Überraschende Verschlüsselung durch IT-Dienstleister

C. Hanken: 16.01.2009

Überraschende Verschlüsselung durch IT-Dienstleister

Obwohl mittlerweile allgemein bekannt sein dürfte, dass eine unverschlüsselt über das offene Internet übertragene E-Mail ungefähr den Vertraulichkeitsgrad einer Postkarte hat, sind Verschlüsselungsmechanismen noch weit davon entfernt, zu einem Massenphänomen zu werden.

Als ich meiner Versicherung eine E-Mail schicke, da niemand telefonisch erreichbar ist, rechne ich noch nicht damit, kurz darauf vor eine technische Herausforderung gestellt zu werden.

smime.p7m

Ich erhalte eine E-Mail von meinem Versicherungsagenten in Bremen. Ohne weiteres lesbar sind lediglich die Absenderadresse und der Betreff. Der Inhalt der Mail ist in ein Binärpaket namens smime.p7m verpackt. Weder Mail.app noch Outlook unter Windows kommen mit dem Anhang zurecht. Da Krypto-Anwendungen und elektronische Signaturen bei mir Hobby und Teil meiner Arbeit sind, macht mich das neugierig. Ich speichere den Anhang im Dateisystem und versuche mit verschiedenen Signaturanwendungen mein Glück. Tatsächlich komme ich mit einer Anwendung weiter, die mich auffordert, meine Signaturkarte einzulegen und die Entschlüsselungscode einzugeben (ich verrate jetzt nicht, ob das Governikus oder die Client-Anwendung von OPENLiMiT war). Zur Verschlüsselung der E-Mail wurde der öffentliche Schlüssel verwendet, der bei der Beantragung meiner qualifizierten Sparkassen-Signaturkarte im S-TRUST Zertifikatsverwaltungssystem abgelegt wurde. Ich bin überrascht.

Im nächsten Telefonat mit dem Versicherungsagenten stellt sich heraus, dass dieser - soweit er weiß - einfach nur eine E-Mail an meine Adresse verschickt hat. Es wird also noch spannender.

Ein Anruf bei der Muttergesellschaft in Hannover führt mich zum zentralen IT-Dienstleister. Dort wird mir mitgeteilt, dass bei ausgehender elektronischer Kommunikation standardmäßig für jede neue Adresse Anfragen an die Zertifikatsverzeichnisse der großen Trust Center gestellt werden. Sobald ein gültiges Verschlüsselungszertifikat gefunden wird, verschlüsselt der zentrale E-Mail-Service automatisch. Nun bin ich nachhaltig beeindruckt.

Wäre das nicht auch ein gangbarer Weg, ausgehende E-Mail von Behörden wenigstens dann zu verschlüsseln, wenn der Empfänger einen öffentlichen Schlüssel bei einem der großen Zertifizierungsanbieter hinterlegt hat?

Ja, ... aber: Absender und Empfänger müssten wissen, was da passiert. (Bei der Versicherung erfolgte die Information über den neuen Service über das regelmäßige interne Rundschreiben. Mein Sachbearbeiter hatte den Abschnitt im Rundschreiben wohl nicht wahrgenommen.) Zusätzlich wäre es sinnvoll, Bürgerinnen und Bürger, die verschlüsselte e-Mail-Anhänge öffnen sollen, eine entsprechende Client-Anwendung anzubieten (etwa Governikus Signer). Nicht zuletzt stellt sich die Frage der Zugangseröffnung: Will jeder, der einen öffentlichen Schlüssel im Verzeichnis eines Trust Centers abgelegt hat, automatisch auch verschlüsselte E-Mails von Behörden bekommen? Ich denke, hier sollte eine zusätzliche Einwilligung vorausgesetzt werden. Das Thema der Zugangseröffnung ist anbei ein entscheidender Streitpunkt beim “Bürgerportalgesetz” - aber das würde den Rahmen dieses Blogbeitrags sprengen.


Weitere Beiträge zum Thema: E-GovernmentGeschäftsprozesse
Zuordnung: Kommentare
Adressaten: Öffentliche Verwaltung

(0) KommentarePermalink

Nächster Eintrag: Projekt “Medienkompetenz in der Schule”
Vorheriger Eintrag: Vergleichende Forschung zur Informationsfreiheit






Mit dem Absenden eines Kommentars erklären Sie sich mit der Verarbeitung Ihrer Daten gemäß der Datenschutzerklärung einverstanden.




ifib: Institut für Informationsmanagement Bremen GmbH
Am Fallturm 1, 28359 Bremen
Tel: 0421 218-56590, Fax: 0421 218-56599, info@ifib.de