Allesblog

Die Post ist sich sicher, dass der E-Postbrief ein voller Erfolg wird. Wer es noch nicht kennt, der E-Postbrief soll wie eMail funktionieren aber in sicher. Der einzige Anbieter ist dabei natürlich die Deutsche Post. Der Brief soll so viel Sicherheit besitzen, dass damit mit Behörden und Ämtern rechtsverbindlich kommuniziert werden können soll. (Deutsche Post E-Postbrief)

Zum Thema Sicherheit darf man aber gerade in der Computerwelt geteilter Meinung sein. Wird die Post danach gefragt, wie die Sicherheit des Produktes gewährleistet werden soll, gibt es als Antwort immer die gleiche Floskel: “Die ganze Geschichte ist so sicher, dass wir darüber nicht sprechen dürfen, um die Sicherheit des Produktes nicht zu gefährden!”

Jetzt hat sich dummerweise in der Vergangenheit immer gezeigt, dass Sicherheitskonzepte, die darin begründet lagen, dass man nicht verrät wie sie funktionieren, am wenigsten bis überhaupt nicht sicher sind. Das lernt ein Informatikstudent spätestens im zweiten Semester.  (security through obscurity)

Mit dieser abgelaufenen, überholten, veralteten, betrügerischen(?) Taktik, hat es die Post zu einem zweifelhaft rühmlichen weiteren Eintrag in der deutschen Wikipedia geschafft. Zitat:

“Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen. Mehr will ich nicht sagen. Denn ein wesentlicher Aspekt unseres Sicherheitskonzeptes ist: Wir reden in der Öffentlichkeit nicht darüber. Das ist Teil des Sicherheitskonzeptes.”
(Georg Rau, Senior Vice President IT-Application Management und Projektleiter E-Postbrief)

Nur weil die Post keine Sicherheitslücken sieht, heißt es nicht, dass keine vorhanden sind. Softwarehersteller unterschiedlichen Genres patchen auch ihre Systeme, weil sie u.a. Sicherheitslücken nicht gesehen haben. Bei Microsoft wird das sogar mit einem Patchday gefeiert! Die Banken haben ihre Sicherheitslücke auch nicht gesehen, die millionenfach zu Kreditkartenbetrug führt. Steuersünder CDs… Es gibt so viele Beispiele, die sich in Sekunden bei der Suchmaschiene der Wahl finden lassen.

Und dass sie nicht in der Öffentlichkeit darüber reden, kann ja nur bedeuten, dass sie es hinter verschlossenen Türen tun. Und mit wem wird da gesprochen? (Verschwörungstheorie) Das Briefgeheimnis gibts doch auch nur noch für Jeden, der daran glaubt. Gerade in elektronischer Form wird die ganze Geschichte noch undurchsichtig durchsichtiger. Für die Öffentlichkeit stellt man u.a. folgendes Schaubild in einer 42MB wiegenden Pressemappe zur Verfügung. (Deutsche Post DHL Presse)

Hier wird schön mit endkundenkompatiblen Buzz Words um sich geschmissen. SSL, Firewall, Gateway, dass sind alles Erfindungen, die die Deutsche Post nicht gemacht hat. Im Grunde genommen ist die Grafik wertlos, denn sie gibt überhaupt keinen Aufschluss darüber, welche Verfahren schlussendlich dafür ausschlaggebend sind, dass die Sicherheit der Informationen im Brief gewährleistet ist. Der ganze technische Firlefanz ist hinfällig, wenn hinter der SSL Verbindung jeder im Klartext Zugriff auf den E-Brief hat. Das die Post dabei mitlesen können muss(!), verdeutlicht der Service, dass sie den Text ausdrucken und als Brief zustellen kann. Ein digitales Siegel kann es in dieser Implementierung nicht geben.

(via fefe)

Wesentlich mehr Informationen gibt es zum Thema De-Mail. Damit möchte ich in diesem Beitrag aber nicht auch noch anfangen. Ich kann euch dazu aber nur wärmstens folgende Hörkost empfehlen: Über die Versuche, elektronische Post staatlich zu organisieren und kostenpflichtig zu machen, Chaosradio #159 – Digitale Postkarten.