Kommentar für das Morgenecho, WDR 5, am 12. August 2013

Anmoderation: Auch über das Wochenende wurde die Ankündigung der Deutschen Telekom und des Internet-Konzerns United Internet, E-Mail künftig nur noch verschlüsselt zu transportieren, kontrovers diskutiert. Am Freitag hatten die beiden Telekommunikationsunternehmen ihr Projekt „E-Mail Made in Germany“ vorgestellt. Verschlüsselung auf dem technischen Stand der 90er Jahre kann allenfalls ein Marketinggag sein und soll den Internet-Anwendern, die genug haben von der Überwachung, nur Sand in die Augen streuen, meint Peter Welchering.

Sprecher: Die drei großen Mail-Anbieter Telekom, GMX und Web.de wollen nun einführen, was ihre amerikanische Konkurrenz schon seit Jahren macht: Die Verschlüsselung von Electronic Mails. Dafür verwenden sie ein Verschlüsselungs-Protokoll, dessen Unsicherheit sich während der vergangenen Jahre durch Aufsehen erregende Datenspionage des öfteren erwiesen hat. Nicht umsonst dachten die Internet-Ingenieure auf ihrer Frühjahrstagung in Berlin Anfang August darüber nach, die sogenannte Transportverschlüsselung durch ein Verfahren zu ersetzen, das mehr Sicherheit bietet. Denn bei dieser Transportverschlüsselung braucht man nicht einmal einen Originalschlüssel, um eine Mail entschlüsseln zu können. Man benötigt nur ein sogenanntes Zertifikat. Das ist eine Art Lizenz zum Entschlüsseln. Wer solch ein Zertifikat, also solch eine Lizenz zum Entschlüsseln vorweisen kann, der darf die verschlüsselte Mail im Klartext lesen. Solche Zertifikate können leicht gefälscht oder von den Servern der Zertifikateanbieter gestohlen werden.

Geheimdienste lassen sich im nationalen Interesse sogar einfach Original-Zertifikate von den Anbietern schicken. Genau diese unsichere Transportverschlüsselung wollen GMX, Web.de und die Telekom nun also einführen, um ihren Kunden damit ein Mehr an Sicherheit zu suggerieren. Und die Suggestion geht noch weiter. Die unsicher verschlüsselte E-Mail wird auf den Servern der Mail-Provider unverschlüsselt gespeichert. Da kann jeder mitlesen, der sich Zugang zu den Servern der Mailanbieter verschafft. Und das tun nicht nur Geheimdienste. Offenbar setzen wir in Deutschland alles daran, um den Geheimdiensten und Sicherheitsbehörden, die den gläsernen Bürger wollen, die Arbeit zu erleichtern.

So hat der Gesetzgeber vor wenigen Monaten das Gesetz zur Förderung der elektronischen Verwaltung beschlossen, mit dem sichere Mail-Standards endgültig abgeschafft werden. Der Hintergrund: Die Deutsche Telekom und der Internetkonzern 1&1 haben mit DE-Mail einen heftig umstrittenen Mail-Dienst unter anderem für den Dokumentenaustausch mit Behörden auf den Markt gebracht. Per DE-Mail verschickte Dokumente werden auf den Servern der Provider zwei Mal entschlüsselt und erneut verschlüsselt. Zwei Sollbruchstellen, die von Geheimdiensten und Sicherheitsbehörden zum Mitlesen und Ausspionieren genutzt werden können. Das widerspricht sogar unserer Finanzgesetzgebung, der sogenannten Abgabenordnung, die eine absolute Verschlüsselung vorschreibt. Mit dem Gesetz zur Förderung der elektronischen Verwaltung wird einfach die Finanzgesetzgebung geändert, und zwar mit einem entscheidenden Satz: Entschlüsseln verstößt nicht gegen das Verschlüsselungsgebot.

Das ist ein juristischer Trick, mit dem der unsichere DE- Mail-Dienst für sicher im Sinne des Gesetzes erklärt wird. Nach dem juristischen Trick mit der Mailsicherheit im Frühjahr haben wir am vergangenen Freitag nun also den PR-Trick mit der sicheren Mail vorgestellt bekommen. Sicher ist bei diesen Mail-Angeboten nur eines: Der Aufwand, den die Geheimdienste treiben müssen beim Mitlesen, bleibt weiterhin sehr gering.