Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 16 2013

Innenminister Friedrich glaubt der NSA

tumblr_mrgtwnEq2L1rav45eo1_1280Am Montag dieser Woche trat Kanzleramtschef Ronald Pofalla vor die Presse und er erzählte, dass die Geheimdienste der USA und Großbritanniens keine deutschen Bürger überwachen würden – er habe die schriftliche Zusicherung beider Staaten. Und auch unser Innenminister Hans-Peter Friedrich scheint den Aussagen der NSA Glaube zu schenken. In einem Interview mit der Rheinischen Post gab er an, dass keine Grundrechte deutscher Bürger verletzt wurden und er sehr stolz auf die deutschen Geheimdienst sei.

Alle Verdächtigungen, die erhoben wurden, sind ausgeräumt. Fest steht: Es gab keine “massenhaften Grundrechtsverletzungen” amerikanischer Geheimdienste auf deutschem Boden, wie behauptet wurde.

Wie auch schon Ronald Pofalla lenkt Friedrich durch seine Rhetorik gezielt von bestimmten Aspekten ab, indem er einzig von “amerikanischen Geheimdiensten auf deutschem Boden” spricht. Ob deutsche Geheimdienste auf deutschem Boden Grundrechtsverletzungen begehen, wäre eine viel spannendere Frage, die Friedrich aber nicht beantwortet. Ebenso verschweigt unser Innenminister, dass beispielsweise der britische Geheimdienst GCHQ systematisch Unterseekabel anzapft und so eine Totalüberwachung des Internetverkehrs möglich wird. Sicherlich hat unser Innenminister aber schriftlich, dass der GCHQ alle Emailadressen und Internetseiten mit der Endung .de herausfiltert, wie es ja auch der BND macht, damit die deutschen Bürger geschützt werden.

Fraglich ist auch immer noch, wieso denn überhaupt eine No-Spy-Abkommen zwischen den USA und Deutschland nötig ist, wenn doch eigentlich überhaupt nichts vorgefallen ist. Friedrich dazu:

Es wird eine Klarstellung der Amerikaner geben mit der deutlichen Aussage, dass sie uns als befreundete Nation nicht ausspionieren. Dies ist ein deutliches Zeichen, dass die USA unsere Sorgen ernst nehmen. Wir haben die Zusage, dass ein solches Abkommen bald geschlossen werden kann.

Solange unsere Daten in Deutschland bleiben, sind wir also alle absolut sicher. Was aber wenn wir amerikanische Dienste nutzen oder unser Datenverkehr über amerikanische Server geleitet werden?

Welche Daten die US-Behörden in den USA von dortigen Internet-Unternehmen bekommen, richtet sich nach amerikanischen Gesetzen. Das sollte jeder wissen, der seine Daten auf den Servern ausländischer Unternehmen ablegt.

Diese Aussage ist nicht nur ignorant, sie ist auch arrogant. Und das Innenministerium arbeitet keineswegs daran, das Wissen der Bürger zu diesem Thema zu vertiefen, es verstärkt sie geradezu noch. Das Innenministerium ist nämlich Schirmherr der Seite www.sicher-im-netz.de, einem “zentralen Ansprechpartner für Verbraucher und mittelständische Unternehmen” mit dem Ziel “einen praktischen Beitrag für mehr IT-Sicherheit” zu leisten. Auf dieser Seite wird aber nicht vor der Nutzung amerikanischer Dienste gewarnt. Im Gegenteil: Die Seite wird unter anderem von Google, Microsoft und eBay gesponsort.

Zum Glück haben wir ja aber einen technisch versierten Innenminister, der uns sofort deutsche Alternativen wie die de-Mail oder die letzte Woche vorgestellte “E-Mail made in Germany” von der Telekom, GMX und web.de zu präsentieren:

Wir haben De-Mail als Angebot für sichere, verschlüsselte E-Mails. Erst vergangene Woche haben wir einen weiteren, großen Schritt in Richtung sichere E-Mail getan, indem die Telekom, web.de und GMX sichere E-Mail-Verfahren anbieten. Bisher waren die E-Mails offen wie eine Postkarte, jetzt kommt die Karte in einen versiegelten Umschlag.

Dazu sagt ein Bild mehr als tausend Worte.

E-Mail-Made-In-Germany-edit-590

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

E-Mail made in Germany: Deutsche Telekom, Web.de und GMX machen SSL an und verkaufen das als “sicher”

e-mail-made-in-germany-teilnehmerDie Deutsche Telekom, WEB.DE und GMX wollen sich mit dem Label “E-Mail made in Germany” als “sichere” E-Mail-Anbieter verkaufen. An den Grundproblemen unsicherer E-Mails ändern sie jedoch überhaupt nichts, sondern schließen lediglich zwei existierende Sicherheitslücken. Die Initiative kann als reine Marketing-Aktion abgetan werden, wirkliche Sicherheit wird nicht gewährleistet.

Unter dem Namen E-Mail made in Germany starten die Deutsche Telekom, WEB.DE und GMX eine Initiative für “sichere” E-Mail. In der dazugehörigen Pressemitteilung werden folgende “Sicherheits-Features” versprochen:

  • Automatische Verschlüsselung von Daten auf allen Übertragungswegen
  • Sichere Speicherung am Datenstandort Deutschland
  • Kennzeichnung sicherer Mail-Adressen

Bei genauerer Betrachtung entpuppt sich das als reine Marketing-Kampagne für eine längst überfällige Einstellung im Setup der Mail-Server ohne wirklich eine neue Stufe an “Sicherheit” zu erreichen.

Das einzige, was neu ist, ist die Verwendung von Verschlüsselung auf dem Transportweg (SSL/TLS) zwischen Sender und Mail-Server sowie zwischen den Mail-Servern der zwei Firmen untereinander. Dass das Versenden von Mails vom Client an den Server überhaupt noch auf unverschlüsselten Verbindungen möglich war, ist ein Unding im Jahr 2013. Dafür gibt es keinerlei technischen Grund und viele Mail-Anbieter erlauben seit Jahren nur noch verschlüsselte Verbindungen.

Die Verschlüsselung der Übertragung zwischen den Mail-Servern @t-online.de, @gmx.de und @web.de ist ein nettes Feature. Aber auch das hätten die beteiligten Firmen schon längst machen können. Das Problem ist bekannt seit es E-Mail gibt und wurde vor über einem Monat wieder öffentlich thematisiert. Gerade Web.de und GMX schnitten in einem Test von Golem schlecht ab. Das Anschalten des Features ist daher eher ein Fix einer verantwortungslosen Lücke als das Einführen richtiger “Sicherheit”. Auch das wird seit Jahren von seriösen Mail-Anbietern getan.

(Verpflichtendes SSL/TLS zwischen Mail-Servern ist ein Problem, da es in Standard und Implementierungen meist optional ist. Viele Beispiele aus der Praxis zeigen aber, dass kooperierende Mail-Server sehr wohl seit langem verpflichtende Transport-Verschlüsselung zwischen ihren Servern implementiert haben.)

Am Grundproblem von E-Mail als von jedem lesbarer Postkarte ändert all das nichts. Weder werden die Inhalte der Mail verschlüsselt, noch werden die Mails auf verschlüsselten Festplatten gespeichert (erst recht nicht mit Entschlüsselungs-Möglichkeit nur durch User, wie Lavabit das gemacht hat). Stattdessen wird die existierende verantwortungslose Praxis jetzt als “sicher” verkauft, weil die Rechenzentren ja in Deutschland stehen und “High-Tech-Rechenzentren mit moderner Sicherheitstechnik” sind. Mal abgesehen vom Marketing-Sprech: An Vorratsdatenspeicherung, Bestandsdatenauskunft, strategischer Fernmeldeaufklärung, G10-Gesetz und SINA-Boxen ändert das gar nichts.

Vollkommen zum Witz macht sich die PR-Maßnahme durch einen Vergleich, dass die De-Mail noch sicherer ist als die “E-Mail made in Germany”:

e-mail-made-in-germany-de-mail

Über die Unsicherheit von De-Mail haben wir ausführlich berichtet und Sascha Lobo hat das nochmal treffend zusammengefasst. Laut eigener Aussage ist “E-Mail made in Germany” also unsicherer als unsicher. Wird aber als “sicher” verkauft. Alles klar?

Fazit: Unbedingt meiden.

Sucht euch stattdessen einen kleinen, sympathischen Mail-Anbieter, der diese “Features” nicht als Neuigkeit mit Marketing-Kampagne verkauft, sondern nie auf die Idee käme, das je anders zu machen. Oder betreibt euren Mail-Server am besten gleich selbst oder zusammen mit ein paar Freund/innen. Zentralisierung ist ohnehin der Feind eines freien und offenen Internets. Und verschlüsselt eure Mails Ende-zu-Ende mit OpenPGP. Noch besser ist das Versenden und Empfangen von Mails über Tor.

Alles andere ist nur Marketing.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bykaddi kaddi

July 14 2010

E-Post vs. De-Mail: Es lebe das Chaos!

Heute Nacht schrieb ich noch, dass wir noch viel Spaß mit “De-Mail” und Konsorten haben werden. Here we go:

E-Porto!

Ja, richtig gelesen. Man kann nun tatsächlich elektronische Postbriefe (“E-Postbrief”, umgangssprachlich auch “E-Mail”) verschicken.* Also, bald zumindest. Erst muss man sich nämlich noch via PostIdent für eine “E-Postbrief Adresse” registrieren!

Verschicken kann man diese “E-Postbriefe” mit der guten alten Post. Die will sich mit diesem Angebot nicht weniger als erneuern. Und da so eine Erneuerung furchtbar viel Geld kostet, kostet ein E-Postbrief 0,55 Euro Porto. Ein Schnäppchen, wie ihr sicher jubelnd bestätigen werdet, immerhin darf man für 0,55 Cent ganze 20MB verschicken! Einschreiben mit Einwurf und Einschreiben mit Empfangsbestästigung (online, wohlgemerkt!) kosten extra: Je 1,60 Euro.

Allein, mit “De-Mail” hat das alles – wie man nun vorschnell vermuten könnte – nicht viel zu tun. Laut Heise Online handelt es sich beim “E-Postbrief” um ein Konkurrenzangebot zur bundesverbindlichen “De-Mail”  (im letzten Jahr wollte die Post übrigens noch bei “De-Mail” mitspielen):

Die Post prescht mit einem Service vor, den die De-Mail-Initiative der Bundesregierung erst im Laufe des nächsten Jahres verspricht. Im Unterschied zu dieser “digitalen Alternative zum heutigen papiergebundenen Briefverkehr” belässt es die Post nicht allein bei der reinen Online-Variante. Nutzer, die nicht an das Internet oder das Portal der Post angeschlossen sind, erreicht der Online-Brief in seiner hybriden Variante: Das Unternehmen druckt und kuvertiert ihn, bevor es wie bisher vom Postboten zugestellt wird. [...] Die Konkurrenz von der De-Mail-Initiative – zu Beginn mischte die Post hier noch mit – kommt ohne eine explizite Verbindung zur gewohnten Briefzustellung aus.

Wobei, ich sehe es gerade, das Zitat da oben ist ein wenig verwirrend. Es ist nämlich so: Nicht nur, dass die Post so nett ist, eMails “E-Postbriefe” auf Wunsch auszudrucken und per Post (also klassisch, per Postbote, nicht elektronisch …) zuzustellen. Nein, die Partner des “De-Mail-”Projektes (also nicht die Post …) planen ähnliche Dienstleistungen! Das nennt sich dann auf beiden Seiten “Hybrid-Mail”:

Bis zum Sommer dieses Jahres soll es möglich sein, dass man vom Web-Browser aus gegen einen Aufpreis von voraussichtlich 10 Cent auf das Porto herkömmliche Briefe kuvertieren und zustellen lässt. Anders herum soll es einen Scan-Dienst geben, der eingehende Papierbriefe digitalisiert und in die GMX- oder Web.de-Inbox befördert.

Fassen wir zusammen: “De-Mail” kommt, in seiner ganzen Schönheit vsl. erst nächstes Jahr. “De-Mail” soll so eine Art Bundes-Email werden und wird daher auch gerne “Bürger-E-Post” genannt, kommt aber nicht von der BundesPost. Die “Bürger-E-Post” kommt von der Telekom, T-Online, T-Systems, GMX und noch ein paar anderen. “De-Mail” soll rechtsverbindlich sein und den Segen des Innenministeriums erhalten.

Das Produkt der Post hingegen nennt sich “E-Postbrief”. Sicher und rechtsverbindlich soll selbstverständlich auch dieser sein. Ob der “E-Postbrief” den Segen des Innenministeriums erhalten wird? Fraglich. Dafür spielen Allianz, ADAC, DekaBank, DFB, Lotto Hessen, Mercedes-Benz Motorsport und SAP im gelben Team mit.

So, und das erklärt nun bitte mal jemanden, der sich nicht den ganzen Tag mit diesem Internetkram beschäftigt. Viel Spaß.

*Jaja, konnte schon einmal ePost mit der Deutschen Post AG verschicken. Von 2000 bis 2005 war das, die Älteren werden sich erinnern. Nur mit den lebenslangen E-Mail-Adressen hat es damals nicht so ganz geklappt …

Reposted bymondkroeteurfin
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.
(PRO)
No Soup for you

Don't be the product, buy the product!

close
YES, I want to SOUP ●UP for ...