Das neue BSI-Gesetz, die De-Mail und wie es mit dem Überwachungsstaat weiter geht sind das Thema dieses Standpunkt Sicherheit.

De-Mail - ein weiterer Baustein im Überwachungsstaat?

Über De-Mail (klingt wie das Gegenteil von Mail, oder?), dem sicheren E-Mail-Dienst der Bundesregierung für die Bürger, hatte ich ja schon im Standpunkt Sicherheit vom 13. Oktober 2008 berichtet, und schon damals war ich skeptisch. Inzwischen wurde die Einführung von De-Mail beschlossen, und passend dazu wurde kurz vorher ein neues BSI-Gesetz beraten. Fangen wir mal mit dem BSI-Gesetz an: Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, ist eigentlich genau dafür zuständig: Die Sicherheit der IT der Bundesbehörden sicher zu stellen und darüber hinaus auch die Allgemeinheit entsprechend zu unterstützen.

Aufgabenwandlung beim BSI

Als neue Aufgabe des BSI hinzukommen soll laut dem Gesetzentwurf u.a. "die Ermächtigung des BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden ohne Anonymisierung bzw. Pseudonymisierung abzuhören und auszuwerten (§ 5)" (aus einer Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit Kritik am BSI-Gesetz, ebenso kritisch äußert sich die Gesellschaft für Informatik. Den Entwurf des BSI-Gesetzes gibt es als PDF-Datei beim Bundesministerium des Inneren).

Außerdem sollen Anbieter von Internetdiensten das Recht bekommen, das Surfverhalten ihrer Benutzer zur Erkennung von Störungen ohne Anlass aufzuzeichnen (siehe dazu auch einen Artikel des Arbeitskreises Vorratsdatenspeicherung). Da man ja nie weiß, wann es zu einer Störung kommt, muss konsequenterweise immer alles aufgezeichnet werden.

Da hat sich unser Innenminister ja was Feines ausgedacht. Jetzt wird er sicher wieder sagen, wir sollen einfach Vertrauen in unsere Regierung und Behörden haben - aber: Wer so wenig Vertrauen in seine Bürger hat, das er sie immer weiter überwachen will, darf sich nicht wundern, das ihm selbst auch immer weniger Vertrauen entgegen gebracht wird. Vertrauen gegen Vertrauen, Misstrauen gegen Misstrauen.

Aber halten wir erst mal fest: Das BSI soll die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden überwachen, die Anbieter von Internetdiensten dürfen das Surfverhalten ihrer Benutzer protokollieren.

Mit anderen Worten: Das BSI-Gesetz ist ein großer Schritt in Richtung Überwachungsstaat, der hoffentlich vom Bundesverfassungsgericht mit einem kräftigen Tritt vors Knie gestoppt wird.

De-Mail - Vertrauenswürdige Mail bei misstrauenswürdigen Betreibern?

Nächster Punkt: De-Mail. "Jeder soll in die Lage versetzt werden, sich gegen unerwünschtes Mitlesen, Diebstahl wichtiger Daten, Betrug im Internet und gegen Spam besser zu schützen" (Zitat Dr. Schäuble aus einem Artikel auf Spiegel Online) - das klingt erst mal gut. Aber: Das geht doch schon längt, es gibt genug freie und kommerzielle Verschlüsselungslösungen. Vielleicht sind ja gerade die unserem Innenminister ein Dorn im Auge. Denn weniger gut klingt ein anderer Satz im genannten Artikel: "Käufliche wie freie Verschlüsselungssysteme, die auf asymmetrischer Kryptografie beruhen, gelten als nahezu unknackbar. Unverschlüsselte E-Mail hingegen kann mit einfachsten Mitteln ausgelesen werden. Das Innenministerium würde hier einen einheitlichen, vorgegebenen Standard statt konkurrierender Systeme, auf die auch Sicherheitsbehörden nicht zugreifen können, bevorzugen." Das glaube ich unbesehen, und hätte es da nicht gestanden, hätte ich es selbst auch vermutet.

Zuständig für die Akkreditierung und Prüfung der Anbieter ist das BSI. Aha. Wieso muss ich gerade an gärtnernde Böcke denken? Zumal auch die vorgesehenen Betreiber von De-Mail nicht gerade mein Vertrauen wecken: Deutsche Telekom (immer für einen Datenschutzskandal gut), Deutsche Post (prädestiniert für den Betrieb eines E-Mail-Dienstes, seit sie die ePost in den Sand gesetzt haben) und T-Systems (kein Kommentar). Fehlt eigentlich nur noch die Deutsche Bahn...

Mal überlegen: Ein Krypto-Verbot lässt sich nicht durchsetzen, weil dann die Wirtschaft ungeschützt der Wirtschaftsspionage ausgesetzt ist. Wenn man aber nun mit De-Mail eine sichere Alternative zu frei verkäuflichen Krypto-Programmen hat, könnte man doch eigentlich ein Krypto-Verbot einführen. Wer nichts zu verbergen hat, kann ja De-Mail nutzen. Auch wenn das weit her geholt klingt - zutrauen würde ich so einen Schritt unseren Innenpolitikern jederzeit.

Anderswo ist man schon weiter...

Werfen wir noch kurz einen Blick auf das Land der unbegrenzten Überwachung. Nein, nicht die USA, die sind da zwar auch gut drin, aber das Mutterland von George Orwell ist da schon viel weiter. Das es in Großbritannien eher früher als später mehr Überwachungskameras als Einwohner gibt, obwohl die für den vorgesehenen Zweck meist vollkommen nutzlos sind, ist gegen die neuesten Entwicklungen fast harmlos.

Ab März wird jede E-Mail in Großbritannien für ein Jahr vollständig gespeichert. Na, dann erst mal viel Spaß beim Speichern und Durchwühlen der ganzen Spam-Mails. Ich habe fast Lust, mir mal eine Mailadresse bei einem britischen Free-Mailer zu holen und als Wegwerfadresse zu verwenden. Ach so: Mails nach Großbritannien werden in Zukunft verschlüsselt, oder wenn das nicht möglich ist, so weit wie möglich eingeschränkt.

Carsten Eilers