Kritik am E-Postbrief wächst

Mit der Einführung eines E-Postbriefs versucht die Deutsche Post, einen Dienst zu etablieren der „sicher und verbindlich, wie ein Brief mit der Deutschen Post“ sein soll. Jeder E-Postbrief wird mit einer qualifizierten elektronischen Signatur versehen, die eine Integritätsprüfung der enthaltenen Daten ermöglicht.

Die Stiftung Warentest hat nach einer ersten Überprüfung bereits beklagt, dass die Anmeldung für das Verfahren sehr umständlich sei, theoretisch jeder gedruckte E-Postbrief von Postmitarbeitern gelesen werden könne, die Nutzer angehalten würden, ihr Konto mindestens einmal je Werktag zu kontrollieren und der Dienst unverhältnismäßig teuer sei.

Richard Gutjahr, freier Mitarbeiter und Moderator beim Bayerischen Rundfunk, legt nun in seinem Internet-Blog nach. Er hat sich gemeinsam mit juristischem Beistand durch die Rechtsanwälte Udo Vetter und Thomas Stadler die Allgemeinen Geschäftsbedingungen der Post genauer angesehen und moniert vor allem verklausulierte Pflichten, die dem Kunden auferlegt werden und die Weitergabe von Daten an Dritte. Von Bloggern werden die Erkenntnisse bereits satirisch kommentiert.

Zunächst, schreibt Gutjahr, werde der Nutzer aufgefordert, mindestens einmal werktäglich den Eingang in seinem Nutzerkonto zu kontrollieren, das gelte zum Beispiel auch im Urlaub. Habe er der Veröffentlichung der Daten im Adressverzeichnis zugestimmt, dürfe die Post mit seiner Adresse und seinen Daten munter Handel betreiben und diese beispielsweise an Adress-Broker weiterverkaufen. Die mögliche Folge sei, dass Spam und Reklame auch die E-Mailbox verstopften. Bonbon für die Werbetreibenden: Der Kunde hat sich ja verpflichtet, jeden Tag seinen E-Mail-Eingang zu überprüfen.

Vor allem genieße der E-Brief nicht den Schutz des Briefgeheimnisses. Nach der Rechtsprechung des Bundesverfassungsgerichts unterliege er nur dem Fernmeldegeheimnis und sei damit allenfalls so geschützt wie eine Postkarte. Als E-Postbrief-Kunde sei man mit seinen kompletten Daten registriert, einschließlich der Personalausweisnummer. Darum falle es wesentlicher leichter, eine bestimmte Person zu identifizieren, Um einen herkömmlichen Brief zu öffnen, sei eine richterliche Anordnung nötig. Bei der elektronischen Variante könne ein Polizeibeamter, wenn er gegen jemanden einen Anfangsverdacht habe, bei der Post gegebenenfalls sogar E-Mails einsehen. Dabei müsse es sich nicht einmal um ein schweres Vergehen handeln. Dies falle umso mehr ins Gewicht, als die Post eine Kopie dieses Briefes für einen nicht näher definierten Zeitraum speichere – ob man das wolle oder nicht.

Derweil geriet auch De-Mail, das von der Bundesregierung propagierte, aber noch nicht im Betrieb befindliche System für rechtssichere E-Mail, in die Diskussion Zweifel an der Sicherheit von De-Mail, mit der das System der Post konkurriert, hat das Bundesinnenministerium laut einem dpa-Bericht zurückgewiesen. Nur Anbieter, die strengen Sicherheitsanforderungen entsprächen, dürften die elektronische Post anbieten, erklärte das Ministerium. Zudem sei das System so sicher, dass Hacker es in einem Pilotprojekt in mehreren Versuchen nicht hätten knacken können. Damit reagierte das Ministerium auf Kritik an der Sicherheit von De-Mail, die nach einem Bericht der Frankfurter Rundschau aufgekommen war.

Aus technischen Gründen würden De-Mails auf dem Server des Anbieters einmal kurz entschlüsselt und anschließend sofort wieder verschlüsselt. Kritiker sehen darin eine Schwachstelle, die sich Angreifer zunutze machen könnten – das sei wie bei einem Brief, der unterwegs geöffnet und in ein neues Kuvert gesteckt werde. Mehrere Unternehmen hatten in den vergangenen Wochen De-Mail-Angebote gestartet.

Das Ministerium erklärte, die zwischenzeitliche Entschlüsselung geschehe in "Hochsicherheitsrechenzentren", die strenge Vorschriften aus dem De-Mail-Gesetz einhalten müssten – bislang liegt dieses Gesetz aber lediglich als Referentenentwuf v or. Zudem könnten Nutzer mit einer zusätzlichen Software auf dem eigenen Rechner ihre elektronische Post vor dem Versand selbst verschlüsseln, also quasi in einen Extra-Umschlag stecken. "Das System ist speziell für diese Erweiterungsmöglichkeit konzipiert."

Auch die Erfahrungen sprächen für den hohen Sicherheitsstandard. Im Pilotprojekt in Friedrichshafen hätten Hacker mehrfach erfolglos versucht, in das System einzudringen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe im Rahmen der Zertifizierung Testangriffe gestartet, um Sicherheitsmängel erkennen und beseitigen zu können. (fm)