Artikel

Bullshit made in Germany 3

Bullshit made in Germany 3

Die Hintermanner: Giersch Ventures Ich habe mich darüber aufgeregt und irgendwann resigniert bis eines Tages so ein brauner Umschlag bei mir ankam. Da hab ich dann mal reingeschaut und es anfangs nicht verstanden, also habe ich ein bisschen weiter recherchiert. Gehen wir mal ein bisschen in der Zeit zurück, bis weit bevor es dieses Bürgerportalgesetz gab, mit dem der Grundstein für De-Mail gelegt wurde. 2001 meldete eine kleine Firma die Wortmarke “Dmail” für Maschinen zur Sortierung von Briefen, Paketen etc. an. 2007 meldete das Bundesamt für Sicherheit in der Informationstechnik die Wortmarke “D-Mail” für “Rechenmaschinen, DV-Geräte und Computer, Werbung, Geschäftsführung, Unternehmensverwaltung, Büroarbeiten, Telekommunikation…” an. Jetzt gibt es natürlich ein Problem: Das BSI hat versucht eine Wortmarke anzumelden, die es schon gibt. Hier hätte das BSI es umbenennen müssen, deswegen haben sie 2008 dann “De-Mail” angemeldet. Dann kam es zu einer vertraglichen Regelung zwischen dem Bundesministerium fürs Innere und der Firma Giersch Ventures, in der geregelt wurde, für was das Bundesinnenministerium die Wortmarke nutzen darf und wofür nicht. Darin wurden “Dienstleistungen, Transportwesen und Postdienstleistungen” ausgeschlossen.

Vertrag zwischen BMI und Giersch Centures Das ist übrigens neu, das habe ich noch nie irgendwo erzählt. Das ist ein kleiner Auszug aus diesem kleinen Vertrag zwischen BMI und Giersch Ventures, wo eben eine bestimme Form der Nutzung von “De-Mail” ausgeschlossen wird. Diese Form wäre eine De-Mail unverschlüsselt an meinen Anbieter zu schicken, der sie ausdruckt und an jemanden weitersendet, sodass ich einen Brief machen kann. Man könnte sagen einen Post-Brief. Man könnte sogar sagen ein E-Post-Brief.

(Publikum lacht, Applaus)

E-Post-Brief Hier wird es interessant. Es war natürlich allen klar, dass, sobald so etwas gesetzlich geregelt ist, mit einer Technik, mit der man Geld verdienen kann, auch Geld verdient werden wird. Die Post natürlich sehr unglücklich darüber, dass sie ihr Produkt E-Post-Brief nicht registriert bekommen könnte. Die haben dann diverse EU-Beschwerden gestartet und wollten das im Bundestag noch stoppen, weil sie sich massiv benachteiligt fühlten, weil sie diesen schönen E-Post-Brief hatten, der genauso sicher bzw. unsicher ist, aber ausgedruckt werden kann. Der darf einfach nicht De-Mail sein. Der Hintergrund ist einfach dieser Geheimvertrag, der mir zugespielt wurde. Die haben sich sogar noch so stark duchlobbyiert, dass im Gesetzestext festgelegt wurde “…oder vergleichbar sichere Verfahren…”. Alles das, weil das Bundesinnenministerium fürs Innere einen Geheimvertrag über das Markenrecht hat. Fand ich interessant.

Unsere Partner BearingPoint Dann habe ich mir gedacht: “Hmm, von wem hat die Post sich denn beraten lassen?” Die lassen jahrelang ein Produkt entwickeln, was sie eigentlich für den zentralen Marktbereich gar nicht vermarkten können. Es stellt sich heraus: Die wurden von BearingPoint beraten. Das steht auf der Webseite unter “Partner”: “BearingPoint berät Unternehmen und Organisationen aus den Bereichen Commercial Services…” BearingPoint war ein großer Berater der Deutschen Post bei diesem E-Post-Brief. Wie sich durch eine Anfrage der Fraktion Die Linke herausstellte, war BearingPoint auch ein Berater der Bundesrepublik Deutschland bei der Formulierung des De-Mail-Standards. (Applaus). Ein Schelm wer böses dabei denkt. (Applaus). Versteht mich nicht falsch, ich finde das völlig ok, wenn man zwei Deppen findet die das gleiche kaufen, warum sollte man das nicht machen.

(Publikum lacht, Applaus)

Die Anfrage der Linken, in der alle Firmen, die irgendwie für die Bundesregierung im Bereich der IT-Sicherheit arbeiten, zeigt, dass BearingPont bei De-Mail, strategischen Projekten etc. beraten. Außerdem hat BearingPoint bei der E-Government-Initiative und dem neuen Personalausweis beraten.

CSC Eine andere Firma, die bei De-Mail mitgearbeitet hat, welche sich auch durch die Anfrage der Fraktion Die Linke zeigte, war CSC. Das war in den letzten Wochen auch in den Nachrichten. CSC ist einer der wichtigsten Partner der US-Geheimdienste. Die entwickeln Spähprogramme für die NSA, eine Tochterfirma war an der Verschleppung von Khaled El-Masri 2004 beteiligt. Seit 2009 haben sie ein Auftragsvolumen 25 Millionen Euro für Beratungstätigkeiten im Bereich E-Pass und De-Mail von der Bundesrepublik bekommen. Also wurde das Sicherheitskonzept für unseren sicheren, nachweisbaren Verkehr von einem US-Geheimdienst-Subcontractor geschrieben.

Quizfrage Quizfrage: Kunden, die bei CSC De-Mail kauften, kauften auch: “e-Perso” E-Pass auf jeden Fall, bei e-Perso bin ich mir nicht sicher. Ich gebe mal einen kleinen Tipp: (Pferd in schwarz-rot-gold erscheint) Die haben ein Code-Review beim Bundestrojaner gemacht. Der ist, wie wir wissen, von Digitas geschrieben, und den Code-Review hat CSC gemacht. Und die De-Mail haben sie uns auch noch gebracht. Aber das ist ja etwas anderes, das ist ja sicher, mit Virenscanner.

(Publikum lacht)

Fazit: De-Mail Kommen wir mal zum Ende: De-Mail, wie wir es jetzt haben geht nicht über die übliche Email-Sicherheit hinaus. Es ist unnötigerweise und absichtlich inkompatibel mit dem Rest der Welt. Eine De-Mail kann ich nicht an eine normale Email-Adresse schicken. Verschlüsselung nur auf dem Transportweg, das heißt, dass man auf den Servern weiter reinschauen kann. Es gibt nur wenige Server, sie aufgrund der Inhalte der Nachrichten eine erhöhte Attraktivität als Angriffsziel haben. Es hat rechtliche Nachteile und Risiken für die Nutzer. Und der einzige Grund, der das alles erklären kann, ist, dass das Ziel ist, die Wirtschaft in Deutschland zu fördern und die Abhörbarkeit der Kommunikation zu erhalten.

(Applaus)

Diese Gesetzte wurden so beschlossen. Ich habe irgendwann mal gesagt: “Keine Regierung ist so blöd, ihren Bürgen ein abhörsicheres Kommunikationsmedium zu geben.” Das ist auch richtig so, also der Satz ist richtig.

(Applaus)

Agenda 2 Sagt auch Edward Snowden, der wenige Monate danach mit seinen Leaks herauskam und sagte, dass die US-Anbieter alles lesen. Und auch da musste natürlich aus dieser Nachrichtenlage Kapital geschlagen werden und so kamen wir dann zur Email made in Germany. Ihr erinnert euch, das war großspurig angekündigt: Die großen deutschen Anbieter machen eine Sicherheitsinitiative und verschlüsseln alle Emails. Ich dachte: “Super! Und wie machen die das?” Ja, sie setzen ein RFC um, den ersten gab es, glaube ich, 1999. Der RFC 2487 wurde dann 2002 nochmal durch RFC 3207 überholt. Die Idee also nun schon 15 Jahre alt, dass man die Übertragung zwischen zwei Email-Server tatsächlich verschlüsseln könnte.

(Applaus)

RFC Das ist eine Grafik von der Webseite von Email made in Germany. Der Nutzer schreibt seine Email, die wird für den Transport verschlüsselt, kommt beim Email-Server an. Dieser Email-Server schickt dann seine vielen Tausend Emails auch verschlüsselt herum, bis sie dann am Ende auch wieder verschlüsselt abgeholt wird. Diesen letzten Teil machen wahrscheinlich die meisten Nutzer schon seit Jahren, weil es von den meisten Anbietern schon angeboten wird. Was das ganze ad absurdum führt, ist der Teil in der Mitte. Was nutzt es mir, wenn ich meine Nachrichten verschlüsselt an T-Online sende, wenn sie danach völlig unverschlüsselt durchs Internet geblasen werden, wo dann die NSA dranhängt. Das haben sie angemacht.

E-Mail Made in Germany Man könnte sagen, dass es absolut unverzeihlich und sträflich ist, dass sie diese Verschlüsselung nicht anhatten, aber die machen da eine Werbekampagne draus. “Email made in Germany – die sichere Übertragung und Speicherung Ihrer Nachricht ist garantiert” Und wenn man kein Email made in Germany hat, dann bekommt man Spam. “Diese Email wurde aus dem Sicherheitsverbund E-Mail made in Germany versendet…” Das war so ein Futter, dass GMX unter seine Emails geschickt hat.

Quizfrage: Wo ist die unverschlüsselte Email? Quizfrage: Wo ist die unverschlüsselte Email? A: Absender B: Telekom C: web.de D: Empfänger.

(Applaus)

E: A, B, C und D.

(Publikum lacht, Applaus)

Quizfrage: Wie sah es denn vorher aus? Quizfrage: Wie sah es denn vorher aus? Ich habe mir es erlaubt, die Grafik etwas zu ändern. Statt sich zu schämen, macht man halt eine Werbekampagne. Als ich vor zwei Tagen an diesen Folien saß, habe ich mich gefragt, ob sich denn überhaupt etwas geändert hat. Also, genau, wer hat denn noch Zugriff? Der Bundesnachrichtendienst, das Bundeskriminalamt, e-plus…

(Publikum lacht)

Emails werden weiterhin auch unverschlüsselt übertragen Als ich mir mal angeschaut habe, ob diese Emails made in Germany überhaupt verschlüsselt sind, stellte ich fest, dass sie das nicht sind. Man ist weiterhin in der Lage seine Emails made in Germany unverschlüsselt abzuholen. Ich habe hier mal in einem kleine Net-Cat-Ding hingeschrieben, was das macht. Es stellt eine Verbindung zu dem IMAP-Server von T-Online her, sagt “Hallo, ich bin folgender Nutzer:…”, dies ist meine Email-Adresse, dies ist mein Passwort, liste mal bitte die Folder, die es hier gibt, gehe mit mir in den Folder “Inbox”, in den Posteingang, dann sage ich: “Hole mir bitte Nachricht Nummer 2” und Log mich wieder aus. Das Gleiche bei GMX.

Code Wenn ich jetzt noch genug Zeit hätte, hätte ich euch das noch live demonstriert, aber ich glaube, dass ihr mir das auch so glaubt, ich habe euch ja den Code gegeben. Also Emails made in Germany können nach wie vor unverschlüsselt gesendet und abgeholt werden und dieses Siegel, was da dran steht, ändert überhaupt nichts. Das finde ich auch nicht in Ordnung. Ah, das ist eine alte Folie, das ist eine normale Email, dich ich nicht von dem Email made in Germany gesendet habe.

Fazit: Email made in Germany Also, was haben wir bei Email made in Germany? Wir setzen fast 20 Jahre alte Standards um, viele Jahre waren die Emails nicht verschlüsselt. Sie sind es sowieso nur auf dem Transportweg. Das wäre mit anderen Anbietern genauso möglich. Gmail macht es beispielsweise seit jeher. Und wir machen es noch nicht einmal richtig, denn unverschlüsseltes Abholen der Emails ist noch immer möglich. Ich weiß nicht, was ich dazu noch sagen soll, ich bin mit dem Thema am Ende.

(Applaus)

Ich muss allerdings sagen, dass diese Entdeckung, dieser Fund schon irgendwie schockiert hat. Ich hätte den beteiligten Unternehmen wirklich zugetraut, dass sie dieses Sicherheitsversprechen auch wirklich einlösen. Kurz zum Grund, warum das so ist, meine Meinung, warum sie diese unverschlüsselten Verbindungen noch immer machen. Sie haben viele Jahre den Nutzern erklärt, ihre Email-Clients so zu konfigurieren, dass die es eben unverschlüsselt machen. Wenn sie jetzt von einem Tag auf den anderen diese unverschlüsselten Verbindungen ausschalten, dann knöpfen sie natürlich ein paar Leute von ihrer Kommunikation ab und das sorgt wiederum für Anrufe am Helpdesk und für unglückliche Kunden. Ich weiß nicht, ob die Kunden langfristig glücklicher sind, wenn ihre Emails unverschlüsselt durchs Netz fliegen, aber naja. Ich bin da echt ziemlich schockiert von.

Vorherige:

Bullshit made in Germany 2.

Nächste:

Bullshit made in Germany 4.

Leave a Comment (0) ↓

Leave a Comment