Schattenblick →INFOPOOL →POLITIK → KOMMENTAR

REPRESSION/1418: De-Mail-Gesetz - Steigbügel für Kommerzialisierung und Überwachung (SB)



Eine perfide Angriffsmethode von Cyberkriminellen ist die so genannte "Man-In-The-Middle"-Attacke, bei der sich der Täter in den Mittelpunkt des Datenverkehrs setzt. Dies kann physikalisch oder durch Software erfolgen: Ein Benutzer hat zum Beispiel seinen Computer beim ungeschützten Surfen im Internet mit einer Schadsoftware infiziert, etwa dem Trojaner "Win32.Banker.ohq". Beim nächsten Onlinebanking kann der der Angreifer nun die eingegebenen Daten manipulieren, beispielsweise den Überweisungsbetrag erhöhen und sich selbst als Empfänger angeben [1]. Physikalisch erfolgt ein solcher Übergriff zum Beispiel durch das Errichten ungesicherter WLAN-Netze an öffentlichen Orten, die Passanten verleiten sollen, mit ihren Notebooks ins Internet zu gehen. Die gesendeten Daten, zum Beispiel Paßwörter, Emails und Benutzerkonten, können mitgelesen, gespeichert und die Datenströme, etwa beim Onlinebanking, manipuliert werden.

Im Bundestag wurde am Donnerstag, den 24. Februar 2011, das stark kritisierte "Gesetz zur Regelung von De-Mail-Diensten" durch die Stimmen von FDP und CDU durchgesetzt. Dieses Gesetz sieht vor, daß zukünftig ausgesuchte private Anbieter kostenpflichtige Email-Dienste anbieten dürfen, die ihren Nutzern vorgeblich sichere, "rechtsverbindliche" und vertrauliche Kommunikation mit Behörden und Unternehmen sowie untereinander" ermöglichen sollen, wie der FDP-Netzpolitiker Manuel Höferlin sagte [2]. Konkret funktioniert das so: Zunächst müssen sich Benutzer durch Vorlage ihres Ausweises zwecks Überprüfung in entsprechend qualifizierten Stellen wie Postämtern, Telekom-Filialen oder sogar auf CEBIT-Ständen identifizieren. Dann bekommen sie eine über den Web-Browser abrufbare Email-Adresse, die besonderen Sicherheitsstandards unterliegt und die gerade die Behördenkommunikation einfacher machen soll: der Benutzer ist identifizierbar, man weiß also genau, mit wem man es zu tun hat. Dadurch wird Spam stark reduziert. Die Übertragung ist verschlüsselt und digital signiert. Die Emails werden besonders sicher gespeichert; einige Anbieter stellen sogar Online-Speicher zusätzlich zur Verfügung, auf dem man beispielsweise Rechnungen ablegen kann, die vom Finanzamt als gültig für die Buchhaltung anerkannt werden. Es besteht bei einigen Diensten die Möglichkeit eines Hybridverfahrens: man versendet eine Email, die dann von einem Service-Anbieter ausgedruckt und per Post zugestellt wird und andersherum: eingehende Post wird gescannt und digital zugestellt.

Das hört sich zunächst sehr praktisch an. Doch bei näherem Hinsehen sind die Gefahren für den Datenschutz und die persönliche Freiheit so eklatant, daß es nicht weiter wundert, daß SPD, Linke und Grüne geschlossen dagegen stimmten, unterstützt von Experten aus Wirtschaft und Wissenschaft, die als Sachverständige vor dem Bundestag auftraten und kein gutes Haar an dem Gesetz in seiner heutigen Form ließen. Das Gesetz sieht keine zwangsweise Ende-zu-Ende-Verschlüsselung vor, mit der sich zum Beispiel ein Hybridsystem nicht umsetzen ließe. Das heißt, daß eine Email vom Sender X verschlüsselt gesendet wird, vom Provider Y entschlüsselt wird, dann wieder verschlüsselt und schließlich dem Empfänger Z zugestellt. Was in der Mitte mit den Daten passiert, vermag niemand zu sagen. Für das Scannen und Drucken von Daten könnten zum Beispiel Dienstleister eingesetzt werden, die, vermutlich unter prekären Lohnverhältnissen stehend, den Datenschutz nicht so genau nehmen, wie einschlägige Skandale bei der britischen Tochter der Telekom gezeigt haben [3]. Außerdem wäre diese Lücke ein willkommenes Einfalltor für diverse BRD-Dienste, die sich dann keine Mühe mehr machen müßten, Briefe abzufangen. Daß das Gesetz offenbar auf derartige Verwendungszwecke zugeschnitten ist, geht auch daraus hervor, daß eine Auskunftserteilung ohne richterliche Prüfung möglich ist. Damit ist das Briefgeheimnis de facto abgeschafft.

Des weiteren gilt eine De-Mail drei Tage nach dem Abschicken als zugestellt, es sei denn, man widerspricht dem. In diesem Fall würde der gleiche Brief nach entsprechender Frist noch einmal per Post zugestellt. Dabei werden die Wochenenden mit eingerechnet. Nicht jeder mag jedoch Sonntags Emails lesen. Öffnet man seine Emails, wird das festgehalten. Die Dienste können dadurch also Auskunft über individuelle Lebensgewohnheiten generieren. Es ist nicht unwahrscheinlich, daß die Daten entgegen der ursprünglichen Planung zentral gehalten werden könnten, um einen umfassenderen Zugang zu garantieren. Zudem gibt es keine einheitliche Kennung, beispielsweise in Form einer neuen Domain-Endung oder dem Zusatz "de-mail" im Namen. Man weiß also bei Erhalt einer Email nicht wirklich, ob es sich um eine echte De-Mail handelt oder nicht. Einige Anbieter verbieten Pseudonyme, was nicht nur datenschutzrechtlich problematisch ist, sondern sicher auch Träger langer Namen Schwierigkeiten bereitet. Bedenken werden auch von der EU-Kommission geltend gemacht, die Wettbewerbsverzerrungen durch bundesrepublikanische Technokratie befürchtet.

Den Oppositionsparteien ging es nicht um Fundamentalkritik an einem neuen Herrschaftsinstrument, sondern um ein Arrangement mit selbigen, wie ihre verhaltenen Stellungnahmen zur Sache belegen. SPD und Linke befürworteten den Antrag der Grünen, die in dem Gesetz einen ersten Schritt sahen, der "in der Summe aber unzureichend" sei [2]. Besonders bemängelt wurde dabei die fehlende Ende-zu-Ende-Verschlüsselung, was sogar vom Bundesrat noch einmal hervorgehoben wurde. Keine Partei beschwert sich zudem über die entstehenden Kosten. Die Deutsche Post setzt den Preis ihres bereits im letzten Jahr gegründeten E-Postbriefes auf 55 Cent, also den normalen Portokosten, an, um ihre abflauendes Briefgeschäft finanziell aufzufangen. Die anderen zertifizierten Anbieter United Internet und Telekom wollen günstiger sein und zum Teil kostenfreie Kontingente zur Verfügung stellen, im Prinzip aber öffnet das De-Mail-Gesetz die Möglichkeit, Emails zu kommerzialisieren.

Daß handfeste Wirtschaftsinteressen im Spiel sind, zeigt auch der Lobbyismus- und Wirtschaftskrimi, den man bei der Entstehung des Gesetzes vorgeführt bekam. Der Wert der De-Mail steht und fällt mit der Identifizierbarkeit ihrer Benutzer. Hier ist das Post-Ident-Verfahren führend. Allerdings ist die Post aus dem De-Mail-Industrieverbund ausgeschert und verweigert jetzt ihren ehemaligen Mitstreitern den Zugang zum Post-Ident-Verfahren, weswegen nun diverse Gerichtsverfahren anhängig sind. Gerüchteweise wurde durch die Lobbyisten der Post der Beschluß des Gesetzes verzögert, damit es erst in der neuen Regierung zustande kommt. Dieses Zeitfenster hat die Post genutzt, um ihr eigenes Produkt auf den Markt zu bringen, das sie mit einem zweistelligen Millionenbetrag bewirbt - monatlich [4]. Auch die Entwicklungspartner, die auf Anfrage der Grünen im Bundestag vom Innenministerium genannt wurden, passen in das sich entfaltende Bild industriell-staatlicher Kartellierung: Secunet, Bearing Point, TeleTrusT, Universität Kassel, FHTW Berlin und ifib [5].

Wo das Geld ist, darf der Staat nicht fehlen. Wes Geistes Kind das De-Mail-Gesetz wirklich ist, erkennt man, wenn man sich dessen Entstehungsgeschichte anschaut. Die Idee geht auf eine Initiative des Bundesministerium des Inneren (BMI) unter dem für seine Überwachungsphantasien berüchtigten Wolfgang Schäuble zurück. In den Anfängen wurden Provider wie Telekom, Deutsche Post, Microsoft, Web.de und GMX eingebunden. Dieser Verbund wurde jedoch durch die Vorgabe des BMI gestört, daß jeder Anbieter selbst elektronische Postfächer zur Verfügung stellen muß. Dadurch fiel die Post aus dem Verbund und ging ihren eigenen Weg mit dem E-Postbrief. Dieses Problem hat sie inzwischen behoben und ist wieder auf guten Fuß mit den BMI. Grundsätzlich müssen alle De-Mail-Anbieter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert werden, einem Abkömmling des Bundesnachrichtendienstes und Schirmherr des Nationalen Cyber-Abwehrzentrums (NCAZ). Diese Einrichtung zur Überwachung des Internets unterminiert auf fahrlässige Weise das Trennungsverbot von Polizei und Geheimdiensten sowie das Verbot des Einsatzes der Bundeswehr im Inneren [6]. Es kann daher kaum wundern, daß sich die De-Mail hervorragend zum Einschleusen des Bundestrojaners eignet. Das nicht nur, weil die fehlende Ende-zu-Ende-Verschlüsselung einer nicht vorhandenen Verschlüsselung gleich kommt, sondern auch, weil die Sicherheitsüberprüfung von den Anbietern übernommen wird, um die Bedienbarkeit für die Benutzer zu erhöhen. In den Augen des Staates ist der Bundestrojaner jedoch kein Schadcode. Es ist zu vermuten, daß die Sicherheitsexperten bei den Providern dies ähnlich sehen werden.

Insgesamt manifestiert sich im De-Mail-Gesetz der zunehmende Trend herrschaftlicher Zugriffe auf die Ebene der elektronischen Kommunikation, dem "Cyberraum". Die Durchführung des De-Mail-Projektes hat Unsummen verschlungen, obwohl die Technik dazu bereits vorhanden war. Mit Postidentverfahren und starken Verschlüsselungstechniken à la GPG oder GnuPG lassen sich starke und sichere Kommunikationen aufbauen. Das geht inzwischen sehr bequem und erfordert keine Fachkenntnis. Daß diese Möglichkeit staatlichen Diensten und deren Zubringern aus der Wirtschaft ein Dorn im Auge sind, liegt auf der Hand. Die fortwährende Krise des herrschenden Verwertungssystems äußert sich in einem gesteigerten Zugriffs-, Kontroll- und Überwachungsanspruch auf die Menschen. Dieser wird durch kommerzialisierte Produkte und damit einem Angriff auf die Reproduktionsressourcen realisiert. Dadurch wird die soziale Schere noch weiter auseinandergetrieben, Menschen werden stigmatisiert, die keine De-Mail-Adresse haben wollen oder können, zum Beispiel Hartz IV-Empfänger ohne Anspruch und Aussicht auf Teilhabe an der medialen Welt [7].

Fußnoten

[1] Dieter Kochheim, "Cybercrime", www.cyberfahnder.de, 2010

[2] http://www.heise.de/newsticker/meldung/Bundestag-verabschiedet-De-Mail-Gesetz-1197727.html

[3] http://www.spiegel.de/wirtschaft/0,1518,572855,00.html

[4] http://www.sueddeutsche.de/digital/de-mails-von-post-und-telekom-mit-sicherheit-viel-aerger-1.1064125

[5] http://www.heise.de/newsticker/meldung/Bundesregierung-verteidigt-Projekt-fuer-sichere-Buerger-E-Mail-217102.html

[6] http://www.schattenblick.de/infopool/politik/kommen/repr1417.html

[7] http://www.sozialleistungen.info/news/14.05.2010-kein-anspruch-auf-pc-bei-hartz-iv/

4. März 2011