Unterschätzte Risiken: De-Mail-Bürgerportale

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten.

Wir könnten uns zurücklehnen und abwarten, bis De-Mail den Weg aller nach Lehrbuch und allein auf formale Sicherheitsanforderungen hin entworfenen Dienste geht. Wohin er führt, das zeigen uns unter anderem HBCI, diverse Bezahlverfahren und die digitale Signatur, in die Bedeutungslosigkeit nämlich. Ein Problem bekommen wir allerdings, falls sich De-Mail wider Erwarten durchsetzt. User awg fasst es im Heise-Forum so in Worte:

»Die Profi-Betrüger und Abzocker reiben sich schon die Hände.

Endlich können sie die Republik, zu minimalen Kosten, per EMail, mit rechtswirksam zugestellten betrügerischen Rechnungen, Mahnungen, anwaltlichen Drohbriefen, Massenabmahnungen, Unterlassungserklärungen, etc, etc. fluten. Und das sogar mit amtlichem(!) automatischem Empfangsnachweis durch das DeppenMail-Postfach.

Ein tolles Hilfspaket für die notleidende Betrüger-Branche.«

Und damit liegt er vielleicht ganz richtig. Seit Jahren tummelt sich hart an der Grenze zwischen minder seriösem Geschäft und handfestem Betrug die Nutzlosbranche. Ihre Masche: mit Lockangeboten Nutzeradressen sammeln und dann für ein Abo kassieren, dessen Preis irgendwo im Kleingedruckten versteckt war, oder vielleicht nicht mal dort. Eine Dienstleistung erbringen Firmen der Nutzlosbranche nur zum Schein oder pro forma. Ihr Geschäftsmodell besteht darin, die erfassten Nutzer zur Zahlung zu bewegen. Das dürfte jedenfalls nicht schwerer werden, wenn sich zusätzlich zu den bekannten Maschen bald auch die Möglichkeit bietet, seinem Opfer rechtsverbindlichen eSchriftverkehr in Form einer signierten Zustellbestätigung abzuluchsen.

Liebe Bundesregierung, dieser Entwurf ist Asche.

PS: Andere Blogs zum Thema De-Mail und zu weiteren Gründen, skeptisch zu sein:

• Das Bürgerportalgesetz: De-Mail im Detail (sicherheitsblog.info)
• „Sichere“ E-Mail – das hängt davon ab, wie man „Sicherheit“ definiert (MMsSenf)
• De-Menz (KeenTech)
• No De-Mail (ravenhorst)
• DE-Mail: Neues Mammutprojekt ohne konkreten Mehrwert (FDP-Bundestagsfraktion)

Update 2009-03-11: Betrugsversuche mit Vertragsänderung per E-Mail gibt es schon.