Lt. Bericht des Krypto-Experten und IT-Sicherheitsspezialisten Karsten Nohl wurde das Schutzniveau für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail abgesenkt, was er sehr kritisiert.
Im deutschen Bundestag ist verkehrte Welt angesagt: Kürzlich einigten sich in der vielleicht einzigen offenen Aussprache zu einem hochkomplexen Gesetzesvorhaben die Vortragenden im Innenausschuss, dass IT-Sicherheits- und Datenschutzbestimmungen in Deutschland massiv gesenkt werden sollten. Einzige löbliche Ausnahme war hier der Chaos Computer Club.
Die Regierung lancierte hier einen Vorstoß im Kontext E-Government und De-Mail, der im krassen Kontrast zu allen anderen Regierungs-Initiativen und auch den öffentlichen Bestrebungen für mehr Cybersicherheit steht. Scheinbar stellt für die Regierung das wachsende Risiko von Datendiebstahl und dem „Mitlesen“ von Daten kein Risiko dar.
Die Regierung plant – allen Abhör- und Mitleseskandalen zum Trotz – Schutzvorschriften in einer Vielzahl von Gesetzen abzusenken. Insbesondere auch den besonderen Schutz für Steuer-, Sozial- und Gerichtsdaten. Bisher setzte dieser elektronische Transport solcher Daten stets eine Ende-zu-Ende-Verschlüsselung voraus. Nun soll De-Mail als Quasi-Standard für die elektronische Übermittlung von solchen kritischen Daten festgesetzt werden.
Diese gesetzlich vorgeschriebene Absenkung des Schutzbedarfs sei nötig, da die De-Mail ihr ehemaliges Ziel verfehle, ein elektronisches Datenübermittlungs-Verfahren mit einem zum Postversand äquivalentem Sicherheitsniveau einzuführen. Anstelle dass die De-Mail auf dieses Niveau gehoben wird, wird der gesetzliche Schutz von Sozial-, Steuer- und Justizdaten kurzerhand abgesenkt.
Beim Elektronischen Gerichts- und Verwaltungspostfach wurden bisher Ende-zu-Ende-Verschlüsselungen als notwendig erachtet, um den Erwartungen zu Vertraulichkeit und Verlässlichkeit nachzukommen. Das soll – so Karsten Nohl – sich jetzt ändern. Die Regierung plant, die Gesetze in der Weise anzupassen, dass die geringeren Sicherheitsstandards von De-Mail für die Übermittlung offizieller Dokumente über das Internet genügen sollen. Damit werden Schutzlücken aufgerissen, durch welche Stafverfolgungsbehörden, auch die Anbieter der De-Mail sowie Unbefugte oder Hacker auf den De-Mail Systemen Zugriff auf Nachrichten erhalten könnten.
Eigentlich gehört Deutschland zu den wenigen Ländern, die dank des neuen Personalausweises (nPA) schon Zertifikate für eine Ende-zu-Ende-Verschlüsselung geschaffen hat. Allerdings sind sich wohl die verantwortlichen Ressorts im Bundesministerium des Inneren (BMI) dieser vorhandenen Synergien derzeit nicht bewusst. Greift hier das Wort der Kanzlerin „Internet sei Neuland“?
Im wirtschaftlichen wie auch schon im privaten Bereich, wo oftmals wertvolle Datenwerte geschützt werden müssen, hat sich der „virtuelle Briefumschlag“ Ende-zu-Ende-Verschlüsselung für sensible Kommunikation als De-Facto-Standard etabliert.
Grund für die Forderung nach speziellem Schutz vor Angriffen auf zentrale Server ist jedoch nicht etwa die Annahme, dass Server grundlegen unsicherer seien als Endgeräte. Fast immer ist das Gegenteil der Fall. Der Grund für die stärkere Gefährdung von Servern ist der, dass hier die wertvollen Daten von sehr vielen Benutzern zusammen genommen weit höhere Angriffsanreize bieten.
Die aus dieser Risikosicht wertvollsten Server der Republik werden – wenn es denn nach dem Willen der Bundesregierung geht – die De-Mail-Server, die ungewollte Zugriffe auf die – wenn auch kurzzeitig – unverschlüsselten Steuer-, Justiz-, Bank-, Arztdaten und auf viele weitere schutzwürdige Informationen aller Bürger bieten.
Somit stellt der De-Mail-Datenstrom alle bisherigen interessanten Datenquellen in den Schatten und schafft entsprechend nie da gewesene kriminelle Anreize.
Lernt man nun aus bereits gemachten Erfahrungen?
Die eindrucksvollen Hacking-Reports aus den letzten Monaten zeigen deutlich, dass auch wesentlich weniger wertvolle Datensammlungen derzeit nicht hundertprozentig zu schützen sind. Es wurden Systeme verschiedener Staaten und in der Industrie reihenweise als teils seit Jahren kompromittiert befunden.
Je größer der De-Mail-Datenstrom wird, desto aussichtsloser scheint der Kampf gegen unbefugten Zugriff zu sein. Aus diesem Grunde baut der Bundesnachrichtendienst jetzt eine eigene Abteilung auf, damit vor solchen Angriffen gegen Industrieunternehmen – zum Beispiel auch derjenigen, die De-Mail betreiben – zu schützen.
Dennoch scheinen die Pläne der Bundesregierung weiter voran zu kommen, De-Mail gesetzlich als sicherer zu deklarieren. Lt. IT-Industrie wird durch den Bitkom verkündet: „Der potenzielle Markt für De-Mail-Provider wird durch die Forderung nach Ende-zu-Ende-Verschlüsselung […] erschwert.“ Demgegenüber steht eine über viele Jahrzehnte erkämpfte Tradition von Datensparsamkeit und Datenschutz, die scheinbar nun auf einen Schlag aus allen wichtigen Gesetzen gestrichen werden soll. Kaum zu glauben, wo doch der Aufwand für eine Ende-zu-Ende-Verschlüsselung minimal im Vergleich mit beispielsweise einem persönlichen Besuch beim Amt oder bei der Aufgabe eines Einschreibens ist.
Ein dermaßen fragwürdiger und massiver Umbau der gesetzlichen Vorschriften bezüglich Datensicherheit von De-Mail verdient einen parlamentarischen und/oder gesellschaftlichen Diskurs, um damit die Risiken oder die Möglichkeiten von De-Mail und auch dem E-Government im Allgemeinen abzuwägen. Bisher wurde tunlichst versucht, dieser Diskussion aus dem Wege zu gehen. Stattdessen wird mit dem neuen Gesetz hinter dem Berg gehalten: Die wichtigsten Minimierungen des Datenschutzes kamen erst weit nach der ersten Diskussion hierüber hinzu und sind in zwei Artikeln zum Gesetz versteckt. Das BMI wird künftig an mehreren zentralen Stellen ohne Hinzunahme von Experten ermächtigt, selbstständig zu entscheiden, was im Einzelnen De-Mail bedeutet. Anschließend erklärt das Gesetz das Resultat dann automatisch für sicher. Die parlamentarische Kontrolle über Datensicherheit schafft sich ab!
Im Zuge der allgemeinen Sicherheitsdiskussion kann die Angemessenheit der Gesetzesvorhaben unter der Prämisse eines unsicheren Technikumfeldes hinterfragt werden. Es tagt der Justizausschuss am 15. April und der Innenausschuss am 17. April – Möglichkeiten der Intervention. Viel Zeit bleibt jedoch nicht mehr, um die Absenkung des Schutzes kritischer Daten zu verhindern: Die finalen Lesungen des E-Government-Gesetzes finden bereits am 18. April statt.