Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 12 2014

Vom Versuch, verschlüsselt mit einem Abgeordneten zu kommunizieren

Habt ihr schonmal versucht, einem Abgeordneten oder einer Behörde eine verschlüsselte Mail zu senden? Wenn es sich nicht gerade um Bundes- oder Landesdatenschutzbeauftragte handelt, die glücklicherweise alle über einen PGP-Schlüssel verfügen, ist dieser Versuch oftmals zum Scheitern verurteilt.

Dass es um den Bundestag nicht allzu gut bestellt ist, wenn es darum geht, vertraulich mit Bürgern zu kommunizieren, war bekannt geworden als die FAZ im letzten August einen ausführlichen Bericht mit der Überschrift “Bundestag, wie hälst du’s mit der Verschlüsselung?” verfasst hatte. Dabei gab es bereits 2002 Anstrengungen von Werner Müller aus dem Bundeswirtschaftsministerium, das CDs mit der kostenlosen Software GnuPP verteilte. Neben GnuPG war auch Thunderbird enthalten und sollte zur Durchsetzung von verschlüsselter Mailkommunikation, nicht nur im Bundestag, beitragen. Seitdem scheint es jedoch nicht vorwärts gegangen zu sein, sondern sogar zurück. Denn bei der standardmäßigen Installation von Outlook im Parlament bleibt höchstens die Möglichkeit, auf  S/MIME-Zertifikate zurückzugreifen, die Einrichtung von PGP erfolgt nur auf gesonderten Wunsch – demnach meistens gar nicht. Mit S/MIME-Zertifikaten bildet sich für den normalen Bürger aber eine inakzeptable Hürde, denn diese müssen zuerst beantragt werden und sind in der Regel kostenpflichtig.

Unter solchen Umständen bleibt die im September von FDP-Politiker Jimmy Schulz organisierte Cryptoparty, von Wahlkampfzwecken abgesehen, auch nur ein nett gemeinter Versuch, vor allem, da letztlich nur sechs Abgeordnete teilgenommen haben.

Die Situation in den Landtagen

In den deutschen Landtage, bzw. Bürgerschaften oder Abgeordnetenhäusern, sieht die Sache ähnlich aus. Diesen und den dort vertretenen Fraktionen habe ich mehrere Fragen zu ihrer Mailkommunikation gestellt:

1) Ist eine offizielle Infrastruktur zum Verschlüsseln und Signieren von Mails vorhanden?

1a) Wenn ja, wie erfolgt die Schlüsselverwaltung? Welche Standards (S/MIME, OpenPGP, …) werden benutzt? Wie sieht die Zertifizierungskette der Schlüssel aus?

1b) Wenn nein, ist es den Mitarbeitern erlaubt, auf persönliche Verantwortung Verschlüsselungssoftware zu nutzen und eigene Schlüssel dazu zu verwenden?

2) Existieren Leitlinien, dass/wann Mailkommunikation verschlüsselt und signiert erfolgen soll? Wird zur verschlüsselten Kommunikation ermutigt?

3) Findet eine Schulung der Politiker und Mitarbeiter zur sicheren Nutzung der eventuell vorhandenen Systeme statt?

4) Liegen Ihnen Statistiken zur tatsächlichen Nutzung vertraulicher Kommunikationsmöglichkeiten vor?

Vielerorts nur Schweigen…

Von vielen kam darauf leider keine Antwort. Baden-Württemberg verwaltet seine Technik zentral, reagierte aber nicht auf dreimalige Nachfrage. Bayern speiste mich nach halbstündigem Telefonat mit der zentralen Poststelle, in der meine Mails “verlorengegangen” sind, damit ab, dass die Pressestelle befunden habe, man werde mir auf die Anfrage nicht antworten. Auch aus Brandenburg, Rheinland-Pfalz und Mecklenburg-Vorpommern gab es nur Schweigen.

Aber noch trauriger als Nicht-Antworten waren die, bei denen klar wurde, dass meine Frage nichteinmal verstanden wurde. “Wir geben über unsere technische Ausstattung keine Auskünfte” (CDU Berlin), “Zu Sicherheitsaspekten des Hessischen Landtages können wir leider grundsätzlich keine Auskünfte geben”, ”Wir geben grundsätzlich keinerlei Auskunft zu unserer elektronischen Kommunikation” (FDP Sachsen) und ähnlich lauteten Aussagen von besorgten Stellen, die wohl zu glauben schienen, sie gäben wertvolles Geheimwissen preis, wenn sie ihre öffentlichen Schlüssel ausplaudern… Aber man darf vermuten, dass die eigentliche Sicherheitsinfo diejenige ist, dass es überhaupt keine Sicherheit gibt.

Ein Großteil der anderen Antworten lässt sich leider, was aber auch zu erwarten gewesen war, mit “Nein.” zusammenfassen. In der Verwaltung des Abgeordnetenhauses Berlin, der Bürgerschaft Hamburg und den Landtagen Sachsen und Schleswig-Holstein kommt, zumindest in der Verwaltung, keine Verschlüsselungssoftware zum Einsatz. In vielen Fällen verwalten die Fraktionen jedoch auch ihre eigene Infrastruktur und sind für ihre Mailkommunikation selbst verantwortlich.

An einigen Stellen ist guter Wille vorhanden…

Wie im Fall Hamburgs, dort bleibt den Fraktionen und Abgeordneten die Möglichkeit, selbst Software und Infrastruktur zu installieren. Das gilt auch für den saarländischen Landtag, wo darüber hinaus empfohlen wird, OpenPGP und eine Schlüssellänge von mindestens 2048 bit zu nutzen. Es scheint also guter Wille vorhanden zu sein, doch etwas traurig klang der Zusatz, diese Möglichkeit werde zur Zeit von nur zwei Mitarbeitern genutzt – die jedoch hätten noch niemals eine verschlüsselte Mail bekommen. Ähnlich geht es auch dem Landesdatenschutzbeauftragten in Sachsen-Anhalt, der abgesehen von der Kommunikation mit einem Abgeordneten der Linksfraktion nur eine weitere verschlüsselte Mail erhielt.

Bei den Piraten in Berlin werden die Einrichtung von PGP-Verschlüsselung und Support von der fraktionseigenen IT-Abteilung angeboten, außerdem habe es eine gut besuchte CryptoParty gegeben. Auch bei der Fraktion der Grünen in Schleswig-Holstein hat man begonnen, sich mit sicherem Mailverkehr zu beschäftigen. Man stehe gemeinsam mit IT-Dienstleistungsunternehmen und dem IT-Referat des Landtages im Kontakt, um bald vertrauliche Kommunikation anbieten zu können. Die Piraten im selben Landtag sind schon einen Schritt weiter. Von dort erhielt ich die erste verschlüsselte Mail meiner Anfragehistorie. PGP wird dort als Verschlüsselungsstandard verwendet, ein gegenseitiges Keysigning sei geplant. Man signiere grundsätzlich und verschlüssele bei Bedarf, Support und Schulung geschähen, wenn sie individuell benötigt würden.

… an anderen Stellen unbenutzbare Lösungen

Sich selbst überlassen sind auch die Fraktionen der Bürgerschaft Bremen. Die Landtagsverwaltung verfügt jedoch über ein System namens Elektronisches Gerichts- und Verwaltungspostfach (EGVP) “für den Versand und den Empfang von verschlüsselten und/oder signierten Vorgängen oder Anfragen an die Bremische Verwaltung”. Dieses System wird auch an Gerichten in anderen Bundesländern eingesetzt. Doch wer glaubt, das ermögliche den einzelnen Mitarbeitern zumindest untereinander verschlüsselt oder signiert zu kommunizieren, liegt leider falsch. Die Geschäftsstelle der Bürgerschaftskanzlei ist mit einem einzigen speziellen Postfach an die EGVP-Infrastruktur des Landes Bremen angebunden.

Will man als Bürger Dokumente an die dortige Verwaltung senden, wird es noch abenteuerlicher. Jeder, der behauptet PGP sei zu kompliziert, sollte sich die EGVP-Seiten ansehen. Die Anwenderdokumentation hat übersichtliche 119 Seiten und zum Signieren werden eine Signaturkarte und ein Lesegerät benötigt. Es ist also kein Wunder, dass das unpraktikable System seit 2008 kaum genutzt wurde. Eine Dienstanweisung zur Nutzung von E-Mail-Postfächern aus dem Jahr 2002 soll demnächst überarbeitet werden soll, hoffentlich wird das Thema Verschlüsselung dann auch eine Rolle spielen.

Den Abgeordneten in Nordrhein-Westfalen bleibt die Nutzung eigener Verschlüsselungssoftware bisher leider verwehrt. Das Land bietet zwar DOI-CA Zertifikate an, die über IT.NRW an T-Systems/telesec beantragt werden können. Das Verschlüsseln personenbezogener Daten wird darüber hinaus sogar von der IT-Sicherheitsrichtlinie vorgeschrieben. Durch die Notwendigkeit, Zertifikate im Vorhinein zu beantragen ist dieser Weg aber für die Kommunikation mit Bürgern impraktikabel, wie bereits im Falle des Bundestages beschrieben. Die Fraktion der Grünen weist darauf hin, dass  eine eigenverantwortliche Lösung mit Verweis auf Sicherheitsbedenken seitens der Landtagsverwaltung abgelehnt werde. Seit Ende 2012 tage aber eine Arbeitsgruppe des Ältestenrats unter Beteiligung aller Fraktionen, in der insgesamt Fragen der IT- Ausstattung des Landtags diskutiert werden. Hier wurde das Thema “Verschlüsselung” mehrfach diskutiert, bisher allerdings noch nicht abgeschlossen.

Auch die Piraten in NRW arbeiten an mehr Kommunikationssicherheit im Land. Letzten Donnerstag gab es Anhörungen zu drei verschiedenen Anträgen der Fraktion zum Schutz von Bürgern vor Massenüberwachung, Whistleblowing und Wirtschaftsspionage. Diese beinhalteten unter anderem die Forderung nach “der sofortigen Bereitstellung einer Ende-zu-Ende-Verschlüsselung des E-Mail-Verkehrs”. Mit dem ersten Antrag war eine Anhörung und Stellungnahme von Tobias Morsches verbunden, der  beruflich als Penetrationtester arbeitet. Er betont, wie wichtig es ist, dass jeder Bürger vertraulich mit öffentlichen Stellen und Abgeordneten kommunizieren kann:

Gerade die Kommunikation mit öffentlichen Stellen enthält oft sehr sensible Daten. Daher ist der Verzicht auf eine Verschlüsselung als Grob-Fahrlässig anzusehen. Während die Stadt oder Kommune keinen direkten Einfluß auf die Verschlüsselung seitens der Bürger hat, so sollte Sie doch zumindest den Bürgern die Möglichkeiten bieten. Um keine Bürger auszugrenzen, sollten dabei alle gängigen Verfahren, so wie unabhängige Alternativ-Verfahren sofern möglich angeboten werden. Bei unverschlüsselter Kommunikation sollte immer auf einfache Möglichkeiten für eine gesicherte Kommunikation hingewiesen werden.

Neben viel Frustration und einigen aufkeimenden Anzeichen von gutem Willen gab es eine große positive Überraschung aus Thüringen. Die dortige Fraktion Die Linke scheint sich sehr ernsthaft mit dem Thema auseinandergesetzt zu haben, auch wenn es noch keine offizielle Landtagsinfrastruktur gibt. Es wird sowohl truecrypt als auch OpenPGP angewendet, manche nutzen sogar XMPP mit OTR.  Neben der Empfehlung, grundsätzlich verschlüsselt zu kommunizieren, finden Verschlüsselungsworkshops für alle Abgeordneten und Mitarbeiter des Landtags und interessierte Außenstehende statt. Die Liste reicht zurück bis ins Jahr 2010 mit dem Einstiegsworkshop “Meine Daten gehören mir” und behandelten seitdem Tracking, PGP, Truecrypt, Facebook-Nutzung und sogar die Einrichtung eines eigenen TOR-Servers. Und zum Nachlesen im Anschluss gibt es eine Zusammenstellung vieler Linkverweise - wir sind übrigens auch dabei.

Wie kann man die Situation verbessern?

Das Engagement einiger einzelner Fraktionen macht Hoffnung, dass sich irgendwann ein Bewusstseinswandel einstellen könnte. Aber an vielen anderen Stellen zeigt sich, dass es noch an Willen und Wissen fehlt. Verschlüsselung ist abstrakt, Bits kann man nicht sehen, also fällt die Vorstellung schwer, man könne sie abhören. Dagegen hilft nur Aufklärung und der hartnäckige Kampf gegen das Zeitalter des Internetausdruckens. Informationen können von vielen Stellen kommen. Notwendig und am effektivsten wären obligatorische Schulungen innerhalb der Landtagsstrukturen, aber auch selbst kann man Politiker zu Krypto-Workshops einladen oder Fraktionen anbieten, diese bei ihnen durchzuführen. Wobei noch vor den Grundlagen der sicheren Kommunikation generelles Verständnis für die Mechanismen im digitalen Neuland geweckt werden muss.

Eine andere Notwendigkeit ist, Druck auszuüben und klar zu machen, dass Verschlüsselung nichts Exotisches ist, sondern zum Alltag werden sollte. Das traurige Beispiel der zwei saarländischen Abgeordneten, die noch nie eine verschlüsselte Mail bekommen haben, zeigt auch, dass bisher nicht deutlich wird, dass Verschlüsselung verlangt wird. Denn wie sollte ein Abgeordneter von selbst auf die Idee kommen, dass er sich einen Schlüssel zulegen sollte? Ein Kommentar auf meine Fragen hat das schön auf den Punkt gebracht:

Es ist eben nicht einfach, einem landwirtschschafspolitischen Sprecher zu erklären, warum es nun so sehr notwendig ist, den Landesbauernverband zu überzeugen selbst einen PGP-Key anzubieten, damit erst einmal die Möglichkeit besteht, verschlüsselt zu mailen.

Es ist nicht viel Aufwand, seinen Abgeordneten per Mail aufzufordern, vertrauliche Kommunikationskanäle anzubieten. Und erst wenn diese Forderung von genügend Bürgern kommt, wird irgendwann auch die letzte Fraktion aufwachen und erkennen, dass Verschlüsselung keine Fantasie von Nerds und Verschwörungstheoretikern, sondern allgemein angebracht ist.

Und dann wird alles gut?

Leider wäre das Problem aber auch dann nicht gelöst, wenn plötzlich jeder Abgeordnete nur noch verschlüsselte E-Mails schreiben würde. In der oben erwähnten Stellungnahme für den Landtag NRW findet Morsches deutliche Worte dafür, wie es um die generelle IT-Sicherheit in deutschen Behörden bestellt ist:

[Wir erhielten] in fast allen Fällen, binnen kürzester Zeit (ca. 2-8 Stunden), ohne vorherige Kenntnisse der IT, vollen Zugriff auf alle Systeme der jeweiligen Kommunen oder Behörden.

Das Problem liegt also viel tiefer. Denn was bringt es, wenn zwar die Mail verschlüsselt über die Leitung läuft, der Angreifer aber nach dem Entschlüsseln vollen Zugriff auf den Computer des Abgeordneten und vielleicht sogar dessen private Schlüssel hat?

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

Don't be the product, buy the product!

Schweinderl