IT-Sicherheitsverband lehnt De-Mail als Ansatzpunkt für Spähprogramme ab
Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) hat harsche Kritik am Konzept der De-Mail geäußert. Im Mittelpunkt der vom NIFIS-Vorsitzenden Thomas Lapp vorgebrachten Vorwürfe steht das Verschlüsselungskonzept. Der Gesetzgeber habe hier wenn nicht gewollt, so doch grob fahrlässig eine Sicherheitslücke eingebaut.
Das De-Mail-Gesetz sieht ausdrücklich vor, dass Nachrichten bei den Providern für die Übermittlung entschlüsselt und damit potenziell mitgelesen werden können. Die Ende-zu-Ende-Verschlüsselung, der einzig sichere Weg, wird im Gesetz lediglich als “Option” erwähnt.
“Angesichts der jüngsten Skandale muss man wohl ein gutgläubiger Optimist sein, um zu glauben, dass das kein Risiko ist. De-Mail sieht vor, dass die Daten im Netz bei der Übertragung genau dort entschlüsselt werden, wo sie von Prism & Co abgegriffen werden, nämlich beim Provider”, erklärt der NIFIS-Vorsitzende.
Konkrete Erkenntnisse darüber, ob ausländische Geheimdienste sich Zugang zu De-Mail-Provider verschaffen könnten, liegen der NIFIS derzeit allerdings nicht vor. “Aber es wird immer wieder berichtet, dass die US-Behörden bei jedem Unternehmen mit mindestens einer Zweigstelle in den Vereinigten Staaten den Foreign Intelligence Surveillance Act und den Patriot Act anwenden dürfen und damit unbeschränkten Zugang zu sämtlichen Daten der jeweiligen Firmen bekommen”, so Lapp.
Da es De-Mail-Provider mit Verbindungen in die USA, gibt, will der NIFIS-Vorsitzende nicht ausschließen, dass diese US-Behörden möglicherweise den Zugriff ermöglichen müssen. Über Details ließe sich allerdings nur spekulieren, so Lapp.
Der NIFIS-Vorsitzende geht davon aus, dass der Gesetzgeber De-Mail durch die fehlende Ende-zu-Ende-Verschlüsselung vom Absender bis zum Empfänger wenn nicht gewollt, dann doch zumindest grob fahrlässig mit einer Sicherheitslücke ausgestattet hat. Auch in Deutschland ist jeder Provider durch die Telekommunikations-Überwachungsverordnung gesetzlich verpflichtet, eine Überwachungsschnittstelle für den staatlichen Datenabgriff einzurichten.
Lapp weiter: “Nimmt man jetzt noch das neue Auskunftsgesetz hinzu, nach dem Provider auf Anordnung die Log-in-Daten ihrer Kunden herausgeben müssen, bestehen ernsthafte Zweifel an der angekündigten Sicherheit der De-Mail, zumal die Äußerungen der Bundeskanzlerin zu PRISM kein besonderes Engagement für den Datenschutz erkennen lassen.”
Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. bezeichnet sich selbst als neutrale Selbsthilfeorganisation, die der deutschen Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich zur Seite stehen möchte. Sie wurde 2005 vom Provider Claranet, dem IT-Dienstleister Controlware, der IT-Kanzlei Dr. Lapp und der Kommunikationsagentur Euromarcom gegründet.
Umfrage
Welche Konsequenzen ziehen Sie persönlich aus dem PRISM-Skandal?
- Keine, fühle mich dadurch nicht betroffen. (6%, 32 Stimme(n))
- Ich glaube nicht, dass es etwas nützt, sein Online-Verhalten zu ändern. (16%, 88 Stimme(n))
- Ich werde mir künftig genauer überlegen, welche Online-Dienste ich nutze. (29%, 160 Stimme(n))
- Ich habe mein Nutzungsverhalten bei Online-Diensten bereits geändert. (49%, 264 Stimme(n))
Gesamt: 544