Kaum daß de-Mail of­fi­zi­ell an den Start gehen soll, sind die ein­schlä­gi­gen Web­sei­ten voll mit Mel­dun­gen wie De-Mail ist un­si­cher. Kurze Durch­sa­ge: Die (an einem Teil des Sys­tems ge­äu­ß­ter­ter) Kri­tik ist kal­ter Kaf­fee und war be­reits nach einem kur­zen Blick auf das De­sign zu er­ken­nen.

Flei­ßi­ge Leser die­ses Blogs konn­ten be­reits vor an­dert­halb Jah­ren hier­zu lesen:

"Die Pro­vi­der sind die Achil­les­fer­se des Sys­tems. Durch die Hop-by-Hop-Ver­schlüs­se­lung liegt die Mail bei jedem De-Mail-Pro­vi­der, den eine De-Mail durch­läuft, im Klar­text und ohne ir­gend­ei­ne di­gi­ta­le Si­gna­tur vor. Wird einer davon kom­pro­mit­tiert, gleicht das einem damm­bruch­ar­ti­gen Zwi­schen­fall - das Ziel ist ja nicht we­ni­ger als rechts­ver­bind­li­che E-Mails zu schaf­fen, und wer in der Rolle eines der Pro­vi­der steckt, kann sol­che E-Mails nach Be­lie­ben selbst er­zeu­gen oder ver­än­dern. Auch hier gilt, daß es nicht ein­mal der böse An­grei­fer von außen sein muß: Kon­zer­ne wie die Te­le­kom sind zu groß, als daß nicht frü­her oder spä­ter ir­gend­ein Mit­ar­bei­ter mit Zu­griff seine Pri­vi­le­gi­en miß­brau­chen wird."

Die in­zwi­schen ver­öf­fent­lich­te Do­ku­men­ta­ti­on zu De-Mail be­stä­tigt die Ar­chi­tek­tur, die bei mei­nem letz­ten Blo­g­ar­ti­kel ja nur im Frei­text be­schrie­ben war. In einer Über­sichts­gra­fik sieht sie fol­gen­der­ma­ßen aus:

De-Mail Ar­chi­tek­tur­über­sicht

Kai Raven äu­ßert sich in sei­nem Blog kri­tisch über die Be­richt­er­stat­tung, die De-Mail als per-se un­si­cher dar­stellt. In einem Punkt hat er recht: Von An­fang an waren ver­schie­de­ne Au­ten­ti­sie­rungs­stu­fen ge­plant, die sich auch in der tech­ni­schen Richt­li­nie wie­der­fin­den:

"Das Au­then­ti­sie­rungs­ni­veau, mit dem der Nut­zer sich am BP-Ac­count an­mel­det, wird so­wohl beim Ver­sand einer Nach­richt als auch beim Lesen von emp­fan­ge­nen Nach­rich­ten be­rück­sich­tigt.
(...)
Möch­te der Sen­der seine Nach­richt bzw. Nach­rich­ten­in­hal­te elek­tro­nisch si­gnie­ren und/oder ver­schlüs­seln, so kann er dies mit einer lo­ka­len Si­gna­tur­an­wen­dungs­kom­po­nen­te (SAK) bzw. mit einer lo­ka­len Ver­schlüs­se­lungs­kom­po­nen­te durch­füh­ren. Diese Kom­po­nen­ten kön­nen auch in dem lo­ka­len Web- bzw. Nach­rich­ten-Cli­ent, mit dem er die Nach­rich­ten edi­tiert, in­te­griert sein. So si­gnier­te und/oder ver­schlüs­sel­te Nach­rich­ten kann der Emp­fän­ger mit lo­ka­len Kom­po­nen­ten ent­schlüs­seln und vor­han­de­ne Si­gna­tu­ren prü­fen."

De-Mail sieht also zwei wei­te­re Si­che­rungs­maß­nah­men vor: Eine An­mel­dung mit si­che­re­ren Ver­fah­ren als Be­nut­zer­na­me und Paß­wort sowie Eine En­de-zu-En­de-Ver­schlüs­se­lung mit Hilfe einer "Si­gna­tur­an­wen­dungs­ko­mo­nen­te". Bei­des läßt sich nur mit lokal in­stal­lier­ter Cli­ent­soft­ware (und nicht über das Web­in­ter­face) be­werk­stel­li­gen und - wenn man es wirk­lich ver­nünf­tig ma­chen will - wird auch ent­spre­chen­de Hard­ware dafür be­nö­tigt. Letz­te­res wird mit an Si­cher­heit gren­zen­der Wahr­schein­lich­keit der elek­tro­ni­sche Per­so­nal­aus­weis (ePA) und ein ent­spre­chen­des Le­se­ge­rät sein.

Die har­sche Kri­tik ist mei­ner Mei­nung nach hin­ge­gen be­rech­tigt - im­mer­hin war die De-Mail mit dem Vor­satz an­ge­tre­ten, eben keine sol­che Zu­satz­hard­ware zu be­nö­ti­gen:

"Diese Bür­ger­por­ta­le sol­len mög­lichst ohne de­di­zier­te Cli­ent-Soft­ware und ohne zu­sätz­li­che Hard­ware nutz­bar sein."

Die Va­ri­an­ten mit de­di­zier­ter Kryp­to-Hard­ware soll­ten le­dig­lich er­wei­ter­te Zu­satz­funk­ti­on für be­son­ders sen­si­ble Kom­mu­ni­ka­ti­on sein. Genau diese Ziele wer­den aber ver­fehlt, wenn man nicht der skiz­zier­ten Pro­ble­ma­tik an­heim fal­len will. Ent­we­der ist De-Mail von der Si­cher­heit her ziem­lich lau­sig - oder aber De-Mail wird sei­nen ei­ge­nen An­sprü­chen nicht ge­recht; und wenn man schon ent­spre­chen­de Hard­ware nutzt, kann man das ganze auch ver­nünf­tig ma­chen und qua­li­fi­zier­te Si­gna­tu­ren nach dem Si­gna­tur­ge­setz ver­wen­den. Damit ist man auch das pro­prie­tä­re ab­ge­schlos­se­ne Mail­sys­tem mit sei­nen elek­tro­ni­schen Brief­mar­ken los.

Um­ge­kehrt stellt die Kom­bi­na­ti­on aus Au­then­ti­sie­rungs­ni­veau und rei­ner web­ba­sier­ter De-Mail ein wei­te­res Si­cher­heits­pro­blem dar, so­fern diese mög­lich ist und dem Au­then­ti­sie­rungs­ni­veau eine be­son­de­re recht­li­che Be­deu­tung zu­teil wird: In die­sem Fall ist auch das Au­then­ti­sie­rungs­ni­veau kom­plett vom De-Mail-Pro­vi­der ma­ni­pu­lier­bar.

Ich fasse noch­mal zu­sam­men:

• Jeder De-Mail-Pro­vi­der kann ein-, aus- oder durch­ge­hen­de De-Mails, die rein über das Web­in­ter­face er­stellt wur­den bzw. keine En­de-zu-En­de-Si­che­rung er­hal­ten haben, lesen oder nach Be­lie­ben ma­ni­pu­lie­ren.
• Ein Pro­vi­der kann De-Mails von Kun­den, die ihre De-Mail-Adres­se bei ihm be­hei­ma­tet haben, be­lie­bi­ge neue Mails ge­ne­rie­ren (zu­sam­men mit allen an­de­ren nö­ti­gen Log­ein­trä­gen wie dem An- und Ab­mel­den am Web­in­ter­face sowie den Mail­ser­ver-Logs)
• Ein Pro­vi­der kann De-Mails sei­ner Kun­den lö­schen bzw. Emp­fangs- und Le­se­be­stä­ti­gun­gen fäl­schen (auch hier wie­der in­klu­si­ve aller dafür nö­ti­gen Log­ein­trä­ge vom Web­in­ter­face und Mail­ser­ver)
• So­fern das Au­then­ti­sie­rungs­ni­veau nicht in ir­gend­ei­ner Form eine En­de-zu-En­de-Si­che­rung er­fährt, kann es eben­falls vom Pro­vi­der ma­ni­pu­liert wer­den, die Tat­sa­che, daß sie "so­wohl beim Ver­sand einer Nach­richt als auch beim Lesen von emp­fan­ge­nen Nach­rich­ten be­rück­sich­tigt" (sprich: an­ge­zeigt) wird, wäre somit Ma­ku­la­tur.

De-Mail ist damit nicht nur der ge­lang­weil­te Brief­trä­ger, der die Post­kar­ten der Ein­woh­ner sei­nes Be­zirks liest; das ist ein Post­bo­te, der durch einen Teil der (ver­meint­lich un­durch­sich­ten) Brief­um­schlä­ge hin­durch­sieht und Un­ter­schrif­ten per­fekt fä­schen kann.