Im Zuge des Pro­jekts Bür­ger­por­ta­le wurde auf dem IT-Gip­fel an­ge­kün­digt, mit De-Mail einen rechts­ver­bind­li­chen Mail­dienst zu er­stel­len. Der Dienst wird vom Bun­des­mi­nis­te­ri­um des In­nern und der Deut­schen Te­le­kom im­ple­men­tiert - das klingt zu Zei­ten von Bun­de­stro­ja­ner und BKA-Ge­setz und immer wei­te­ren Be­spit­ze­lungs-Skan­da­len nach einer un­hei­li­gen Al­li­anz für so ein Vor­ha­ben. Ent­spre­chend kri­tisch sind die Stim­men auf der zu­ge­hö­ri­gen "E-Kon­sul­ta­ti­on" (von Iso­topp und
Netz­po­li­tik zu­sam­men­ge­fa­ßt).

Ers­ter be­rech­tig­ter Ein­wand: Wozu eine neue Tech­nik, es gibt doch GnuPGP und kos­ten­lo­se SMI­ME-Zer­ti­fi­ka­te über CA­Cert, Ve­ri­sign oder Thaw­te. Ich habe ver­sucht, die Fea­tures von De-Mail (auf­grund der Lang­fas­sung der Be­schrei­bung) zu­sam­men­zu­schrei­ben, die zu­ge­hö­ri­ge Im­ple­men­tie­rung zu­sam­men­zu­fas­sen und das mit den er­wähn­ten vor­han­de­nen Al­ter­na­ti­ven zu ver­glei­chen.

De-Mail-Fea­tures

Fest­stel­lung der Iden­ti­tät: Um eine De-Mail-Adres­se zu be­an­tra­gen, muß man sich ge­eig­net aus­wei­sen. Dies kann bei­spiels­wei­se in den lo­ka­len Bür­ger­zen­tren oder beim Ein­woh­ner­mel­de­amt ge­sche­hen - oder aber der Bund holt sich hier die Post oder Ban­ken mit ins Boot, wel­che die Über­prü­fung der Iden­ti­tät und die Ent­ge­gen­nah­me des An­trags über­neh­men. Den Pro­vi­dern soll es so mög­lich sein, im Falle eines Rechts­streits jedem Ac­count eine Re­al­per­son zu­ord­nen zu kön­nen.
So­wohl na­tür­li­che als auch ju­ris­ti­sche Per­so­nen kön­nen eine De-Mail-Adres­se be­an­tra­gen. Ju­ris­ti­sche Per­so­nen kön­nen dabei noch­mals ent­spre­chend ihrer Or­ga­ni­sa­ti­on un­ter­glie­dert wer­den (z.B. se­pa­ra­te Adres­sen für Ge­schäfts­lei­tung, Ver­trieb, Buch­hal­tung, etc.).

Trans­pa­renz: De-Mail soll (zu­min­dest in der Grund­funk­tio­na­li­tät) für den Bür­ger voll­kom­men trans­pa­rent sein, d.h. er soll weder zu­sätz­li­che Hard­ware noch be­son­de­re Soft­ware hier­für be­nö­ti­gen.

Adress-Struk­tur: Die De-Mail-Adres­se be­kommt eine wohl­de­fi­nier­te Struk­tur:
   <em>empfaenger</em>@<em>providername</em>.de-mail.de
Durch die Auf­nah­me des Pro­vi­ders als Sub­do­main wird er­mög­licht, De-Mail über ver­schie­de­ne Pro­vi­der an­zu­bie­ten. Der Emp­fän­ger hat die Struk­tur "vorname.​nachname[.num­mer]"; es soll den Be­nut­zern je­doch mög­lich sein, pseud­ony­me Mail­adres­sen zu er­stel­len. Um diese von den re­gu­lä­ren Adres­sen zu un­ter­schei­den, wird ihnen ein "ps_" vor­an­ge­stellt.

Au­then­ti­sie­rungs­stu­fen: Für eine "ein­fa­che" Au­then­ti­sie­rung soll ein Paß­wort ge­nü­gen, für die bei­den wei­te­ren Au­then­ti­sie­rungs­for­men "hoch" und "sehr hoch" ist eine Zwei­fak­tor-Au­then­ti­sie­rung (Au­then­ti­sie­rung durch Be­sitz und Wis­sen) er­for­der­lich. Die Art der Au­then­ti­sie­rung wird - so ver­mu­te ich - beim Ver­sand von Mails zu­sätz­lich ver­merkt.

Ver­san­d­op­tio­nen: Der nor­ma­le "De-Mail-Ver­sand" ist gegen Mit­le­sen Un­be­rech­tig­ter und Än­de­run­gen an Nach­rich­ten­in­halt und Me­ta­da­ten ge­schützt. Beim "De-Mail-Ein­schrei­ben" er­hält der Sen­der zu­sätz­lich (kryp­to­gra­phisch si­gnier­te) Mel­dun­gen über den Ver­sand der Nach­richt und die Zu­stel­lung im Emp­fän­ger-Post­fach.
Wei­ter­hin kann durch die Op­ti­on "per­sön­li­che Zu­stel­lung" eine be­son­de­re Au­then­ti­sie­rung des Emp­fän­gers (min­des­tens "hoch") er­for­dert wer­den. Um­ge­kehrt er­zwingt die Op­ti­on "ver­bind­li­che Zu­stel­lung" eine sol­che Au­then­ti­sie­rung durch den Ab­sen­der.

Im­ple­men­tie­rung von De-Mail

Die durch die Sub­do­mä­nen skiz­zier­te Struk­tur und die An­for­de­rung, im Falle der nor­ma­len Au­then­ti­sie­rung ohne wei­te­re Hard- oder Soft­ware aus­zu­kom­men, läßt mei­ner Mei­nung nach nur eine mög­li­che Ar­chi­tek­tur zu: Die Bil­dung eines "trusted core". Alle De-Mail-Pro­vi­der wer­den dar­auf ein­ge­schwo­ren, sich an ver­ein­bar­te Ver­hal­tens­wei­sen und Si­cher­heits­vor­schrif­ten zu hal­ten.
Das Ab­sen­den einer De-Mail kann nur über einen De-Mail-Pro­vi­der ge­sche­hen. Die­ser nimmt die Mail (nach er­folg­rei­cher Au­then­ti­sie­rung) via ESMTP/SMTPS über eine mit TLS ver­schlüs­sel­te Ver­bin­dung ent­ge­gen. Der Aus­tausch der Mail zwi­schen den De-Mail-Ser­vern ge­schieht eben­falls aus­schlie­ß­lich über ver­schlüs­sel­te Ka­nä­le, so daß "Mit­le­sen Un­be­rech­tig­ter und Än­de­run­gen an Nach­rich­ten­in­halt" un­mög­lich ist (und die De-Mail-Pro­vi­der sind ja "die Guten" und tun so etwas nicht). Der Emp­fän­ger ruft schlie­ß­lich die Mails eben­falls aus­schlie­ß­lich über eine TLS-ver­schlüs­sel­te Ver­bin­dung ab - so ent­steht eine Si­cher­heits-Ket­te gegen An­grei­fer von außen.
Die Ver­sand- und Emp­fangs­be­stä­ti­gun­gen sind in den De-Mail-Ser­vern tri­vi­al zu im­ple­men­tie­ren.

Ver­gleich zu PGP/SMIME

Auch PGP und SMIME bie­ten durch Ver­schlüs­se­lung und di­gi­ta­le Si­gna­tur, die Mög­lich­keit der Iden­ti­fi­zie­rung des Ab­sen­ders. PGP bin­det den öf­fent­li­chen Schlüs­sel an eine reale Iden­ti­tät durch das "Web-of-trust" in Form von Be­stä­ti­gun­gen (Si­gna­tu­ren) des Schlüs­sels, SMI­ME-Iden­ti­tä­ten wer­den durch die Zer­ti­fi­zie­rer der Pu­blic-Key-In­fra­struk­tur (PKI) be­stä­tigt. Was diese bei­den An­sät­ze nicht bie­ten kön­nen, sind die au­then­ti­schen Ver­sand- und Zu­lie­fe­rungs­be­stä­ti­gun­gen sowie die Un­ter­schei­dung ver­schie­de­ner Au­then­ti­sie­rungs-Me­cha­nis­men.
So­wohl PGP/SMIME als auch De-Mail set­zen eine In­fra­struk­tur vor­aus, um ihren Dienst er­fül­len zu kön­nen: Im Falle von PGP/SMIME ist diese nur off­line be­nö­tigt (die Schlüs­sel/Zer­ti­fi­ka­te müs­sen ein­mal be­reit­ge­stellt wer­den und wer­den dann lokal ge­spei­chert), De-Mail be­nö­tigt sie je­doch "on­line", also aktiv bei jeder Be­nut­zung - die Si­cher­heit von De-Mail liegt in­hä­rent und ein­zig im Auf­bau der In­fra­struk­tur.

Be­wer­tung und Kri­tik

De-Mail er­füllt die ge­stell­ten An­for­de­run­gen - je­doch nur, so lange man sich in­ner­halb des Sys­tems be­wegt. Dazu kommt, daß man den Pro­vi­dern blind ver­trau­en muß - auch ohne Schäu­b­le-Bei­ß­re­flex wird einem da mul­mig zu­mu­te, ins­be­son­de­re, wenn man sich die ver­gan­ge­nen Pro­jek­te von Te­le­kom, T-Sys­tems und Co. an­sieht. Für etwas pa­ra­no­ider ver­an­lag­te Zeit­ge­nos­sen stellt diese In­fra­struk­tur (so sie sich eta­bliert) die zen­tra­le Schnüf­fel­stel­le für E-Mails dar (es muß ja noch nicht ein­mal der Saat sein, der schnüf­feln will; die Te­le­kom hat sich da ja mit dem ak­tu­el­len Skan­dal auch einen Name ge­macht).

Die Pro­vi­der sind die Achil­les­fer­se des Sys­tems. Durch die Hop-by-Hop-Ver­schlüs­se­lung liegt die Mail bei jedem De-Mail-Pro­vi­der, den eine De-Mail durch­läuft, im Klar­text und ohne ir­gend­ei­ne di­gi­ta­le Si­gna­tur vor. Wird einer davon kom­pro­mit­tiert, gleicht das einem damm­bruch­ar­ti­gen Zwi­schen­fall - das Ziel ist ja nicht we­ni­ger als rechts­ver­bind­li­che E-Mails zu schaf­fen, und wer in der Rolle eines der Pro­vi­der steckt, kann sol­che E-Mails nach Be­lie­ben selbst er­zeu­gen oder ver­än­dern. Auch hier gilt, daß es nicht ein­mal der böse An­grei­fer von außen sein muß: Kon­zer­ne wie die Te­le­kom sind zu groß, als daß nicht frü­her oder spä­ter ir­gend­ein Mit­ar­bei­ter mit Zu­griff seine Pri­vi­le­gi­en miß­brau­chen wird.

Ein tech­ni­sches Pro­blem wird der "Grenz­über­tritt" zur rest­li­chen E-Mail-Welt sein: Eine reine In­sel­lö­sung, ohne die Mög­lich­keit, von nicht-De-Mail-Sen­dern Mails zu emp­fan­gen (oder an diese zu ver­schi­cken), wird sich si­cher­lich nicht eta­blie­ren. Mails, die von einem Nicht-De-Mail-Mail­ser­ver zu­ge­stellt wer­den, müs­sen also in ir­gend­ei­ner Form als nicht au­then­ti­siert mar­kiert wer­den. Mails mit einer De-Mail-Ab­sen­der-Adres­se, die von außen kom­men, soll­ten sogar ab­ge­wie­sen wer­den. All­ge­mein stellt sich die Frage, wie die Mar­kie­rung der Mails (Au­then­tisch, ver­bind­li­che Zu­stel­lung) RFC-kon­form ge­sche­hen soll; zu­sätz­li­che "X-Hea­der" wären eine Mög­lich­keit, doch von die­sen be­kommt der Be­nut­zer eines nicht­mo­di­fi­zier­ten Mail­pro­gramm nichts mit. Die ein­zi­ge ver­blei­ben­de Mög­lich­keit ist die Mo­di­fi­ka­ti­on des Mail-Bo­dys - und das ist eine Büch­se der Pan­do­ra: Zum einen kann ich aus ei­ge­ner leid­vol­ler Er­fah­rung sagen, daß das Mo­di­fi­zie­ren von Mails ein ziem­li­ches Gefum­mel ist (es gibt immer einen Mail­cli­ent, der sich nur "so in etwa" an die RFCs hält). Zum an­de­ren muß si­cher­ge­stellt wer­den, daß die ent­spre­chen­de An­mer­kung nicht schon vom Ab­sen­der ge­tä­tigt wurde. Ent­spre­chen­de Text­pas­sa­gen/An­hän­ge müs­sen also aus­ge­fil­tert wer­den. Was aber, wenn der An­grei­fer "ab­sicht­lich un­ab­sicht­lich" Tipp­feh­ler (die auf den ers­ten Blick nicht auf­fal­len) ein­baut? Oder Uni­code-Zei­chen ver­wen­det, die dem nor­ma­len Zei­chen zum Ver­wech­seln ähn­lich sehen?

Das ganze ist - vor­sich­tig aus­ge­drückt - mit glü­hend hei­ßer Nadel ge­strickt (etwas po­le­mi­scher könn­te man auch laut "Snake Oil!" rufen). Ein Kar­ten­haus, das beim kleins­ten Feh­ler in sich zu­sam­men­stür­zen droht. Al­lein schon die Ge­fahr durch Pro­vi­der-In­si­der oder -Fuck­up ist zu groß. Rechts­ver­bind­li­che E-Mails? Da soll­te man keine Ex­pe­ri­men­te ma­chen, son­dern auf be­währ­te Tech­ni­ken wie S/MIME (oder PGP) zu­rück­grei­fen. S/MIME wird von fak­tisch jedem ak­tu­el­len Brow­ser un­ter­stützt, für PGP gibt es in­zwi­schen eben­falls viele ver­nünf­ti­ge Plug­ins.
Wieso steckt man das Geld nicht in Wei­ter­ent­wick­lung von Open-Sour­ce-Plug­ins (und/oder -Mail­cli­ents) sowie den Auf­bau einer ge­eig­ne­ten CA? Gän­gi­ger Vor­wurf ist die Spei­che­rung des Se­cret Keys auf dem Rech­ner, der po­ten­ti­ell vi­ren­ge­fähr­det ist; bei der Ein­ga­be des De-Mail-Kenn­worts (Si­che­rungs­stu­fe "nor­mal") ver­hält es sich je­doch genau gleich.
Wei­te­rer Vor­teil von PGP/SMIME: Echte En­de-zu-En­de-Ver­schlüs­se­lung und harte über­prüf­ba­re Si­gna­tu­ren. Diese las­sen sich auch nach der Zu­stel­lung der Mail noch prü­fen (sogar wenn man sie aus­druckt ;-) ). Die Be­weis­ket­te ist bei De-Mail beim haus­ei­ge­nen Post­fach un­ter­bro­chen; eine ent­spre­chen­de Mail zu fin­gie­ren ist kein Pro­blem. Die ein­zi­ge Mög­lich­keit wäre das Über­prü­fen der Mail-Log-Files, und diese wer­den (hof­fent­lich!) nicht allzu lange auf­be­wahrt.
Noch ein Vor­teil: Wei­ter­ver­wend­bar­keit be­ste­hen­der Mail­adres­sen (bei "vertrieb@​firmenname.​de" und ähn­li­chem eben­falls ein nicht zu ver­nach­läs­si­gen).

Man fragt sich also ernst­haft, wieso man die­sen Weg be­schrei­tet. Mit ein wenig Phan­ta­sie kann man De-Mail als PR-Ak­ti­on für die ak­tu­el­le Si­cher­heits­po­li­tik sehen:

• Das Ab­hö­ren von Mails wird ein­fa­cher, da so ein Teil des Mail­ver­kehrs ge­bün­delt wird
• Die Si­cher­heits­stu­fen "hoch" und "sehr hoch" ver­lan­gen zur Au­then­ti­sie­rung nach dem Be­weis von "Wis­sen und Be­sitz". Das könn­te der elek­tro­ni­sche Per­so­nal­aus­weis plus die PIN zu des­sen Ak­ti­vie­rung sein - man muß ja ir­gend­wie den Be­weis an­tre­ten, daß die­ses Teil für ir­gend­et­was gut ist!
• So ein Dienst will erst ein­mal auf­ge­baut wer­den, und auch der Un­ter­halt kos­tet Geld. Und dafür soll der Ab­sen­der e-Por­to zah­len. Ist das die heim­li­che staat­li­che Fi­nanz­sprit­ze für die Te­le­kom? Wer hat da noch­mal über die In­ter­net-Noobs ge­läs­tert, die nach dem Schrei­ben einer Mail ge­fragt haben, wo man nun die Brief­mar­ke auf­klebt? Zu­künf­tig sehen die Mail­pro­gram­me wohl wirk­lich so aus: