneten bereits rund 700.000 vorab registrierte Kunden.

Privatpersonen, Behörden oder Unternehmen, die ihre Briefe mit der Deutschen Post rechtssicher wahlweise übers Internet oder gedruckt versenden wollen, müssen sich zuvor registrieren und eine passende Mail-Adresse sichern. Unabhängig davon, ob übers Internet oder ausgedruckt zugestellt, kostet der E-Postbrief wie ein Standardbrief 55 Cent. Dennoch soll er nach Angaben der Post für Unternehmen und Verwaltungen die Kosten für die Postbearbeitung um bis zu 60 Prozent senken.

Nach Angaben der Post haben sich bereits mehr als 100 große deutsche Unternehmen und Behörden für die Nutzung des E-Postbriefs entschieden. Seit 2. November sei das Portal auch für kleinere Unternehmen geöffnet.

Die Post wirbt damit, mit dem E-Postbrief werde das Briefgeheimnis ins Internet übertragen. Alle E-Postbriefe seien auf ihrem Weg verschlüsselt und könnten nicht von Unbefugten eingesehen oder verändert werden. Kritiker warnen jedoch, dass bei der Post gespeicherte E-Postbriefe nicht dem Briefgeheimnis unterliegen, sondern als E-Mail behandelt werden, in die Ermittlungsbeamte leichter Einsicht nehmen können als in verschlossene Postsendungen. Außerdem könne der Kunde nicht erkennen, wenn seine Briefe bei Zustellung auf Papier zwischen Ausdruck und Kuvertierung von Postangestellten gelesen würden. (ad)

Quelle: Heise.de

[Dynamite]

Bericht: De-Mail verzögert sich um Monate

Der Start von De-Mail-Diensten, die einen rechtssicheren E-Mail-Verkehr gewährleisten sollen, verzögert sich, da sich die Verabschiedung des dafür notwendigen Gesetzes offenbar noch hinzieht. Nach Informationen der Tageszeitung Die Welt (Freitagsausgabe) geht die interne Planung des Bundesinnenministeriums von einem abschließenden Durchgang im Bundesrat erst am 11. Februar aus. Die beteiligten Unternehmen Deutsche Telekom und United Internet planten daher einen Start erst im März.

Ein Sprecher der zu United Internet gehörenden 1&1 Internet AG bedauerte die Verzögerung. "Wir hätten uns schon gewünscht, im Januar loslegen zu können. Jetzt müssen wir quasi nochmals eine Warteschleife ziehen", sagte er der dpa am Donnerstag. Das Unternehmen werde jetzt alle Interessenten informieren." Gleichzeitig wollen wir die Kunden auch ermuntern, sich jetzt schon registrieren zu lassen und einen Namen zu sichern."

Allerdings werde auch der neue Zeitplan innerhalb der Unternehmen als sehr ambitioniert bezeichnet, schrieb die Zeitung. Sollte der Bundesrat größere Änderungswünsche haben, sei auch ein deutlich späterer Start möglich, verlaute aus dem Umfeld der Unternehmen. United Internet und die Telekom haben bereits mit der Registrierung von Adressen begonnen und 850.000 davon vergeben. Preise wollen die beteiligten Unternehmen jedoch erst nennen, wenn das Gesetz endgültig verabschiedet ist.

Die Deutsche Post dürfte die Verzögerung mit Interesse zur Kenntnis nehmen, schließlich setzt sie auf ein eigenes Konkurrenz-Angebot: Für epost.de hat das Unternehmen seit Mitte Juli eigenen Angaben zufolge bereits eine Million Kunden gewinnen können. Auch hätten sich bereits mehr als 100 große deutsche Unternehmen und Behörden für die Nutzung des E-Postbriefs entschieden. Ein E-Postbrief kostet wie ein Standardbrief 55 Cent. (pmz)

Quelle: Heise.de

[Dynamite]

Große Bedenken im Bundesrat zum geplanten De-Mail-Gesetz

Im Bundesrat ist der Entwurf der Bundesregierung für ein "Gesetz zur Regelung von De-Mail-Diensten" auf viel Kritik gestoßen. Experten aus den Fachausschüssen der Länderkammer begrüßen zwar grundsätzlich das damit verfolgte Anliegen, eine sichere und vertrauensvolle elektronische Kommunikation im Rechts- und Geschäftsverkehr zu gewährleisten. Gemäß ihrer 20-seitigen Empfehlungen (PDF-Datei) für eine Stellungnahme des Bundesrates, über die die Länderchefs bei ihrer Plenarsitzung am Freitag abstimmen sollen, wirft die Initiative aber noch eine "Vielzahl rechtlicher und technischer Fragen auf". Diese müssten im weiteren Verlauf des Gesetzgebungsverfahrens noch einer Lösung zugeführt werden.

Konkret ist der Rechtsausschuss etwa der Ansicht, dass das De-Mail-Verfahren zwingend einer Abstimmung mit dem Signaturgesetz bedürfe. Derzeit solle es Behörden zwar ermöglicht werden, Bescheide an Bürger zuzustellen. Diese könnten jedoch nicht wirksam Rechtsmittel dagegen auf gleichem Weg einlegen, da dafür eine qualifizierte elektronische Signatur nötig sei. Zudem sei sicherzustellen, dass der gesetzlich umrissene Ansatz mit dem in der Justiz standardmäßig eingesetzten Elektronischen Gerichts- und Verwaltungspostfach (EGVP) kompatibel ist. Andernfalls müsste die zusätzliche Kommunikationsstruktur "mit hohem Aufwand in die gerichtlichen Geschäftsabläufe integriert und überwacht werden".

Weiter befürchten die Ländervertreter Akzeptanzprobleme durch die gewählte Konzeption der De-Mail-Adresse, da diese auch den Namen des jeweiligen Providers enthalten solle. Damit dürften die Accounts beim Wechsel des Zugangsanbieters nicht übertragbar sein. Zudem werde mit der Einbindung des Begriffs "De-Mail" in die Adresse "kein verwechslungssicheres einheitliches Schema" aufgezeigt. "Bedenklich" erscheine ferner die Zulassung von Pseudonymen. Es sei nicht nachvollziehbar, inwieweit dies einer sicheren und offenen elektronischen Kommunikation dienen solle. Der Entwurf lasse auch offen, welche Folgen für den Nutzer mit einer automatisierten Weiterleitung von Nachrichten an eine andere De-Mail-Adresse * vergleichbar zu einer Briefkastenleerung durch Nachbarn * verbunden seien. Hier sei wenigstens zu regeln, wann eine Zugangs- oder Abholbestätigung ausgestellt werde. Unklar bleibe auch, ab welchem Zeitpunkt die Zustellbarkeit von Behördenpost anzunehmen sei.

Der Innenausschuss moniert, dass der Entwurf neben "inhaltlichen Defiziten" bereits durchgehend "redaktionelle und sprachliche Mängel" aufweise und teils "nicht konsistent" sei. So würden einmal eingeführte Schlüsselbegriffe uneinheitlich verwendet. Insgesamt sei es fraglich, ob das Papier dem "Gebot der Normenklarheit" entspreche und seine Ausführungen allgemein verständlich und nachvollziehbar seien. Die Eilbedürftigkeit des Vorhabens sei angesichts der Komplexität der Vorschläge jedenfalls nicht hinreichend dargelegt. Ferner könne der Entwurf nur mit der Zustimmung der Länderkammer beschlossen werden, da es sich um die Gewährleistung einer "flächendeckenden Dienstleistung" handle. Der Bund will die Länder bislang weitgehend außen vor halten.

Inhaltlich drängen die Innenpolitiker unter anderem darauf, eine konstante "Ende-zu-Ende-Verschlüsselung" der ausgetauschten Daten zur Pflicht zu machen. Nach dem Entwurf sei nur der Einsatz "gängiger Standards für sicheren Mailversand" wie SSL oder SMTP/TLS gewährleistet. Der Innenausschuss will zudem sicherstellen, dass eine Veröffentlichung von Nutzerdaten in einem Verzeichnisdienst freiwillig und ohne wirtschaftlichen Druck getroffen werden kann. Selbst bei der Publikation einer De-Mail-Adresse hätten öffentliche Stellen nachzufragen, ob sie diese für Schriftverkehr im Verwaltungsverfahren nutzen könnten. Die Regelungen über elektronische Behördenzustellungen gegen Bestätigungen müssten technikneutral gestaltet werden. Nicht zuletzt sei die Wichtigkeit des Schutzes der Nutzerdaten bei akkreditierten Diensteanbietern mit einer eigenständigen Vorschrift zu betonen. (Stefan Krempl) / (pmz)

Quelle: Heise.de

[Dynamite]

Bundesrat fordert umfassende Änderungen am De-Mail-Gesetz

Der Bundesrat hat am heutigen Freitag eine umfangreiche Stellungnahme zum Regierungsentwurf für ein "Gesetz zur Regelung von De-Mail-Diensten" abgegeben. Die Länderchefs übernahmen dabei die scharfe Kritik der Fachausschüsse an dem Vorhaben ohne große Abstriche, was selten vorkommt. Der Bundesrat begrüßt zwar grundsätzlich das verfolgte Anliegen von Schwarz-Gelb, eine sichere und vertrauensvolle elektronische Kommunikation im Rechts- und Geschäftsverkehr zu gewährleisten. Die Initiative werfe aber noch eine "Vielzahl rechtlicher und technischer Fragen auf", ohne deren Klärung das Gesetz nicht verabschiedungsreif sei.

Schon formal beklagt die Länderkammer, dass der Entwurf neben "inhaltlichen Defiziten" bereits durchgehend "redaktionelle und sprachliche Mängel" aufweise und teils "nicht konsistent" sei. Generell sei es fraglich, ob das Papier dem "Gebot der Normenklarheit" entspreche und seine Ausführungen allgemein verständlich und nachvollziehbar seien. Die Eilbedürftigkeit des Vorhabens sei angesichts der Komplexität der Vorschläge nicht hinreichend dargelegt. Der Entwurf bedürfe auch der Zustimmung des Bundesrats, da es sich um die Gewährleistung einer "flächendeckenden Dienstleistung" handle.

Die Länderkammer setzt sich unter anderem nachdrücklich für eine Abstimmung des De-Mail-Verfahrens mit dem Signaturgesetz ein. Es sei auch sicherzustellen, dass De-Mail mit dem in der Justiz standardmäßig verwendeten Elektronischen Gerichts- und Verwaltungspostfach (EGVP) kompatibel ist. Der Bundesrat fordert zudem, die Portierbarkeit zwischen den verschiedenen privatwirtschaftlichen Diensteanbietern zu sichern und eine für alle De-Mail-Adressen einheitliche Kennzeichnung vorzusehen. Der Nutzer müsse auf den ersten Blick erkennen können, dass es sich um einen Dienst nach dem Gesetz handele. Für eine "dauerhafte Identifikation" eines Anwenders mit einer Mail-Adresse sei es ferner nötig, dass diese bei einem Wechsel des Providers gleich bleibe.

Die Länder drängen, eine konstante "Ende-zu-Ende-Verschlüsselung" der ausgetauschten Daten zur Pflicht zu machen. Akkreditierte Diensteanbieter sollen verpflichtet werden, dem Nutzer den Zugriff auf sein Konto standardmäßig durch eine mithilfe von "zwei voneinander unabhängigen Sicherungsmitteln" geschützte Anmeldung zu ermöglichen. Eine Abfrage von Benutzername und Passwort reiche dafür nicht aus. Nur im Einzelfall dürfe auf Verlangen des Anwenders ein Kontozugang ohne entsprechende Sicherheitsfunktionen eröffnet werden.

Der Bundesrat will weiter gewährleistet wissen, dass eine Veröffentlichung von Nutzerdaten in einem Verzeichnisdienst freiwillig und ohne wirtschaftlichen Druck getroffen werden kann. Selbst bei der Publikation einer De-Mail-Adresse durch einen Anwender etwa auf einem Briefbogen hätten öffentliche Stellen nachzufragen, ob sie diese für Schriftverkehr im Verwaltungsverfahren nutzen könnten. Die Regelungen über elektronische Behördenzustellungen gegen Bestätigungen müssen nach Ansicht des Bundesrats technikneutral gestaltet werden. Schließlich sei die Wichtigkeit des Schutzes der Nutzerdaten bei akkreditierten Diensteanbietern in einer eigenständigen Vorschrift zu betonen. (Stefan Krempl) / (jk)

Quelle: Heise.de

[Dynamite]

De-Mail verklagt E-Post

Im Streit der konkurrierenden Mail-Projekte De-Mail und E-Post hat die United Internet AG die Deutsche Post vor dem Landgericht Köln verklagt, berichtet die Wirtschaftswoche. United Internet betreibt zusammen mit der Deutschen Telekom das De-Mail-Projekt, während die Post seit Mitte Juli den konkurrierenden E-Postbrief anbietet.

Nach Ansicht von United Internet versuche die Post, die Einführung der De-Mail zu verzögern. So soll sich die Post weigern, der De-Mail das Postident-Verfahren anzubieten, das in Deutschland standardmäßig zur rechtsgültigen Identifikationsprüfung eingesetzt wird. Die Wirtschaftswoche zitiert einen nicht genannten Sprecher der Post mit der Aussage: "Wir torpedieren nichts, aber wir stehen ja bald im Wettbewerb zueinander". Mit der Klage will United Internet die Post zwingen, Postident auch für De-Mail anzubieten. Die Post habe auch der Telekom das Postident-Verfahren zum 1. Januar gekündigt und will bei einem Neuvertrag ausschließen, dass sie dieses für De-Mail nutzt, meldet die Süddeutsche Zeitung.

Selbst für die Debatte um die Sicherheit der De-Mail soll die Post verantwortlich sein. So verdächtigt laut Wirtschaftswoche die Telekom ihr einstiges Schwesterunternehmen Post AG, sie habe die zentrale Prüfung der E-Mails auf Virenfreiheit, die eine Entschlüsselung erfordert, als Sicherheitslücke ins Gespräch gebracht.

Hauptursache für die Verzögerungen beim De-Mail-Start sind politische Auseinandersetzungen, hinter denen man schon im September 2009 die Lobby-Arbeit der Post vermutete. Die Post war frühzeitig aus dem De-Mail-Projekt ausgestiegen, um in eigener Initiative ihren E-Postbrief aufzubauen; sie hat angekündigt, nach Verabschiedung des De-Mail-Gesetzes eine Zulassung als Dienstleister zu beantragen. Wie spinnefeind sich beide Seiten sind, erwies sich erst kürzlich auf dem Nationalen IT-Gipfel: Weil Kanzlerin Merkel den De-Mail-Stand besuchte, boykottierte die Post AG diese Veranstaltung. (heb)

Quelle: Heise.de