BSI-Kongress, De-Mail, Bürgerportal ???
Wieder mal was in Fefes Blog gefunden:
Nein, ich war nicht auf dem BSI-Sicherheitskongress. Hatte anderes zu tun, und meine Meinung vom BSI ist nicht die beste.
Da les ich doch heute in Fefes Blog:
Und die Leute vom De-Mail Projekt haben sich bis auf die Knochen blamiert, als sie in ner Präsi von nem jungen Informatiker aus Bochum in technischen Dingen auseinander genommen worden sind. Konnten sich dagegen aber nur mit heisser Luft wehren und dem Standardvorwurf “das ist ja typisch deutsch, Bedenkenträger”. Dr. Heike Stach – die Projektleiterin(?) – hatte sogar ihre eigenen Jubelperser zum Klatschen mitgebracht. Was für Luftpumpen!
Mmmh, kommt mir schon wieder mal alles so bekannt vor.
Mit dem De-Mail Projekt bzw. Bürgerportal habe ich mich noch nicht näher befasst, nur kürzlich mal ein paar Artikel darüber und den Gesetzentwurf gelesen, erschien mir aber sehr unlogisch und nicht auf Sicherheit, sondern auf Kommerz ausgelegt. Gibt halt wieder mal eine neue Dienstleistung, die man vorher nicht brauchte. Und sehr seltsame Regeln, wann etwas als zugestellt gelten soll. Ich bin für mich vorab zu dem Schluß gekommen, daß ich das vorerst nicht verwenden werde, zuviele Rechtsnachteile. Und wo die Sicherheit herkommen soll, war da auch nicht ersichtlich. Schon das Namensschema für E-Mail-Adressen erscheint mir dubios, ein Eldorado für Spammer. Ich hör vor allem immer “kostenpflichtig”. Scheint wieder mal ein Lobby-Projekt zu sein.
Beim Lesen des Gesetzentwurfes ist mir dann aufgefallen, daß das alles so halbgar und unfertig wirkt, beispielsweise werden unklare Begriffe verwendet, eine Begriffsbestimmung fehlt.
Unklar war auch, wie das mit der Entschlüsselung verschlüsselter Nachrichten vor sich gehen soll. Entweder macht der Benutzer es selbst auf seinem PC, dann sind wir so naß wie vorher. Oder der Dienstleister macht es für den Benutzer – und das ist noch viel schlimmer. Jemand anderes verwaltet meine Schlüssel und empfängt für mich rechtsverbindlich behördliche Nachrichten. Letztlich heißt das nichts anderes, als daß ich damit irgendeiner Firma Generalvollmacht für alle meine Belange gebe. Und das ausgerechnet der Telekom als Überwachungskrake, weil die bisher der einzige Anbieter sind. Ausgerechnet die sollen meine vertraulichen Mails für mich lesen und entschlüsseln können.
Das stank dann irgendwie nach Vorläufer oder Grundierung eines Kryptoverbotes. Erst machen wir eine Pseudoverschlüsselung, damit man den Bürgern sagen kann, daß es ja nun verschlüsselt ist. Dann verbieten wir private Verschlüsselung, weil man die ja dann nicht mehr braucht.
Der nächste Hammer ist, daß die Adressen nach dem Schema Vorname.Nachname[.Nummer]@Dienstanbieter.de-mail.de gebildet werden sollen. Spammer brauchen keine Datenbanken mehr, sondern können die Adressen direkt eraten. Und weil auch jede empfangene Mail gebührenpflichtig sein soll, macht Spam-Empfang jetzt besonders viel Spaß.
Laut Gesetzentwurf hat der Dienstanbieter ein sicheres Postfach und einen sicheren Versanddienst anzubieten. Und der Benutzer hat sich sicher anzumelden. Also hängt die Sicherheit doch wieder vom Endgerät ab. Wozu dann der Dienstanbieter?
Wichtige Nachrichten soll der Dienstanbieter förmlich zustellen, also per normalem Kuvert und Post. Wozu soll das gut sein? Warum machen die Behörden das nicht selbst? Na, weil es dann der Empfänger zahlt und jemand anderes als die Behörde das Problem am Hals hat. Ein Effekt ist, daß mir eine Nachricht als normal zugestellt gilt, wenn sie in diesem Postfach angekommen ist. Ich muß also täglich in dieses Postfach gucken, um keine Fristen zu versäumen. Warum sollte ich mich auf sowas einlassen?
Das klingt alles wieder so völlig ungeplant und ohne jede Sicherheitsanalyse erstellt zu sein. Hauptsache, es kommt möglichst oft das Wort Dienstanbieter und Signatur nach dem Signaturgesetz drin vor. Ansonsten naiv.
Deshalb hatte ich mir das erst mal weggelegt und um es dann näher zu betrachten, wenn mich jemand danach fragt oder das Gesetz endgültig beschlossen ist. Ich war zunächst ohnehin mehr mit Stellungnahmen und Kommentierungen zu anderen Sachen (Kinderpornosperre, Vorratsdatenspeicherungen,…) befasst.
Nun stolpere ich gerade über diese Meldung in Fefes Blog. Paßt mal wieder.
Weiß jemand, was die auf diesem BSI-Kongress da zu diesem Bürgerportal gesagt haben? Oder wo es Folien gibt? Oder was dieser “junge Informatiker aus Bochum” gesagt hat? Und womit die sich blamiert haben?
Irgendwie stinkt das doch schon wieder nach dem üblichen Durcheinander.
Sucht man mal nach dieser Dr. Heike Stach, dann kommt man auf ihren “Werdegang”:
- Referentin im Bundesministerium des Innern, Seit 2006 Leiterin des Projekts Bürgerportale
- Studium der Informatik und qualitative Sozialforschung
- Seit 2002 im IT-Stab des BMI
- Im IT-Stab des Bundesministeriums des Innern
Kein Wort, kein winziges Wort von IT-Sicherheit in diesem “Werdegang”. Gut, solche Leute zur Sozialforschung braucht man auch, aber doch nicht in einem Projekt für ein Bürgerportal! Was setzt denn Schäuble da für Leute ein? Und das BSI ist da ja auch noch mit drin. Haben die niemand für IT-Sicherheit Qualifizierten?
War mir – vor meinem Hintergrund – natürlich aufgefallen ist, daß die Frau einen Dr. Ing. trägt. Wobei sich weder der Werdegang noch die “qualitative Sozialforschung” nach Ingenieurwissenschaften anhört.
Google zeigt auf diese Seite der Theoretischen Informatik der TU Berlin, wo eine gewisse Heike Stach über
Programmierung und Programmiersprachen.Wissenschafts- und Technikentwicklung als kultureller Prozeß.
promoviert hat. Könnte passen. Trotz des fragwürdigen Titels (Eine Ingenieur-Promotion an einem Theorie-Institut über einen kulturellen Prozeß?) will ich mir da mal jedes Vorurteil verkneifen und mir diese Dissertation erst mal irgendwie heranholen. Es ist nämlich gar nicht so einfach an das zu kommen, was die deutsche Wissenschaft als veröffentlicht ansieht. Na, mal sehen, wird wohl auf eine Fernleihe hinauslaufen. (Dummerweise muß man hier in München verdammt weit fahren um an irgendwas zu kommen, was Fernleihe treiben kann. Die sind hier noch nicht so in die moderne Zivilisation eingebunden…).
Aber selbst wenn diese Dissertation gut ist: Was in diesem Werdegang befähigt jemanden zur Projektleiterin über ein solches Bürgerportal? Mag ja sein daß man so eine Entwicklung als sozial-kulturellen Prozeß ansieht, aber in erster, zweiter und dritter Linie geht es doch hier erst einmal um Rechts- und IT-Sicherheit.
Ich habe ganz den Eindruck, als sei die oben zitierte Bezeichnung “Luftpumpen” ziemlich treffend.
Nun wäre die Hauptfrage, ob irgendwer angeben kann, was da in Bonn gelaufen ist und womit die sich blamiert haben. Vielleicht sollte ich doch öfters zu BSI-Veranstaltungen gehen. Wobei mir die letzte gar nicht bekommen ist.
5 Kommentare (RSS-Feed)
Kostet 34$ für 5 Seiten, ich glaub die spinnen…
Das mit dem End-to-End-Verschlüsseln ist echt ein Problem, denn man schützt dann ja seine Daten vor dem Dienstanbieter.
Was ist nun, wenn Otto-Normalverbraucher sein Passwort vergisst?
Weiss der Dienstanbieter sein Passwort/seinen Schlüssel, dann war das ganze Verschlüsseln oben nur Hokus-Pokus.
Weiss der Dienstanbieter das nicht (aber lässt nach anderweitiger Authentifizierung ein neues Passwort zu), kann Otto zwar das Portal benutzen, kommt aber nicht an seine existierende Post ran…
Ist aber eh nur theoretisch, da Ottos Passwort so schwach ist, dass Wolfgang es eh schon lange erraten hat…
> Oder was dieser “junge Informatiker aus Bochum” gesagt hat? Und womit die sich blamiert haben?
Ja, veraltete Folien bekommst du hier
http://www.dfn-cert.de/veranstaltungen/workshop/folienwegener2.pdf
Das versteh ich jetzt nicht. Die Folien sind vom Horst-Görtz-Institut, also aus Bochum, und die Kritik soll von einem “jungen Informatiker aus Bochum” gekommen sein? Haben die sich da untereinander in der Wolle?
Falls Du noch Stoff für Textkritik suchst:
http://www.springerlink.com/content/?k=heike+stach&sortorder=asc&Author=Heike+Stach