Artikel

Bullshit made in Germany

Bullshit made in Germany

Sprecherin: Okay, also ihr seid alle die Glücklichen, die es in den Talk von Linus geschafft haben. Der Talk heißt “Bullshit made in Germany – so hosten Sie Ihre De-Mail, E-Mail und Cloud direkt beim BND”.

Ja, viele von euch hören ja vielleicht regelmäßig den Podcast “Logbuch Netzpolitik” mit Linus und Tim Pritlove. Und wer das tut, hat Linus da schon häufiger Mal reden hören über das Thema De-Mail und die anderen Sachen, um die es hier heute geht. Linus ist ja auch Experte auf dem Gebiet, macht das auch beruflich. War auch im Bundestag bei verschiedenen Anhörungen und Ausschüssen, im Innenausschuss und im Rechtsausschuss. Und davon erzählt er euch jetzt gleich mehr, und darauf freue mich sehr. Viel Applaus für Linus!

(Applaus)

Linus Neumann: Ja…

(Tafel mit Hund wird angezeigt, Publikum lacht)

Linus Neumann: Vielen Dank, dass ihr gekommen seid. Hört man mich?

Publikum: Ja!

Linus Neumann: Okay, wunderbar. Ja, eigentlich ist über den Vortrag alles gesagt worden. Wir können den eigentlich auch ausfallen lassen. Aber ich denke, ich mache es trotzdem mal. Ich will mich ein bisschen mit bundesdeutscher Sicherheitstechnik vor und nach Snowden auseinandersetzen. Und meine These ist eigentlich, dass dieses Davor und Danach eigentlich keine wirkliche Rolle spielt. Was ich dann mal versuche an vier Beispielen zu verdeutlichen.

Agenda Das Erste ist natürlich De-Mail, das Zweite ist dann E-Mail made in Germany. Das Schland Net darf natürlich nicht fehlen, und zuletzt erlaube ich mir noch ein paar Kommentare zur Deutschland-Cloud.

Die De-Mail-Sachen gingen eigentlich los zu einer Zeit vor Snowden. Ich habe ja schon, ich denke, im 2011 oder so Artikel dazu geschrieben. Damals war auch Harald Welte dann einmal in einem Ausschuss des Bundestages und hat ein Gutachten für den CCC abgeliefert. Man hatte eigentlich den Eindruck, dass dieses ganze Thema durch ist, doch plötzlich kochte es dann nochmal hoch. Wie es dazu kam, möchte ich dann jetzt gleich erklären.

Was bisher geschah Wir erinnern uns, De-Mail hat als Ziel, für einen sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet zu sorgen. Dafür haben wir uns ein eigenes Gesetz geschrieben, in dem dann die De-Mail-Dienste festgeschrieben wurden. Wenn man so darüber nachdenkt – ich meine, eigentlich leuchtet das ja ein, es ist irgendwie klar, dass man E-Mails jetzt nicht ernsthaft für gerichtsfesten und nachweisbaren Geschäftsverkehr ausführen kann. Insofern, es gibt viele Leute, die auch seit langer Zeit an dem Konzept E-Mail Kritik üben, die sich wünschen, dass man dafür irgendwann etwas Besseres entwickeln würde. Es gibt Leute, die haben das einfach mal in die Hand genommen und haben PGP gebastelt. Und die Bundesregierung hat dann auch etwas gemacht. Und man dachte, ah, vielleicht unterziehen sie jetzt mal SMTP und IMAP so ein bisschen einer Pflege, dass das irgendwie so ein tolles neues Ding wird, das irgendwie funktioniert. Und alles ging los 2009, als sie sagten, ja, wir machen einen akkreditierten Dienst-Anbieter, die müssen dem Nutzer ein sicheres elektronisches Postfach für einen sicheren Versanddienst für elektronische Nachrichten anbieten. Wunderbar, dann haben wir das Problem ja geklärt!

Problem-Lösung Im Jahr 2011 kam dann das De-Mail-Gesetz, in dem gesagt wurde, das ist das jetzt – also De-Mail, das ist jetzt das Sichere. Und dann… Moment… oh, ich dachte, da käme eine andere Folie, Entschuldigung! Und was haben sie gemacht? Sie sind ein paar Probleme von E-Mail angegangen, mit ihrem De-Mail, das muss man zugestehen. Da haben sie sich so gedacht, jeder kann eben die hasi69@yahoo.com registrieren, das heißt noch lange nicht, dass wir es auch wirklich mit dem hasi zu tun haben, wenn wir die E-Mail bekommen. Und das müssen wir irgendwie sicherstellen. Und natürlich könnten wir jetzt irgendwie Signaturen einfügen oder so. Und außerdem haben wir ein bisschen das Problem bei nachweisbarem Verkehr, schriftlichem Verkehr, dass…

(Publikum lacht)

Das ist blöd, da drüber darf man nicht lachen. Dass also, wenn ich einen Brief kriege, und der gefällt mir nicht, dann kann ich den einfach weglegen und sagen, dass ich ihn nie bekommen habe. Erst wenn ich ein Einschreiben bekomme, bin ich daran irgendwie festgenagelt. Das ist ein guter Tipp, kann man immer mal zur Anwendung bringen. Und diese beiden Probleme, haben sie sich gedacht, die lösen wir bei De-Mail so: Wer so eine De-Mail-Adresse registriert, der muss seinen Ausweis zeigen – wunderbar. Und außerdem verpflichten wir den Nutzer, diese De-Mails abzuholen. Und wir bieten einen kostenpflichtigen Dienst für den Absender an, eine Empfangsbestätigung zu bekommen. Zahlst du ein bisschen was drauf, hast du ein Einschreiben, wunderbar. Und derjenige, der die De-Mail bekommen hat – oder auch nicht bekommen hat – ist dann eben verbriefter Empfänger. Das war schon mein erster Grund zu sagen, na ja okay, so eine Adresse möchte ich eigentlich nicht haben.

Problem-Lösung 2 De-Mail hat so ein weiteres kleines Problem, man kann kein Geld damit verdienen. Auch dafür haben wir eine intelligente Lösung gefunden: 39 Cent kostet eine De-Mail.

(Publikum lacht)

Es gibt Profi-Accounts, wo man auf Preise von 32 Cent runter kommt – und irgendwie so zehn umsonst oder so was, zehn gratis De-Mails. Und was natürlich aus der Sicherheitsperspektive kritisiert werden kann, dass das irgendwie so ein verteiltes System mit vielen konkurrierenden Anbietern ist. Und auch dafür gibt es eine Lösung – wir machen einfach eine teure Zertifizierung. Dann haben wir nur wenige Anbieter, und die konkurrieren eine Zeitlang miteinander, bis sie alle eingehen, und dann haben wir am Ende eigentlich ein zentrales System.

Problem-Lösung 3 Und natürlich ein großes Problem bei E-Mail zu der Zeit auch, 2009 noch – viele Anbieter bieten unverschlüsselte Verbindungen an. Zu dem Thema kommen wir nachher nochmal. Und dann haben sie gesagt, okay, dann machen wir SSL durchgängig, also eine De-Mail wird niemals im Klartext übertragen. Und dann gibt es noch ein weiteres Problem bei E-Mail: Nicht jeder Nutzer unterstützt Ende-zu-Ende-Verschlüsselung, PGP oder S/Mime, was also zu einer sicheren Verschlüsselung führen würde. Was vor allem dazu führen würde, dass der Anbieter selber die De-Mails dann nicht lesen kann. Und auch dafür gibt es eine Lösung – das machen wir weiterhin nicht.

(Publikum lacht)

Dann gab es in den 90er Jahren auch noch ein Problem, das erkenne ich an, das waren E-Mail-Würmer. Irgend jemand hatte sich überlegt, ich glaube, davon war primär Outlook betroffen oder Outlook Express, da hat man gesagt, dass das doch super wäre, wenn man eine E-Mail schreiben könnte, indem man ein JavaScript rein schreibt, und der Empfänger bekommt das, und der Rechner von dem Empfänger füllt dann dieses Javascript aus. Und dann können wir etwas blinken lassen oder so. Ergebnis war natürlich, dass massenweise irgendwelche E-Mails kamen mit Viren, die dann das Outlook per Script befallen haben und andere Sachen geschickt haben. Also E-Mail-Würmer waren ein Problem. Und dann hat man sich gesagt, ach, dafür haben wir auch eine Lösung: Wir machen einfach einen Viren-Scan. Wir machen einen Viren-Scan beim Anbieter. Wer denkt, dass das eine gute Idee ist?

Zuhörer: McAfee!

(Publikum lacht, Applaus)

Virenscan biem Anbieter? Linus Neumann: McAfee, ja, McAfee! Das Ding ist auf meinen Namen registriert. Wenn ich jetzt vorhabe, jemanden mit einem Virus zu befallen oder zu infizieren, dann mache ich das doch nicht mit einer Absender-Adresse, die auf meinen eigenen Namen registriert ist und wo ich zusätzlich auch noch 39 Cent zahle.

(Publikum lacht)

Es könnte sich nämlich herausstellen, dass es die 39 Cent doch wert ist. Für so einen Massenangriff ist das natürlich viel zu teuer. Wenn ich sage, mein Ziel ist es, ein großes Bordnetz zu bauen, dann kann ich das natürlich nicht über De-Mail machen, da zahle ich mich dumm und dämlich für. Wenn ich aber einen gezielten Angriff habe, für jemanden Sensibles, jemanden, wo ich sage, okay, der ist es mir wert – dass ich sogar 39 Cent ausgebe, um dem meinen Virus zuzustellen, und vielleicht noch so einen halben Nachmittag investiere, einen Virus zu basteln, den ich nur für diese eine Person bastele. Was der Viren-Scanner wahrscheinlich gar nicht kennt. Und ich dann auch noch die Möglichkeit habe, das vorher zu prüfen, weil ich es ja vorher fünf Mal an mich selber schicken und sehen kann, ob der Viren-Scanner von De-Mail das Virus findet oder nicht. Und dann schicke ich es an jemanden, der sagt, “och geil, auf Viren gescannt, kann ich ausführen”. Also, keine besonders gute Idee!

Virenscan biem Anbieter? 2 Außerdem gibt es natürlich andere Wege. Ich kann eine URL anstatt einer Datei De-mailen, ich kann eine E-Mail schicken, ich kann darauf hoffen, dass die Leute irgendeine Software downloaden, ich kann auf Flash oder Java setzen, das machen Generationen von Angreifern seit Jahren mit großem Erfolg. Das heißt, wozu das eigentlich führt, ist der Effekt, dem man so dem Fahrradhelm nachsagt – Risikokompensation. Ich bin ja geschützt, ich kann hier machen, was ich möchte. Und in Wirklichkeit hat man leider diesen Fahrradhelm am Knie, und wenn man auf die Schnauze… irgendwie so. Ich höre, der Vergleich hinkt – ich weiß!

Ein Traum für Angreifer Das heißt, wir haben am Ende ein System, das unverschlüsselt ist, denn es ist ja nur eine Transportverschlüsselung. Das heißt, auf den Servern selber, auf den De-Mail-Servern selber liegt die De-Mail unverschlüsselt. Beziehungsweise, sie sagen, sie speichern die verschlüsselt ab und haben den Schlüssel daneben liegen. Ich weiß, das ist ein sehr schönes Argument, das so anzubringen. Es gilt aber nun mal faktisch als unverschlüsselt, wenn man den Schlüssel hat. Es gibt nur wenige Anbieter, und darüber wird nur sensible Kommunikation abgewickelt.

Ein Traum für BKA & BfVS Es ist außerdem natürlich auch ein Traum für Bundeskriminalamt und Bundesamt für Verfassungsschutz. Denn für die löst sich nebenbei auch noch die Spam-Problematik. Wir erinnern uns, wir hatten einige Zeit darunter zu leiden, dass bei E-Mails zu viel Spam war, so dass die ihre Filter ein bisschen überladen hatten. Das sollte sich natürlich bei De-Mail geklärt haben. In Wirklichkeit ist aber natürlich dieser Viren-Scan beim Anbieter einfach nur eine Ausrede oder ein Argument dafür, keine Ende-zu-Ende-Verschlüsselung zu machen. Denn wenn der Anbieter nicht hineinschauen kann in die Nachricht, dann kann er sie auch nicht auf Viren prüfen. Jetzt kann man also abwiegen, möchte ich einen unvollkommenen Virenschutz haben, oder möchte ich eine vertrauliche Kommunikation herstellen können. Na ja, das war dann irgendwann 2011, und danach passierte… nichts!

(Publikum lacht, Applaus)

Nächste:

Bullshit made in Germany 2.

Leave a Comment (1) ↓

1 Comment

  1. anja van der lans April 10, 2014

    Hallo, ich versuche in Kontakt zu kommen mit dem Besitzer / Manager von Wasserschloss Meires . In den 80 Jahren habe ich in Meires mit einer großen Gruppe zu renovieren gewesen. Seit zwei Wochen haben wir hart gearbeitet, um zu zerstören und bauen das Dach. Im August / September, würden wir (zwei ehemalige Teilnehmer), um das schloss Einblick in, wie sich herausstellte, zu besuchen und holen alte Erinnerungen.
    Können Sie uns in Kontakt zu setzen, bitte?

    reply

Leave a Comment