Wie ernst nehmen wir Sicherheit wirklich? De-Mail als Negativbeispiel

Wie ernst nehmen wir Sicherheit wirklich? De-Mail als Negativbeispiel

Ceterum censeo Carthaginem esse delendam! Wer oder was ist heute Karthago? Ein Artikel auf Heise.de (http://bit.ly/NSA-De-Mail) bringt es zum wiederholten Mal auf den Punkt: "NSA-Ausschuss: Experten fordern Ende-zu-Ende-Verschlüsselung ein.". Welche Chance hat man sonst überhaupt, wenn die Basisinfrastruktur von Netzwerken, Servern und Betriebssystemen "offen wie ein Scheunentor" ist?

Deutschland hat seit Jahrzehnten keine eigene Computer-, Netzwerk- und Betriebssystem-Produkte mehr. Die ursprünglichen eigenen Lösungen haben wir unseren Freunden in den USA geopfert und mit Jubelschreien deren Produkte willkommen geheißen. Wir sind daher nur sehr eingeschränkt in der Lage, für technische Sicherheit in der Kommunikation und im Web eigenständig zu sorgen. Eine Methode ist bei der Kommunikation die Nutzung sicherer kryptografischer Verfahren zwischen authentifizierten Teilnehmern (auch wenn vor und nach dem Versenden die Daten doch irgendwo auf einem Rechner offen herumliegen). Ein solcher Ansatz, wie er jetzt wieder vom NSA-Ausschuss gefordert wird (leere Worthülsen, die vom "Snowden-als-Zeuge-Debakel" ablenken sollen), wird durch Gesetze in Deutschland verhindert! Auch der Artikel auf Heise.de sagt es deutlich: einen solchen Ansatz zur durchgehenden Sicherheit in der elektronischen Kommunikation hat der Gesetzgeber mit der Einführung von De-Mail verhindert!
Die Katastrophe bahnte sich bereits 2011 mit der Verabschiedung des De-Mail-Gesetzes an. Kritik gab es genug, aber diese wurde vor der Snowden-Ära nicht beachtet . Durch das E-Governmentgesetz vom 1.8.2013 wird De-Mail in gesamten Behördenkommunikation gefordert und soll das "einzig wahre, rechtssichere" Kommunikationsmedium für alle Behörden, Bürger, Unternehmen und Organisationen sein. Dieses Debakel, dieser Geburtsfehler der fehlenden Ende-zu-Ende-Verschlüsselung, war offenbar gewollt. Die deutlich bessere und sicherere Alternative E-Postbrief wurde vom gesetzlich geregelten Verfahren De-Mail ausgeschlossen. Erste Ministerien weisen inzwischen die ihnen zugeordneten Bundesbehörden explizit an, De-Mail nicht zu nutzen. Wollte man der Aufforderung des NSA-Ausschusses wirklich nachkommen, dann müssten als allererstes das De-Mail- und das E-Government-Gesetz, letzteres vom Bundestag im vergangenen Jahr "Lex De-Mail" durchgewunken, gekippt werden. Weg mit der De-Mail!
Und wenn wir schon diese unmögliche De-Mail beerdigen - dann bitte gleich auch die qualifizierte elektronische Signatur (QES) deutscher Machart mit. Auch hier wird einfach Schindluder betrieben und die Signatur in unsinnigen Anwendungen gefordert, für die die Signatur nie gedacht war. Ebenfalls im E-Government-Gesetz enthaltene technische Richtlinien zum Signieren, Nachsignieren und Scannen mit Signatur sind ein Kropf, der Effiziensteigerungen und die Erreichung der Ziele einer modernen Verwaltung verhindert. Aber hier kommt Hilfe aus Europa, denn eine neue europäische Richtlinie fordert die Anerkennung von Signaturen mit anderen technischen Verfahren aus anderen europäischen Staaten. Damit erübrigt sich der deutsche Alleingang hoffentlich sehr schnell.Also weg mit der QES, zumindest dort, wo sie absolut keinen Sinn macht (Scannen, Nachsignieren, diverse fachliche Verwatungsverfahren).

In längst vergessenen Diskussionen zu diesem Thema der letzten Jahre (siehe z.B. auf XING http://bit.ly/XING-QES oder hier die Verzweigung auf mehrere Diskussionen) habe ich diesen Forderungen mit der Adaption eines antiken repetitiven Bonmots Gestalt gegeben:

 

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

 

Machen wir mit den Altlasten endlich mal Schluss! Es muss auch einfacher gehen. Mit Portalen als Ersatz für asynchrone E-Mails, mit Zeitstempeln in Archiven anstelle des Scannen mit persönlicher elektronischer Signatur nebst Nachsignieren. Nehmen wir doch einfach die aktuelle Situation um endlich mal reinen Tisch zu machen!

 

 

Kommentare

De-Mail: Stichtag 24.3.2016

Heute, am 24.3.2016 hätten eigentlich nach E-Government-Gesetz alle Bundesministerium und Bundesbehörden (63?) über einen De-Mail-Zugang zum Empfang von De-Mail-Nachrichten verfügen müssen. Dafür gibt es inzwischen auch ein passendes zentrales Kommunikationsportal. Dennoch - es sind aktuell nur die Hälfte erreichbar und De-Mail selbst versenden tun die schon garnicht. Zwar kann seit knapp einem Jahr auch De-Mail Ende-zu-Ende-Verschlüsselung und PGP, wenn man es denn so einrichten will, ein Erfolgsmodell ist die proprietäre Lösung nicht. Zumal sich die beteiligten staatlichen Institutionen Zeit lassen können - Strafen oder Pönalen drohen auch nicht.

Schleswig-Holstein & De-Mail

Im Portal der SHZ.de findet sich ein Artikel aus dem Flensburger Tageblatt den  Erfahrungen mit De-Mail in Schlewswig-Holstein: "E-GOVERNMENT-GESETZ - De-Mail: SH hadert mit der Verschlüsselung". "Über 100.000 Euro wurden schon investiert, doch der Service lässt auf sich warten und die Bürger scheinen uninteressiert."
Das Informationsportal www.de-mail.info listet für Schlewsig-Holstein exakt drei Adressen auf: einen Hersteller von Stalleinstreu, die Deutsche Rentenversicherung Nord und die Handwerkskammer Lübeck. Bei letzterer seien aber - so die SHZ.de am 24.5.2016 - erst zwei De-Mails eingegangen.
Insgesamt führt das Portal www.de-mail.info 242 Adressaten auf, Firmen und Behörden. Die Weltstadt Hamburg? Ein paar Kommunen, die bekanten Bundesbehörden, Renterversicherer und einige kleine und mittlere Unternehmen. Das wars. Überall zeigt sich, dass De-Mail ein Flop ist, doch die Verantwortlichen machen weiter wie bisher. 
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

De-Mail nunmehr sicher?

In meinem Initial-Post zu De-Mail hatte ich auf die Sicherheitslücke durch die fehlende Verschlüsselung hingewiesen - ein Argument gegen De-Mail. Das wichtigste Argument gegen De-Mail? Und entfällt dieses Argument nun?
De-Mail hatte bisher nicht die erwartete und die erforderliche Akzeptanz erreicht. Dies ist auch offiziell unbestritten. Aktionen wie Einkaufsgutscheine in Dresden beim Anmelden eines neuen De-Mail-Accounts waren eher kontraproduktiv.
Anfang 2015 werden daher nun zwei Problemfelder von De-Mail adressiert, die einerseits die bisherige Akzeptanz behindern, andererseits aber ein weiteres Risiko für die Ausbreitung von De-Mail darstellen: Verschlüsselung und neue europäische Regelungen.
 
Eines der Hauptargumente gegen die Nutzung von De-Mail war die mangelnde Sicherheit. Eine durchgängige Verschlüsselung fehlte. Es wurde zwar formal "Rechtssicherheit" bei Versand und Empfang von De-Mail gegeben, jedoch war technisch De-Mail kaum anders als herkömmliche E-Mail gegen das "Mitlesen" geschützt. Nicht zuletzt der NSA-Skandal, aber mehr noch die mangelnde Nutzung von De-Mail - nur ein Bruchteil der nur wenigen Account-Inhaber nutzte auch De-Mail -, ist jetzt Anlass eine PGP-Verschlüsselung (Pretty Good Privacy) von De-Mails einzuführen. PGP gibt es schon ewig und man braucht dafür kein De-Mail. Die "Arbeitsgemeinschaft De-Mail" hat für alle Anwender von Firefox- und Chrome-Browsern eine Lösung für De-Mails und Anhänge vorgestellt, die ab April 2015 verfügbar sein soll. Dafür wird es ein Plugin geben. Aufwändige Schlüsselaustauschverfahren sind bei PGP nicht notwendig. Allerdings ist natürlich ein Authentifizierungsverfahren erforderlich. Für die vorgeschriebene Erst-Identifikation eines (künftigen) De-Mail-Nutzers soll die Identifikation über die Bank erfolgen, bei der man sein Online-Banking-Verfahren nutzt. Die Installation des Plugins erfolgt erst dann, wenn der De-Mail-Nutzer sich auf das Sicherheitsniveau "hoch" begeben, also zusätzlich eine mTAN oder die eID des neuen Personalausweises einsetzen. Diese "Erleichterungen" stellen dennoch eine Hürde für die Nutzung dar, da sie den Nutzerkreis einschränkt. Diesen Weg kann nur eine einzelne Person nutzen, die sowohl ein De-Mail-Konto wie auch ein bereits vorhandenes Online-Banking-Konto hat. Immerhin braucht es kein PostIdent-Verfahren mehr und die Post verabschiedet sich ja auch aus diesem Bereich, wenn man Signatur-Dienste und EPostbrief betrachtet. Und - sollten wir uns nicht schon beim Freischalten von eID und elektronischer Signatur auf dem nPA neuen Personalausweis gleich auf der Behörde authentifizieren können ... noch so eine totgeborene, inzwischen halbvergessene Initiative. Auf Heise.de gibt es hierzu mehr Detail-Infos und eine ausufernde Diskussion.
Das Thema Verschlüsselung war bereits zuvor von deutschen Anbietern "sicherer E-Mail Made in Germany" aufgegriffen worden. Während international große Mail-Provider längst Verschlüsselung anboten, hinkte auch hier Deutschland hinterher. In der Branche ist daher auch umstritten, ob nun der große Durchbruch für De-Mail kommt.
 
Die zweite offene Flanke ist die Harmonisierung der Anerkennung von ID-, Signatur- und ähnlichen Identifikations- und Authentifizierungsverfahren auf europäischer Ebene: „Verordnung für elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt" (eIDAS). Damit sind die Mitgliedsstaaten der Europäischen Union bindend verpflichtet, Systeme zur elektronischen Identifizierung (eID) anderer EU-Länder offiziell anzuerkennen. Die Verordnung gilt bereits seit September 2014 und muss auch in Deutschland in wesentlichen Teilen ab 2016 umgesetzt werden. Dies hat natürlich auch Auswirkungen auf die QES deutscher Prägung. Am 1.7. 2016 soll die schon achtzehn Jahre alte deutsche Signaturrichtlinie durch die "Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt" abgelöst werden. Diese Verordnung unterscheidet sich von den deutschen Vorschriften vor allem dadurch, dass in ihrem Gesetzestext keine Anforderungen an die Signaturanwendungskomponenten stellt, die bei der Erstellung und Überprüfung von digitalen Signaturen, Zeitstempeln und Siegeln eingesetzt werden. Während die deutsche Signaturrichtlinie zum Beipsiel bisher eine "sichere Lese- und Anzeigeeinheit", ein vom BSI zertifiziertes Kartenlesegerät nebst Zahlentastatur, vorschreibt, kennt die EU-Verordnung dieses Relikt der QES mit Anbieterakkrediierung nicht. Allein die Identität desjenigen, der eine digitale Unterschrift leistet, muss mit dem Sicherheitsniveau "hoch" nachgewiesen werden. Und damit sind wir auch wieder bei Verfahren, wie sie die Authentifizierung von De-Mail-Usern ansatzweise vorsieht.
Natürlich ist auch De-Mail selbst, da ebenfalls im E-Government-Gesetz verankert, betroffen. elDas regelt nicht nur die Verfahren für elektronische Signaturen sondern auch für Validierungsdienste, Elektronische Siegel, Elektronische Zeitstempel, Elektronische Einschreib-Zustelldienste (sic! De-Mail), Elektronische Bewahrungsdienste (auch Archivierung - siehe unten auch die QES bei TR-ResiScan und TR-ESOR) und Website-Authentifizierung. Europa-rechtlich war die Sonderstellung von De-Mail immer etwas brisant.
elDAS ist ein tiefgreifender Eingriff in bisherige nationale Regelungen gerade in Deutschland mit den typischen Besonderheiten. Zukünftig sind so auch verschiedenste ausländische eIDs, Zertifikate und Signaturen anzuerkennen - und technisch überhaupt erst einmal zu erkennen und korrekt zu verarbeiten. Für die qualifizierte elektronische Signatur mit Anbieterakkreditierung deutscher Prägung könnte dies zu einem endgültigen Verschwinden in einer Nische führen. Die QES wird dann vielleicht nur noch - "Dank" BSI TR 03138 und TR 03125 - beim Scannen überleben, denn kaum ein anderer europäischer Staat wird die deutsche Technologie einführen (auch wenn die Franzosen im Moment über so etwas nachdenken). Es werden sich die einfacheren Techniken durchsetzen.
Aber wie erwähnt, kommen durch elDAS auch andere proprietäre, nationale Verfahren - wie eben De-Mail - unter Druck. Im E-Government-Gesetz wurde De-Mail etabliert, um als Alternative für die in zwanzig Jahren nicht durchgesetzte QES elektronische Signatur zu fungieren. Nunmehr gilt es, De-Mail auch für andere europäische Bürger zu öffnen, auch in anderen europäischen Staaten publik und attraktiv zu machen, damit De-Mail nicht als nationale Sonderlocke allein dasteht. Für Anbieter von sicheren Kommunikationslösungen wäre eine nur auf Deutschland beschränkte, staatlich anerkannt "rechtssichere" Lösung zudem ein nicht zumutbares (und wegklagbares) Handelshemmnis. Die Beschränkung auf Deutschland diskriminiert so nicht nur die QES sondern auch De-Mail. Daher ist nun bei De-Mail Internationalisierung angesagt. Oder, wie hieß es so schön in einem Smart-Card-Workshop "Was bisher im nationalen Korsett eingezwängt war, muss sich nun im Wettbewerb des europäischen Binnenmarktes am Markt bewähren und gegen markttaugliche Lösungen aus anderen Ländern durchsetzen. "
In verschiedenen Arbeitskreisen bei DIHK ("Forum elektronische Vertrauensdienste") und Teletrust wird nun daran gearbeitet, die Ausführungsbestimmungen für bestimmte Dienste, wie z.B. De-Mail, so zu formulieren, dass sie in die elDAS "passen". Wenn schon die Welt keine Staats-Mail a la Germania haben will, dann muss man sie doch irgendwie retten. Dies muss bis September diesen Jahres geschehen sein. Vielleicht ist man aber auch mutig genug, deutsche Sonderlocken zu kippen.
Wir brauchen globale, zumindest aber europäische Standards - keine deutschen Sonderlocken.
Die Harmonisierung von Sicherheitsanforderungen und Digital Business auf europäischer Ebene sollte uns aber eher zu einem generellen Nachdenken über die deutschen "Sonderlocken" veranlassen. Mit rein nationalen Besterbungen wie ZUGFeRD bei der elektronischen Rechnung, De-Mail, qualifizierter elektronischer Signatur QES, Resiscan und TR-ESOR können wir in Europa und damit auch gobal keinen Blumentopf mehr gewinnen. Wir müssen uns endlich von den Sonderlocken trennen, denn sie gefährden die deutsche Wirtschaft und die Wettbewerbsfähigkeit des deutschen Wirtschaftsstandortes. Mit wenig natürlichen Ressourcen kann Deutschland nur als Wissens-, Informations- und Dienstleistungsgesellschaft überleben. Proprietäre Ansätze wie De-Mail, QES, ZUGFeRD und andere behindern uns.
Daher gilt weiterhin mein adaptiertes Bonmot:

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Wie sicher ist E-Mail made in Germany?

Bei De-Mail wurde spät mit - optionalenm - PGP nachgerüstet. Nun wird die Sicherheit eines anderen E-Mail-Produktes in Frage gestellt - "E-Mail made in Germany". Diese von GMX, Web.de, T-Online und Freenet gestartete Initiative setzt darauf, dass alles verschlüsselt übertragen wird. Nun werden auch hier erste Lücken berim Login-Verfahren deutlich - die Zeit berichtet "Riskanter Login bei E-Mail made in Germany". Die Lücke ist als "SSl Stripping" lange bekannt. Das ist nicht nur ärgerlich - das ist seitens der Anbieter reine Vera....ung. D-Mail ist keinen Deut besser als De-Mail und beide deutsche Initiativen gehören in die Tonne getreten, denn selbst Yahoo-Mail oder Google-Mail sind da "sicherer".
Abgesehen dass wir uns endlich mal von den proprietären, halbgaren deutschen Sonderlocken trennen sollten [Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!] - wieviel Sicherheit ist denn heute überhaupt noch technisch machbar. Die gesamte Infrastruktur, Hardware, Betriebssoftware und Hauptanwendungen, entziehen sich unserer Kontrolle. Daher macht auch eine nur teilweise Verschlüsselung wie bei De-Mail oder E-Mail made in Germany keinen Sinn. Man müsste nur noch über verschlüsselte Leitung hochverschlüsselte Nachrichten im PublicKey/PrivateKey-Verfahren direkt von Sender- zum Empfänger-Gerät übertragen - und das bezahlt wieder keiner. Die Informationen werden ganz woanders abgegriffen. Und dieses wurde durch in Deutschland durch die Vorratsdatenspeicherung (VDS), DRIPA in England und CISA in den USA auch hübsch legalisiert. Der Trend ist nicht mehr Sicherheit sondern mehr Möglichkeiten zum Abgreifen und Auswerten von Informationen zu schaffen.

De-Mail ist ein Flop

De-Mail ist ein Flop: so sieht es der SPIEGEL online "Bericht der Regierung: De-Mail hat zu wenig Nutzer" http://bit.ly/SPON_De-Mail am 25.2.2015 und so steht es auch im "Zwischenbericht der Bundesregierung nach Artikel 4 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften" am 16.02.2015 drin: http://bit.ly/DEMail. Das angeblich so sichere E-Mail-Medium floppt ebenso wie die Qualifizierte elektronische Signatur mit Anbieterakkreditierung.
Deutsche Sonderlocken gehören beerdigt. 
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
 
Zitate aus SPIEGEL ONLINE
""Wir führen De-Mail flächendeckend ein", heißt es auf Seite 19 der Digitalen Agenda der Bundesregierung (Broschüre zum Download). Der Dienst zur "sicheren, vertraulichen und nachweisbaren" Kommunikation im Internet soll Privatleuten wie Unternehmen eine rechtsverbindliche Kommunikation ermöglichen. Überraschenderweise findet man den Begriff De-Mail in dem 40-seitigen Dokument, das die Eckpunkte des digitalen Wandels für Deutschland abstecken soll, lediglich drei Mal.
Dass es mit der Verbreitung des umstrittenen E-Mail-Dienstes tatsächlich nicht zum Besten steht, zeigt spätestens der jetzt erschienene Bericht der Regierung mit dem sperrigen Titel "Zwischenbericht der Bundesregierung nach Artikel 4 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften" (PDF)."

Und noch einmal: De-Mail ist ein FLOP!

De-Mail ist ein Flop!
Der SPIEGEL ONLINE bringt es auf den Punkt. Bisher haben von 200 Bundesbehörden 0 Bundesbehörden den Zugang über De-Mail eröffnet (http://bit.ly/DeMail_fail). Und die Frist läuft in 6 Monaten aus. "Es ist an der Zeit die Notbremse zu ziehen" ... sagen wir hier und in der XING-Gruppe schon seit Jahren (http://bit.ly/XIDM_eGovG) :) Vom Rest der digitalen Agenda mal ganz zu schweigen ... http://bit.ly/1fzNfs5

Originäre Quellen 
Kleine Anfrage im Bundestag: http://dipbt.bundestag.de/dip21/btd/18/051/1805190.pdf 
Antwort: http://dipbt.bundestag.de/doc/btd/18/054/1805440.pdf
 
Deutsche Sonderlocken gehören beerdigt.
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Fehlerhafte Recherche

Schade, dass der Spiegel das Wort "Recherche" wohl aus einem Vokabular gestrichen hat.
Die Bundesagentur hat seit 01.02.2015 den Zugang via DE-Mail eröffnet.

Soviel zu den angegeben 0 Bundesbehörden.

Ganz davon abgesehen ist DE-Mail ein totes Pferd, daran ändert auch das eGov-Gesetz und die angekündigte Integration/Nutzung von PGP nichts.
Selbst eIDAS wird da ab 2016 keinen nennenswerten Vorteil bringen.

Sie haben Recht: Ein, zwei Behörden akzeptieren De-Mail

Sehr geehrte/r smegworx,
Sie haben Recht, ein, zwei Bundesbehörden akzeptieren den Empfang von De-Mail, bzw. haben den Zugang eröffnet (so auch die Agentur und das BSI). So wäre statt meiner "0" (mindestens) eine "2" fällig gewesen - wenn man sich auf die Eröffnung des Zuganges beschränkt.
Und es ist noch ein Zahlenfehler drin - es gibt mehr als 200 Bundesbehörden: 71 obere Bundesbehörden und 157 untere Bundesbehörden. Das macht dann 228 Bundesbehörden und gleich die paar mit Zugang wieder aus.

Ich will nun auch nicht darauf rumreiten, ob es noch ein paar weitere mit eröffnetem Zugang sind und ob nun 200, 190 oder 180 Bundesbehörden bis zum Ende des Jahres wie gesetzlich vorgesehen den Zugang eröffnen müssen.
Vielleicht hätte ich - wie an anderer Stelle getan - besser von "Nutzung" gesprochen, denn  Nutzung schließt Empfang und Versand ein, z.B. die Kommunikation der einen Agentur mit den anderen Bundesbehörden (und weiteren ... siehe die "weite" Auslegung des EGovG).
Daher meine Rückfrage. Können die bisherigen "Zugangseröffner" nur empfangen (oder empfangen sie überhaupt und wie werden die empfangenen E-Mails innerhalb der Agentur konform weiterversendet und verarbeitet?) und versenden sie auch per De-Mail wieder an Bürger, Unternehmen, andere Behörden. Ich vermute mal - eher nein.
Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
 
 

Lobbyarbeit

Wir haben gesehen, wie durch das E-Government-Gesetz selbst §§ im HGB Handelsgesetzbuch geändert wurden, um wieder eine Anwendungsmöglichkeit für die elektronische Signatur zu schaffen. Dabei hatten wir viel Mühe, zumindest Steuergesetzgebung und Handelsrecht von der Signatur zu befreien.
 
Wir haben gesehen, wie sich die elektronische Signatur und das Nachsignieren in zahlreichen Regelungen für die öffentliche Verwaltung festgebissen hat, sei es das elektronische Standesamt oder der Transport von umweltgefährdendem Müll. Das Nachsignieren-müssen über die Aufbewahrungsfrist eingeschlossen.
 
Wir haben gesehen, wie im Nachfolger von DOMEA 2, dem Organisationskonzept elektronische Verwaltungsarbeit, sich De-Mail und Signieren breitmachten. Nicht nur in der elektronischen Akte sondern auch im neuen Konzept der e-Langzeitspeicherung vom Juni diesen Jahres.
 
Wir haben gesehen, wie sich das Signieren beim Scannen nebst Nachsignieren bei der Aufbewahrung von den Organisationen im öffentlichen Versicherungs- und Sozialversicherungsbereich in die gesamte öffentliche Verwaltung breitmacht.
 
Wir haben gesehen, wie auch Organisationen und Unternehmen der freien Wirtschaft beschwatzt werden, doch auch die Standards der öffentlichen Verwaltung zu übernehmen. Von TR 03125 bis hin zu De-Mail. "Man wolle doch mit der öffentlichen Verwaltung auf Augenhöhe sein und medienbruchfreie Prozesse mit der Verwaltung einführen, oder?".
 
Wir haben das nunmehr 20jährige Debakel der QES qualifizierten elektronischen Signatur gesehen, haben nach sinnvollen Anwendungen gesucht aber nur solche generiert, wo sie keinen Sinn machen. Nun erleben wir gerade ein ähnliches Debakel mit der eID auf dem nPA, dem neuen Personalausweis. Und Gleiches passiert mit der hochgehypten Gesundsheitskarte.
 
Wir haben die "Nürnberger Prozesse 2013" gesehen, wo es darum ging, den Beweiswert von elektronischen Dokumenten an Signaturen und Nachsignaturen festzumachen. Nicht nur für die öffentliche Verwaltung, nein, das Ziel war für alle.
 
Was wir noch nicht gesehen haben oder was sich noch im Untergrund abspielt, sind weitere Ansätze der Lobby der Anbieter solcher Sonderlocken. Zum Beispiel Ideen wie, ZUGFeRD E-Rechnungen mit De-Mail zu versenden, oder Ideen wie, De-Mails in ein Archiv mit TR-ESOR Signier- und Nachsignierfunktion zu packen, oder gleich das Signieren und Nachsignieren auf alle Daten auszudehnen. Dem Wahnsinn scheinen in Deutschland keine Grenzen gesetzt.
 
Dies alles wird unter dem Mäntelchen von Verbesserungen bei Sicherheit und Prozessen verkauft. Was wir aber sehen ist, dass proprietäre, aufwändige Technik weniger Anbieter überall wo möglich (und nicht sinnvoll) hineingedrückt werden soll. Die Lobby der Anbieter dieser Produkte ist sehr aktiv und antichambriert auf hoher politischer Ebene. Deutschen Anbietern scheint dies Recht zu sein, denn durch die Sonderlocken kann man der internationalen Wettbewerb gut ausbremsen. Die Frage nach der Sinnhaftigkeit wird nicht mehr gestellt. Man hat mit viel Aufwand einen Hammer generiert und sieht nun überall Nägel, die nur passend zurechtgebogen werden müssen. Heute die Bundesverwaltungen, morgen die ganze öffentliche Verwaltung, dann die öffentlich-rechtlichen Unternehmen, dann alle Unternehmen und dann ist auch der Privatmann als möglicher Markt wieder ganz nah. Den ködert man dann mit einem 25 € Einkaufsgutschein.
 
Dem Lobbyismus für deutsche Sonderlocken muss Einhalt geboten werden, bevor der Schaden für die Volkswirtschaft zu groß wird. 
 
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!
 
 
 

Charta "So geht eGovernment in Deutschland!" #sogehteGovDe

[Entwurf] Die Initiative "So geht eGovernment in Deutschland!" #sogehteGovDe zeigt Spielregeln auf, die Menschen und Institutionen für eine intensive Nutzung elektronischer Medien im Geschäftsverkehr begeistern.
1. Es werden vier bis sechs klar umrissene Themen befiniert. ( Beispiele: eMail, elektronische Rechnung, Signatur von Handelsbriefen, Aufbewahrung, Formulare in Behörden, ...)
2. Zu jedem Thema werden zwei bis drei Geschäftsvorfälle als positive Beispiele zum anfassen aufgezeigt. (Texte und visualilierte Prozesse helfen hierbei)
3. Argumente in der Kommunikation erfolgen immer nur zu einem der Themen. (Komplexität und Abschweifungen überlassen wir anderen Personen)
4. Die Kommunikation erfolgt positiv. (Jammern überlassen wir Personen, die hierfür prädestiniert sind.)
5. Die Argumentation erfolgt in knapper und verständlicher Sprache. (... ohne Juristendeutsch, Konjunktive und ja, die Herren Doktores, ohne Fachchinesisch oder Schullatein.)
6. Es gibt genau eine Plattform zur Publikation und Diskussion, darauf darf verlinkt werden.
7. Wir identifizieren Multiplikatoren, die das Thema positiv vermarkten; es muss ins Fernsehen und die Presse.
8. Eine Gruppe von Verrückten m/w treibt die Initiative.

Lobbyarbeit und Verhinderung des Digitalen Wandels

Mir läuft es eiskalt den Nacken runter, wenn ich sehe, mit welch größtem Fleiß in Deutschland mit irrationalen Sonderbehandlungen der digitale Wandel von Politik, Juristen und Gauklern aus der Informatik behindert wird, der Bürger und die Wirtschaft an der Nase herumgeführt werden, mit kecken Sprüchen, man könne Gold spinnen und hinterher reicht der Mist nicht mal als Dünger auf dem Misthaufen und ist Sondermüll, der teuer zu entsorgen ist.

Ich habe gerade einen Vertrag aus England bekommen als PDF, ihn mit eingescannter Unterschrift signiert (compliant zur EU-Signaturrichtlinie als einfache Signatur), Datum als Kommentar hinzugefügt, abspeichert und zurückgeschickt: rechtskräftig ist.

Und wir? QES, TR 03125, eID (es gibt mal wieder neuen Wettbewerb, wie wir den Underperformern in der Bundesdruckerei (die nicht mal eine Heuschrecke wie APAX behält :-) neues, überflüssiges Geschäft generieren können), De-Mail, ZUGFeRD, TrustedCloud und mehr überflüssiger Kram in der nationalen Sonderbehandlung. Wir mauern uns ein in der nationalen Trutzburg, wie ich schon vor Jahren schrieb:
http://wk-blog.wolfgang-ksoll.de/2012/02/26/e-government-in-der-trutzbur...
Diese nationalen Inkompatibilitäten schaden unserer Wirtschaft als Ganzes, wo mit hunderten von Millionen € vom BMWi sinnlos und ergebnislos gegen die Bürger und gegen die Wirtschaft kleinste Segmente gefördert werden sollten ohne Rücksciht auf Verluste bei der Masse der Nutzer. Durch diese Misswirtschaft staatlicher, dirigistischer Intervention stockt seit 20 Jahren der digitale Wandel in Deutschland. Wir scheißen offen auf die EU (z.B. bei der Umsetzung der EU-Dienstleistungsrichtlinie Artikel 8, den wir enthemmt mit §3a VwVfG offen boykottieren). Wir scheißen darauf, dass unsere Wirtschaft einfach global verkehren kann (auch im Zahlungsverkehr und Geschäftsbriefen). Wir zersetzen aus Politik und Regierung den digitalen Wandel (wie damals in Niedersachsen, als der Verfassungsschutz als False-Flag-Attack die JVA in Celle in die Luft sprengte, um es der RAF anzuhängen (Albrecht, der Vater von von der Leyen)).

Viele Entwicklungsländer sind mittlerweile weiter als wir. Bei Open Data hat der Bund sich geweigert an der Open Data Government Partnership teilzunehmen (trotz leerer Versprechungen der Großkotzigen Koalition(#Groko), die ja auch die Energiewende abgeschafft hat, Braunkohle aus dem EEG fördert, Offshore-Wind verhindert (während Siemens in UK mit Offshorewind über 1.000 neue Arbeitsplätze schafft), Tennet nicht bestraft, wenn sie gesetzwidrig keine Leitungen bauen, sondern die EEG-Umlage erhöht, um Ausgleichszahlungen an die Anbieter bei fehlenden Leitungen zu finanzieren) und seine eigenen Bemühungen sind fade, wenn man die Erfolgsstory der Briten dagegen sich ansieht.

So kann das nicht weitergehen, wenn wir nicht tatenlos zusehen wollen, wie unser Staat hingerichtet wird (wo die Rente mit 63 der nächste kleine Vorgeschmack auf die Staatszerstörung der Groko ist). Nur als alte Damen junge, halbnackte Buben in der Umkleidekabine zu besuchen und Fotos mit den halbnackten Männern zu schießen, reicht als Politik nicht.

Aber was ist zu tun? Es reicht nicht, wenn wir als Experten ständig den Finger in die Kacke stecken, die zum Himmel stinkt. Ist ja auch unappetitlich. :-)

Meine Idee wäre es, wenn wir nach Best Practices suchen würden und die dann offen diskutieren. Einerseits, um den IT-Einsatz zu massivieren, um Effektivität und Effizienz zu heben, den Nutzen zu schaffen. Andererseits die Ordnung ins juristische Systemverlagern. Ein Beispiel: Als ich den Herrn Kampffmeyer kennenlernte, war es die Zeit, als die Sparkasse Köln massenhaft Überweisungbelege einscannte, OCR-Anylse auf Schlüsselfelder macht und die Datensätze dann mit Transaktionssystemen weiterverarbeitet und nicht mit Domea. Nie kam jemand auf die besoffene Idee auf jedem Beleg die Unterschrift mit der hinterlegten zu vergleichen. Die Trolle aus dem Rheinland haben uns aber eingeredet, das müsse man bei elektronischen Signaturen. Die "Sicherheitsexperten" vom BSI haben sich dann auch noch erblödet, da LDAP nicht gatewayfähig ist, den Firewall des Bundes für den LDAP-Port und Network-Adress-Translation zu öffnen. Sicherheitstechnisch entspricht das einem Großangriff auf das Netzwerk des Bundes, da Endgeräte von außen direkt erreichbar werden auf einem bestimmten Port, was sonst strikt verboten ist. Man braucht nur noch über HTTP ein kleines Schadcodeprogramm einschleusen und hat volle Kontrolle aus dem Inneren des Netzes. Normale Menschen prüfen Unterschriften nur, wenn sie Zweifel haben. Nur von Lobbyisten getriebene treiben die Kosten, zerstören die Sicherheit und verursachen sinnlose Kosten.

Meines Erachtens sollten wir organisieren, dass wir eine Matrix aufstellen, wie andere Staaten diese unsere Probleme (s.o.) lösen. Also zum Beispiel elektronische Unterschrift in E-Mails: UK einfach Signatur (ASCII oder Scan), D QES, eID, SMS-TAN. Oder Urkundenfälschung: Schweiz gibt's dafür Gefängnis, wenn man E-Mails verändert, in D hat Zypries geregelt, dass E-Mails keine Urkunden sind (§126ff BGB). Das ist eine Menge Recherche-Arbeit, zumal man rechtliche Anforderungen, technische Realisierung und kaufmännischen Nutzen (auch Betroffenenzahlen) sich ansehen muss (für ca. 180 Staaten dieser Welt) und es wird ein großes Excel-Sheet :-)

Was nun also? Haben wir Böcke den Jammer- und Zynismus-Modus zu verlassen und zu benchmarken, um rationale Entscheidungen fällen zu können, damit auch Deutschland an dem digitalen Wandel teilnehmen kann?

WAs meint Ihr? Ihr seid dran.

Aufruf #failEGovDE

Vielen Dank Herr Ksoll für diese Philippika. 
 
Die Fakten sind klar, wir überfrachten E-Government (und vieles andere) mit deutschen Sonderlocken. Es ginge einfacher. Und es muss einfacher gehen.
 
Es reicht aber nicht in Artikeln und Blogs darüber zu lamentieren, es reicht nicht sich gegenseitig auf die Schulter zu klopfen, es reicht nicht sich untereinander zu verlinken und zu zitieren. 
 
Also was tun?
Eine eigene Lobby aufmachen?!
 
Zunächst braucht man aber einen Werte- und Argumentationskanon, der für alle Protagonisten der Bewegung gilt. Ein einheitliches Auftreten nach Außen. Keine unterschiedlichen Botschaften, damit man nicht auseinanderdividiert wird.
Konventionen in den Aussagen wie z.B.:
Signatur in der Kommunikation OK aber im Archiv ganz böse;
ZUGFeRD XML OK aber als PDF-Paket ganz böse;
Nachsignieren ganz, ganz pöse, da, da, da;
De-Mail ganz ganz besonders böse;
Gesetzeslage in D wie im Mittelalter und ganz ganz rückständig;
usw. usw.
Die Themen sind zu breit gefächert, die Varianten zu vielfältig. Die Argumentation muss klar und einheitlich werden. Die Botschaften müssen verständlich und belegbar rüberkommen.
 
Und es müssen Botschaften sein, die eine größere Zuhörer- und Mitmacherschaft finden. Details aber auch der große Wurf wie "Deutsche E-Gov-Sonderlocken ruinieren die Volkswirtschaft", "Mangelhafte E-Government-Strategie treibt Deutschland bei der globalen Wirtschaft ins Abseits", "Teurer Overhead verhindert Verwaltungsreform", "Deutschland im E-Government gewollt am A. der Welt", "Profitgier ruiniert digitale Verwaltung und Informationsgesellschaft". Übrigens - es werden uns bessere Slogans einfallen.
 
Und eine breite Öffentlichkeit ist notwendig. Wir paar angejahrten besserwissenden Kritiker sitzen doch in einer kleinen Nische, die den Rest der Welt nicht interessiert.
Wir brauchen politische Parteien im Bundestag, die dies unterstützen;
wir brauchen Titelseiten in Fachzeitschriften und im Boulevard (auch wenn manche ihn mit seinen Anschauungen nicht mochten, ein Schirrmacher wäre unserer Sache gelegen);
wir brauchen Dokumentationen im Fernsehen und Plätze in den Fernsehdiskussionsrunden;
wir brauchen Anbieter, die uns finanziell unterstützen (z.B. ausländische Softwareanbieter die sich defacto durch die deutschen Sonderlocken ausgeschlossen fühlen); 
wir brauchen Hacker, die all diese schönen Dinge publikumswirksam mal knacken; 
wir brauchen Keynotes auf Kongressen, besonders auch außerhalb der E-GOvernment-Szene;
wir brauchen die großen Beratungsgesellschaften, die endlich mal auf praktikable Wege einschwenken sollten;
wir brauchen dass jedes Portal, jeder Verband, jede Organsiation der ITK-Branche uns zumindest zitiert - wenn auch nicht wohlwollend;
wir brauchen Gesetzesänderungen und zwar schnell, konsistent und durchgängig;
wir brauchen zahlreiche Unterstützer, ganz ganz viele aus allen Schichten, Branchen jedweder Couleur;
wir brauchen dass unser Hashtag #failEGovDE jede Woche trendet,
 
... hmmm
 
... und, das ist das Wichtigste,
wir brauchen realistische Vorschläge, wie man es denn besser, günstiger, intelligenter machen kann.
Die Zeit für reine Kritik ist vorbei, das will keiner hören.
Es geht um Best-Practice, was zu tun ist.
Man muss pro-aktiv ändern, nicht hinterherjammern!
Für jeden Kritikpunkt muss es mindestens einen besseren, realistischen Lösungsansatz geben, mit praktischem Beispiel.
 
Und dies alles heißt "Arbeit", nicht nur für einen, sondern für eine eigene Lobby. Und, nein, wir gründen keinen neuen Verein. 
 
Also wie sich organisieren, liebe Kolleginnen und Kollegen?
 
Ulrich Kampffmeyer
#failEGovDE
 
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delenda!
 
P.P.S. und wir brauchen Verwaltungsmitarbeiter, Rechtsanwälte, Staatsanwälte und Richter, die uns Beratern und Anbietern in Prozessen die Sorgen nehmen, wenn man gegen Gesetze argumentieren muss, weil diese sinnlos und widersprüchlich sind.

Klare Themen, positive Beispiele, eine Plattform

Ja, es braucht positive Beispiele und eine verständliche Argumentation dazu:

1. vier bis sechs klar umrissene Themen (eMail, elektronische Rechnung, Signatur unter Handelsbriefen, Aufbewahrung, Formulare in Behörden, ...)

2. zwei bis drei Geschäftsvorfälle zu jedem Thema als positive Beispiele zum anfassen.

3. Argumente immer nur zu einem Thema.

4. Jammern ist verboten, das hat jeder von uns schon (öffentlich) getan.

5. Eine verständliche Argumentation ohne Juristendeutsch, Konjunktive und ja, die Herren Doktores, ohne Fachchinesisch oder Schullatein.

6. Genau eine Plattform zur Publikation und Diskussion, darauf darf verlinkt werden.

7. Identifikation von Multiplikatoren, die das Thema positiv vermarkten; es muss ins Fernsehen und die Presse.

8. Eine Gruppe von Verrückten m/w die das macht.

Peter Rösch*

*In völliger Selbstüberschätzung verrückt genug im Sinne dieses Posts

#sogehteGovDe

Das hört sich schon gut an! ich hätte noch Ergänzungen:

Keine nationalen Sonderwege, sondern immer erst internationale Standards. Wo keine sind, Benchmark. Bei jedem Thema also wie machen anderen das effektiv und effizient.

Gleichbehandlung von Papier, Fax und elektronischen Dokumenten: also auch Urkundenfälschung für veränderte E-Mail.

Rechtskraft immer, bei Zweifel Problemlösung im juristischen Raum, nicht im technischen Lösungs-Raum. Wie bei Papier.

Für Behördendinge vielleicht auch Wunschliste, was man mit einfacher E-Mail erledigen können muss wie bei Bahncard, Amazon und Gesundheitskarte:
An-, Ab- und Ummeldung von Wohnistz und Firma, Personalausweis, Kinderausweis-, Aufenthaltstitel-, Passbeantragung, BAFöG-, Sozialhilfe-, H4-, Wohngeld-Anträge.
Das Problem dabei ist weniger die Form (Formular in Anwendung, downloadbares Formular) als dass der Prozess als Ganzes automatisiert online muss.

Grundsatz muss sein, wir glauben dem Bürger immer (statt behindernder Technoschickschnack). Wenn er den Staat aber betrügt, drohen harte Strafen (wie in USA). Nicht Straffreiheit bei Selbstanzeige, wo bis zu 10 Jahren Gefängnis droht.

Wir sollten mit der Ideensammlung fortfahren. Das geht sich gut an.

#sogehtEGovDe - whats next?

Gestern stellten Wirtschaftsminister Sigmar Gabriel, Innenminister Thomas de Maizière und Infrastrukturminister Alexander Dobrindt (nicht nur der SPIEGEL online meint, die Agenda sei eine Enttäuschung) die Digitale Agenda vor (BMWi Position, Entwurf der Digitalen Agenda). Unter einem ähnlichen Titel hat die Europäische Union schon 2010 ein strategisches Dokument veröffentlicht. Während sich Europa auch mit seinen Vorschlägen sehr generalistisch positiniert, auch mit seiner Digital Agenda for Europe 2020, so finden sich in der deutschen Digitalen Agenda auch wieder unsere geliebten Sonderlocken wieder: De-Mail als strategische Komponente die bindend für alle Behörden werden soll. Und dies quasi in einem Atemzug mit höherer Sicherheit in der Kommunikation genannt.
Nun steltt sich mehr denn je die Frage, wie machen wir mit unserer Initiative (wenn es denn eine ist) zu #sogehtEGovDe weiter? Es gab eine Reihe von Vorschlägen, die ich mal zur Diskussion stelle:

  • Ein Grundsatzdokument erstellen, in dem die Themen und einzunehmenden Positionen genau festgelegt sind.
  • Ein persönliches Treffen der Willigen in Hamburg um sich zu organisieren.
  • Keine eigene Initiative starten sondern sich besser in vorhandene integrieren und dort das Thema platzieren
  • Eigene #sogehtEGovDe-Webseite um zentralen Anlauf- und Diskussionspunkt zu haben.
  • Keine eigene Präsenz sondern qualifizierte Kurzbeiträge vorfertigen und von allen Beteiligten möglichst oft und möglichst überall posten.
  • Einen Unterstützerverband finden, damit das Thema mit genügend Wucht und Ressourcen betrieben werden kann.

Wie machen wir weiter?
 
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Wir starten mit einem positiven #sogehteGovDe

Entsprechend §4 unserer Charta "So geht eGovernment in Deutschland!" heißt der Hashtag #sogehteGovDe.

Charta "So geht EGov in Deutschland"

:) Herr Rösch, könnten Sie bitte mal die anderen §§ auch hier posten, ich meine ja nur ... :)

Themen und Plattform

Nach ca. 10 Jahren Engagement im VOI (CCES) fühle ich mich noch immer zu ausgelaugt, um aktiv am Aufbau einer solchen Informationszelle (Plattform hier? XING? ) mitzuwirken. Allerdings könnte ich zu den Basis-Themen Willenserklärung, gesetzliche Schriftform, elektronische Signatur einige Infos beitragen.

Ich hätte kein Problem damit, unter der Federführung von Dr. Kampffmeyer an einer Publikation mitzuwirken, die Betrachtungen verschiedener Personen zu den unterschiedlichen Themen enthielte.

Auch könnte ich meinen seit 2008 nicht mehr aktualisierten Leitfaden Elektronische Signatur auf den neuesten Stand bringen und zur Verfügung stellen.

Estland

Der Jurist Niklas Luhmann meinte, als er in Bielefeld (ja, ich weiß) als Soziologe eine Systemtheorie aufstellte (z.B. "Die Gesellschaft der Gesellschaft"), dass er ca. 30 Jahre brauchen würde. Nach einigen tausend Seiten meine ich, dass sie sehr gut ist. Nun denn, fangen wir mit unserem Thema an. Die Simone Janson, Kolumnistin bei DIE WELT (ja ich weiß), hat dazu einen Impuls für uns geliefert: "Die Zukunft der Bürokratie heißt E-Government: Wie effizient darf der Staat sein?" http://imgriff.com/2014/07/21/die-zukunft-der-buerokratie-wie-effizient-darf-der-staat-sein/ Es geht um Estland, die es parziell im E-Government krachen lassen. Ich habe das kommentiert: (http://imgriff.com/2014/07/21/die-zukunft-der-buerokratie-wie-effizient-darf-der-staat-sein/#comment-197218). Nun seid Ihr dran. Horrido!

EGov - alle kochen nur mit Wasser

Estland als Vorbild - in vieler Hinischt ja, aber in Bezug auf den Einsatz elektronischer Signaturen eher nein. Da teile ich Ihre Meinung, Herr Ksoll. Deutschland ist jedoch noch deutlich rückständiger und in bürokratischem Overhead gefangen. Allerdings kochen alle anderen Nationen auch nur mit Wasser. Die jährlichen Hitlisten, wer denn der Beste im E-Government sei, lassen sich beeinflussen. Man muss nur wissen, nach welchen Kriterien von den Initiatoren die E-Government-Durchdringung bewertet wird. Da benennt man halt Projekte und definiert die Inhalte dementsprechend ... und schon landet man oben im Ranking.
 
Dieses Phänomen und auch die deutschen Sonderlocken waren Gegenstand eines Vortrages, den ich erst kürzlich - ganz ohne Folienschlacht - in Berlin hielt: Informationsmanagement im eGovernment: Zwischen Anspruch und Wirklichkeit: Flipcharts http://bit.ly/IMTB-EGov & Video http://bit.ly/IMTB-DrUKff
 
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Freie Wahl der Signaturverfahren wünschenswert

Dem Beitrag von Herrn Ksoll kann ich in den meisten Punkten zustimmen. In Hinsicht auf die deutschen Besonderheiten, z.B. der Schriftform, der Definition einer Urkunde und der Beweisfähigkeit nach ZPO würde ich jedoch pragmatische Schritte bevorzugen, da ich ein generelles Umdenken der Regierenden bei dem derzeitigen Einfluss der Banken-Lobbyisten für unwahrscheinlich halte. Aber vielleicht hat Herr Ksoll ja recht.

Ich kann mich in Bezug auf Deutschland nur wiederholen:

1. Das BMJ ( Justizministerium ) ist mit dem Festhalten an der erforderlichen "Körperlichkeit" einer Unterschrift einer der größten Blocker zur Ablösung der QES für nationale gesetzliche Schriftform.

2. Das hinter der QES steckende asymmetrische Verschlüsselungsverfahren der Prüfsumme ist gar nicht das Problem, sondern die völlig unnötige Zuordnung des Schlüsselpaares an eine natürliche Person.

Dazu möchte ich bemerken, dass ich die eigenhändige Unterschrift zwar nicht heilig sprechen möchte, doch bietet diese mit seinen biometrischen Merkmalen auch elektronisch erfasst einen gewissen Rahmen an Beweisfähigkeit ( ohne unnötigen Indiziennachweis wie in England ). Auch vor allem dann, wenn es sich um dezentrale erstellte Willenserklärungen oder Bestätigungen handelt. Nicht immer ist der Signaturersteller zentral registriert.

Wer jedoch haftungsrelevante Vereinbarungen mit anderen Mittel treffen möchte, sollte dies auch tun können. Letzt endlich kommt es in einem Streitfall / Zivilprozess immer auf die Beweisbarkeit an, egal wie.

Wenn unsere Beamten seit 1982 eh nicht mehr unterschreiben ...

Und jetzt noch eine Schritt weiter:

Ich las gerade davon, dass 1982 die Staatshaftung zurückgenommen wurde, womit alle Beamte auf eigenes Risiko agieren, und deshalb nicht mehr unterschreiben. Speziell Richter nicht. Wozu machen wir uns dann überhaupt Gedanken darüber, das elektronisch noch viel besser NICHT zu tun?

Ist hier ein Jurist, der das hier bestätigen kann:
http://www.mmnews.de/index.php/politik/19095-staatshaftung-aufgehoben

Pseudorecht

Bei aller Leibe: der Mann kennt sich im deutschen Recht offenbar nicht sonderlich aus. Zum einen schmiesst er Zivilrecht und öffentliches Recht stets durcheinander. Zum anderen kennt er offenbar den §37 VwVfG nicht. Dort heisst es:
"(5) Bei einem schriftlichen Verwaltungsakt, der mit Hilfe automatischer Einrichtungen erlassen wird, können abweichend von Absatz 3 Unterschrift und Namenswiedergabe fehlen."
http://www.gesetze-im-internet.de/vwvfg/__37.html

Das ist eigentlich ziemlich klar formuliert, auch für Nicht-Juristen verständlich, geltendes Recht und kann nicht durch Weglassen oder gegenteilige Behauptung abgeschafft werden. Dafür braucht man den Gesetzgeber :-)

Bei der Staatshaftung ist die Unterschrift das geringste Problem:
http://de.wikipedia.org/wiki/Staatshaftungsrecht
Aber es sind solche Wirrköpfe, die die eigenhändige Unterschrift heilig sprechen wollen und die Zivilisation zum Erliegen bringen wollen.

Nur mal ein kleines Beispiel von Pragmatismus

Schindler hat für ihre weltweiten Prozesse der Freigabe von Dokumentationen geprüft, was nötig ist, diesen Prozess elektronisch durchzuführen. Im Gespräch war die QES. Am Ende reichte die erneute Passwortabfrage im Workflow-Freigabeschritt. Das ECM-System wusste, wer was wann freigab und hat dieses Dokument gegen weitere Bearbeitungen geschützt.

Was ist das Problem?

Die QES wird am Ende unsere Produkte nur teurer machen. Und wer zahlt am Ende? Wir alle. Und es gab nur wenige Nutznießer ...

Im freien Kommunikationsverkehr gerne zur Absicherung des Nachweises von Nicht-Manipulation. Im Rahmen von ECM-Systemen bitte nur das Verifizieren eingehender Dokumente und das Signieren ausgehender Dokumente.

Dies ist meine persönliche Meinung.

Verantwortung ....

Hallo in die Runde,
ich bin zwar fachlich nicht so detailliert bewandert wie der Rest der Diskutierenden, aber pflichte im Wesentlichen den Ausführungen von Herrn Dr. Kampffmeyer bei. Die Regierung und Politik sind hier in der Pflicht. Erst wenn diese Klarheit schaffen (und nach Möglichkeit die gleich Klarheit für alle), kann die Exekutive in Form von BSI und anderen Anstalten effektiv handeln. Meiner Meinung nach gehören Leute vom Fach in die Politik oder zumindest in die zuständigen Ausschüsse. Und nicht irgendwelche Lobby-verhafteten Grobrhetoriker mit null Bezug zur Realität. Aber ich vermute, dass die Spezialisten der Regierung damit beschäftigt sind, Google zu zerschlagen, und deshalb keine Zeit für solchen Kleinkram haben. Die Realität wird aber sein, dass die Herren, nachdem sie ein Video-Interview mit Edward Snowden zur Anhörung vereinbart haben, keinen kennen (ausser der NSA), der weiß, wie man sowas "sicher" realisiert und jetzt verzweifelt nach Fachpersonal suchen.
In diesem Sinne einen schönen Abend noch,
Heino Romzykowski

Im Tal der Ahnungslosen

Oh nein, im Tal der Ahnungslosen machen sie jetzt auf "Dresden wird De-Mail-City" http://www.heise.de/newsticker/meldung/Dresden-wird-De-Mail-City-2243420.html  Mal sehen, wie viele Leute von der Zielgruppe der "38 Millionen" sich durch den 25 Euro Gutschein für das leere Einkaufszentrum ködern lassen. Und die Infos, wozu man De-Mail nützen können soll, sind in dem Heise-Artikel auch ziemlich daneben. Unsere Meinung bleibt "De-Mail muss weg!"  http://bit.ly/De-Mail-QES
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Da schau´n wir mal

wie lange das gut geht und ob wir davon erfahren, wenn schlechte Erfahrungen gemacht wurden ...

De-Mail als Erfolg verkaufen ...

Lieber Dr. Bartonitz,
was in Zukunft passiert, da können wir wirklich sagen "schaun mer mal". Aber diese Nachricht wird sicherlich morgen auf dem Zukunftskongress als der Durchbruch für De-Mail verkauft werden. Die Marketing-Maschine wird angeworfen und andere Kommunen werden ins Fahrwasser gezogen.
Deshalb: "Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!"
Ulrich Kampffmeyer

QES / Verschlüsselung

QES

Ich musste lachen, als ich diesen Blog gelesen hatte ... da traut sich jemand, den von mir bereits 2004 genutzten Begriff der Crypto-Mafia zu benutzen. Immerhin ... die scheinbar in Fels gemeißelte QES für Rechnungen wurde ja bereits gekippt. Genauso wird es den anderen - zumindest den überflüssigen - Gesetzesverankerungen der QES ergehen. Auch wenn die noch existierenden Gesetze und Verordnungen derzeit noch ein Ärgernis sind, das erledigt sich irgendwann von selbst. Hier greift tatsächlich der Markt. Übrig bleiben werden Signaturen für Willenserklärungen und Kommunikation.

Naja, und in der Zwischenzeit verdienen sich noch immer einige den Ministerien nahestehende Berater, Eventveranstalter und scheinbar lediglich für Forschungsprojekte gegründete Unternehmen eine goldene Nase, abgesehen von der Reputation der von Unternehmen abgestellten Mitarbeiter zur Teilnahme an DIN-Ausschüssen oder Veranstaltungen der Datev hinter dem Aushängeschild von Prof. Roßnagel.

In der Schnittstelle zwischen Politik und Wirtschaft (nur die großen Unternehmen haben Kapazitäten zur Formulierung ihrer Wünsche) steckt übrigens der Sumpf. Die an den Veranstaltungen zur QES oder DE-Mail teilnehmenden Ministerialräte etc. sind nur dankbare Opfer, die - zumindest früher - davon überzeugt waren, dass die veranstaltenden Unternehmen wie Deutsche Bank, Siemens, secunet, Deutsche Post ... schon die Wahrheit sagen würden.

Das ist so ähnlich wie mit der zum BITKOM abgewanderten - finanziell starken - ECM Abteilung des VOI, Kommerz geht über Inhalt, auch auf Kosten der Kleinen. Was wirklich helfen würde, wäre eine Haftung für volkswirtschaftliche Schäden. Doch es hilft alles nichts, als Rufer in der Wüste verzettelt man sich nur und wird außerdem noch als Depp dargestellt.

Kommunikation

Hinsichtlich Kommunikation bin auch ich der Meinung, dass nur die Verschlüsselung der Nachrichten durch den Verfasser selbst mit dem vom Empfänger selbst erstellten Public Key der NSA und anderen Diensten den Boden entzieht.

Es war eine vorsätzliche Fehlinformation, dass die Algorithmen der RSA Verschlüsselung geknackt seien. Was eh öffentlich ist, kann auch nicht geknackt werden. Ohne Private Key steht auch die NSA vor einem Problem.

Auch wenn die aktuell verschlüsselten Nachrichten in einigen Jahren wegen errechenbarer Schlüssel entschlüsselt werden können, was auch dann noch Tage dauern wird und daher eine massenhafte Entschlüsselung unwahrscheinlich ist, zumindest wären die aktuell verfassten Nachrichten einigermaßen sicher. Hier sollte die Bundesregierung endlich mal handeln. Bei aller Freundschaft zum amerikanischen Volk, die Industriespionage für das amerikanische Militär, was die wirkliche Triebkraft für die NSA und andere Dienste ist, wird immer mehr zur Bedrohung deutscher Unternehmen. Dagegen sind die Angriffe aus Russland und China lächerlich.

Boah, immer diese Fettnäpfchen ... lach

Bezüglich BSI ... teilweise muss ich das Amt in Schutz nehmen, hatte es doch ausdrücklich im Sinne des BMI unter Führung des sich als Hardliner entpuppenden Innenministers Otto Schily gehandelt. Dieser glaubte tatsächlich, man könne Terroristen, Sympathisanten und sonstige Verbrecher anhand ihrer digitalen ID ermitteln, zumindest wollte er uns dies weismachen. Mir tun noch 15 Jahre danach die Beine vom Schenkelklopfen vor lauter Lachen weh ... in diesem Sinne ...

Schönen Tag noch

Crypto-Mafia und e-Postbrief

Hallo Uli,

der Begriff "Crypto-Mafia" ist in unserer Welt des maximierenden Lobbyismus sehr passende. Im Prinzip ist das aber auch ganz normal in einem System, in dem alle Mittel erlaubt sind, etwas an Mann und Frau zu bringen. Also verurteilen wir nicht die Menschen, die nur den Marktregeln folgen, und sich einen möglichst großes Stück vom zu verteilenden Kuchen abschneiden zu können, denn anderfalls verlieren sie in diesem Reise-nach-Jerusalem-Spiel.

Du sprachst davon, dass das E-Mail-System der Post deutlich besser konzipiert sei. Ich habe von Anderen allerdings auch genügend Kritiken gehört, besonders was die Geschwindigkeit anging.

Und ja: bitte nicht QES beim Archivieren benutzen (Nachsignieren und Scannen), sondern nur in der Kommunikation!

Viele Grüße
Martin

De-Mail, E-Postbrief & andere Unsäglichkeiten

Lieber Martin, lieber Dr. Bartonitz :)
Zu den drei Argumentationslinien des Kommentars:
a) "Maximierender Lobbyismus":
Es geht nicht darum den Kuchen zu verteilen sondern darum, wer den Kuchen bäckt und sich dann daran gütlich tut. Der Kuchen war ja nicht einfach da. Lösungen wie die QES oder die De-Mail wurden gemacht um (vermeintliche) Probleme (zu schaffen) zu adressieren. Damit lässt sich dann auch gut Geld verdienen, wenn alle diese Lösung akzeptieren (oder sie - noch besser - sinnvoll ist). Da die Regeln (Gesetze) geschaffen wurden und einen Rahmen bieten, der die oben erwähnten Technologien unterstützt, ist es auch verständlich, dass diejenigen, die in diese Technologien investiert haben, dann versuchen (mit allen Mitteln) auch den prognostizierten Effekt, sprich Gewinn, daraus zu ziehen. Und wie ich anderen Ortes schon einmal geschrieben habe, sind die Lobby-Vertreter der De-Mail und des Nachsignierens recht effektiv. Es wurde ein Rahmen geschaffen, der etwas technisch Machbares fordert, auch wenn das technisch Machbare nicht den versprochenen Effekt erfüllt und dann halt für andere Dinge eingesetzt wird, damit die Ursprungsinvestition amortisiert werden kann.
b) "E-Postbrief":
Es geht nicht darum, ob diese ebenfalls deutsch-proprietäre Lösung besser oder sinnvoller ist. Es ging uns nur um das Faktum, dass der E-Postbrief zumindest die Ende-zu-Ende-Verschlüsselung besitzt, die der De-Mail per Design bewußt abhanden gekommen wurde. Auch ein paar andere Funktionen sind ganz nett, aber völlig unabhängig davon, ob der E-Postbrief sicherer, schneller, komfortabler, langsamer, aufwändiger, einfacher usw. ist - auch hier haben wir einen deutschen Sonderweg vor Augen. 
c) "QES beim Archivieren":
Da hat sie wahrlich Nichts verloren! Ein kryptografische verschlüsseltes Etwas, das nur durch ein Programm nebst online-Zugriff prüfbar ist, hat in einem Archivsystem, wo es um langzeitig "eingefrorene Formate", Stabilität und Revisionssicherheit geht, nichts verloren. In historischen Archiven werden daher elektronsiche Signaturen abgeschnitten. Noch schlimmer ist, dass für bestimmte Objekte, wie gescannte Dokumente, das Signieren gefordert wird, und für E-Mails, Dokumente aus Anwendungen, selbst erstellte Dokumente aus Textverarbeitungen usw. diese Forderung nicht besteht. Wahrscheinlich liegt dies an der weltfremden Einschätzung, dass beim Scannen die Faksimiles am Einfachsten von den Scan-Kräften gefälscht werden können, was bei E-Mail-, Word-, Excel-, HTML- usw.-Dokumenten natürlich nicht der Fall ist. Vermutlich ist der wichtigste Grund, dass man so unzuverlässige ausländische Arbeitskräfte vom Scannen abhalten kann, da die Karte mit der qualifizierten elektronischen Signatur nur deutschen Staatsbürgern zugänglich (/Ironie aus). Noch schlimmer ist es beim Konzept des Nachsignierens nach TR-03125 und TR-03138 nebst all den vorrangegangenen schönen öffentlich geförderten Projekten, wo das Machbare entwickelt und erprobt wurde, bevor es denn in Gesetzen wie dem Sozialgesetzbuch oder im E-Government seine Verankerung fand. Die Idee der Erfordernis des "Nachsignierens" beschädigt die unbestrittene technische Sicherheit der QES selbst. Das  "Weich-werden", das "Schwach-werden"der qualifizierten elektronischen Signatur germanischer Prägung (dabei geht es nur um das Zertiffikat und nicht um die Signatur selbst) diskreditiert die Qualität der elektronischen Signatur generell! Mit akademischen Exempeln, die dann durch "Nachsignieren" die Dokumente wieder "beweiswerterhaltend" machen sollen, sind ein bei professioneller Aufbewahrung völlig unnötiger Kropf. Welche Klimmzüge da gemacht werden - man entsinne sich an die "Nürnberger Prozesse" von 2013 - erinnert mich manchmal an die Aktivitäten des "Ministry of Silly Walks" bei Monty Python. Aber durch Gesetze und Verordnungen wird den Menschen in Institutionen Angst gemacht, so dass sie sich dann den Weg des geringsten Widerstands suchend auf diese Lösungen einlassen. Aber noch einmal ganz grundsätzlich gesagt: in Gesetzen und Verordnungen dürfen keine bestimmten - und schon garnicht proprietäre - Technologien festgeschrieben werden. Gesetze und Verordnungen müssen auch bei technologischem Wandel über die Zeit Bestand haben und dürfen nicht bestimmte Systeme, Produkte oder Anbieter bevorzugen. Die Verfahren und die zu erreichende Qualität sind festzulegen. Dies gilt besonders dann, wenn versucht wird mit unzulässigen Festlegungen in Gesetzen Politik zu machen wie z.B. Festlegung auf Produkte, die nur von ganz wenigen Anbietern kommen, die nur von deutschen Staatsbürgern genutzt werden können, die die Verwaltungsmodernisierung behindern oder zweierlei Recht schaffen. Nach europäischen Maßstäben dürfte es solche nationalen Sonderlocken eigentlich garnicht mehr geben.
 
Es geht darum, Mut und Wege zu finden, diese deutschen Sonderlocken zu beseitigen und trotzdem die gewünschten Effekte wie Nachprüfbarkeit, Authentifizierbarkeit, Integrität etc. ohne technisches Verbiegen zu erreichen. Die Akzeptanz elektronischer Verfahren hat in Deutschland bereits zu sehr gelitten - nicht nur Signaturkarte sondern auch die Gesundheitskarte floppt, E-Government wird nicht genutzt sondern befindet sich eher auf dem Rückzug. Die Verfahren müssen einfach sein, Sinn machen und Nutzen bringen und sie dürfen uns nicht von der ITK-Entwicklung abkoppeln. Sonst führen uns diese deutschen Sonderlocken in stilles Seitenwasser oder gar in eine Sackgasse der globalisierten Gesellschaft, wo wir in Deutschland dann in Kürze abgehängt sind.
Ulrich Kampffmeyer
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Vom Kuchen etwas ab haben ...

nur ganz kurz scboon Mal zum Kuchen: gemeint war der ganz große und nicht der kleine der Cryptographie :-)

Erst die Handelnden dann die Gesetze

Lieber Herr Kampffmeyer,

ich stimme Ihnen vollkommen zu, dass die unsäglichen Gesetze geändert werden müssen. Aber wer soll das denn veranlassen, wenn diejenigen, die die Situation zu verantworten haben, noch im Amt und Würden sind? ich habe bisher immer gute Erfahrungen damit gemacht, dass man erst die Verantwortlichen aus der Verantwortung entlässt und dann mit neuen Köpfen das System ändert.

De-Mail & QualSig müssen weg!

Lieber Herr Hackenberg,
Sie haben einerseits natürlich Recht mit dem Hinweis, erst die "Verantwortlichen aus der Verantwortung zu entlassen" und dann die entsprechenden Regeln mit neuen Köpfen neu zu gestalten. Aber jetzt kommt das große "aber". Sind die Mitarbeiter im BSI wirklich die "Verantwortlichen" oder werden sie einfach nur "mißbraucht" durch Dritte, die mit Hilfe des BSI ihre Interessen durchsetzen? Dann stellt sich nämlich sofort die Folgefrage, kann man diese Gruppe der im Hintergrund Handelnden auch so einfach "entlassen" oder "entfernen"? Ich glaube eher, dass diese dann in der Politik, in den Gremien wie DIN, in den Institutionen wie BSI, in den Verbänden einfach mit den neuen Verantwortlichen weitermachen und diese wiederum beeinflussen, unterwandern, korrumpieren. Gerade wenn es neue Köpfe sind, ist die Beeinflussbarkeit häufig sehr groß. Letztlich stellt sich hier die immerwährende Frage, von wo ausgehend kann man ein System ändern. Denn manche Dinge wie die Offenheit der "sicheren De-Mail-Kommunikation" sind auch von ganz oben gewollt und dort kommt man schwerlich mit dem die "Verantwortlichen aus der Verantwortung entlassen" weiter. Da wir für die Abschaffung der QES und der De-Mail (und ... unnd ...) wohl kaum Millionen Menschen auf die Straße bekommen, verbleibt uns wahrscheinlich die Rolle des ewigen Mahners und des Nachträglich-Recht-gehabt-Habenden. 
Einen schönen Sonntag,
Ulrich Kampffmeyer
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Wer übernimmt denn die Verantwortung?

Lieber Herr Kampffmeyer,

wir wollen doch hier keine philosophischen Spielchen spielen, wer der wahre Treiber ist? Zum Korrumpieren gehören immer zwei! Und im Gesetz steht, wer die Verantwortung für ein Unternehmen oder eine Behörde zu übernehmen hat.
Wenn diejenigen, die in diese Positionen sitzen, Courage und Selbstachtung hätten, dann wäre eine Verlagerung der Verantwortung nach Außen nicht denkbar. Wenn jeder sich immer hinter einer Wolke von "Anderen" verstecken darf, legen wir den Sumpf nie trocken!

Wer hat die Verantwortung für QES, DE-Mail, Nachsignieren ... ?

Lieber Dr. Hackenberg,
es geht nicht um Spielerein, wenn wir die Frage diskutieren "Wer hat die Verantwortung für QES, DE-Mail, Nachsignieren ... ?" Sie warfen das BSI als Institution in die Diskussion - aber sitzen dort die Verantwortlichen? Hilft es, für das BSI personelle Veränderungen zu fordern? Nein, wir müssen dann doch wieder in die Politik und an die Regierenden - denn dort werden immer noch die Regeln gemacht, auf die sich das BSI mit seinen Richtlinien bezieht. Eher ist das BMI der Ort, von dem die Veränderungen ausgehen müssten. Aber wie gerade aktuelle Studien bescheinigen tut sich das BMI mit seinen Kohorten schwer beim Thema Sicherheit und E-Government: die Akzeptanz und die Nutzung sind im Keller. Und einen Teil der Verantwortung an dieser Resignation tragen auch die Promotoren von Signatur, De-Mail und den anderen Unsäglichkeiten nationaler Sonderlocken. Also, benennen wir doch einmal die Verantwortlichen konkret, lieber Dr. Hackenberg!
Einen schönen Sonntag noch,
Ulrich Kampffmeyer
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Wer ist schuld ?

naja, das BMJ ( Justizministerium ) ist mit dem Festhalten an der "Körperlichkeit" einer Unterschrift einer der größten Blocker zur Ablösung der QES für nationale gesetzliche Schriftform. Das hinter der QES steckende asymmetrische Verschlüsselungsverfahren ist gar nicht das Problem, sondern die völlig unnötige Zuordnung des Schlüsselpaares an eine natürliche Person.

Im damaligen Gespräch des CCES (Competence Center Elektronische Signaturen) im BMWI 2007 unter Hinzuschaltung des BMI per Videokonferenz wurde - nachdem sich Alle einig waren, dass man die QES nicht durchsetzen kann - uns der Ball wieder zugespielt, indem wir uns selbst an das BMJ zur Klärung der "Verkörperung einer Unterschrift" wenden sollten. Das nennt man klassisch ausgebremst :). Das uns eigentlich wohlwollende BMWI hatte sich dem BMI gebeugt. Da konnte man live erleben, was politischer Druck wirklich bedeutet.

Hinter vorgehaltener Hand wurde uns dann gesteckt, dass bestimmte Banken als Mitglieder des sogenannten Karten-Forums, früher Signaturbündnis, und Anbieter von kryptographischen Verfahren beim BMI interveniert hatten.

Wieso die Banken ? Ganz einfach : Mit Aufhebung der QES wäre die PIN weggefallen und damit die Haftung für das Signaturverfahren vom Benutzer auf die das Signatursystem vorhaltenden Unternehmen (die Banken) übergegangen. Die Hypo Vereinsbank in München hat mir das klar und unmissverständlich als nicht hinnehmbar gesagt.

Am wenigsten können die Urheber des Signaturgesetzes etwas für die Misere. Nicht nur einer der Autoren hat mir mit Wut in den Augen gesagt, dass diese Auswüchse von den Urhebern des Signaturgesetzes in keiner Weise gewollt waren.

Dass auch einige Anbieter von Archivsystem nicht ganz unschuldig an der Misere der Nachsignierung sind, ergibt sich aus deren vorschnellen Erklärungen, all die gesetzlichen Vorgaben erfüllen zu wollen oder bereits zu erfüllen, obwohl diese teilweise noch sehr im Unklaren lagen. So hatte man gehofft, in dem expandierenden DMS Markt sich einen Vorteil verschaffen zu können.

Die größte Chance wurde jedoch vertan, nachdem Jörg Lenz von SoftPro in einem Heise Interview gesagt hatte, das CCES wünsche eine Gesetzesänderung und Heise berichtete, der VOI wünsche das ... und wir wegen des damals sich völlig idiotisch verhaltenden VOI Vorstandes komplett zurückrudern mussten ... "diese Aussage sei nicht mit dem VOI Vorstand abgestimmt". Wir hatten das Thema in den Medien, es war heiß, Heise hatte uns richtig unterstützt und diese sogenannten "unabhängigen" Berater im VOI bestanden auf "Neutralität". Ich hätte weiter in Holland bleiben sollen und Musik machen sollen.

Weg mit DE-Mail und qeS!

Den Ausführungen ist nichts hinzuzufügen. Ich bleibe auch heute noch bei meinem zentralen Aussagen zu den beiden Themen. Es handelt sich sowohl bei der DE-Mail wie auch bei der qualifizierten elektronischen Signatur um Totgeburten. Gleichwohl versuchen BSI und DATEV dem toten Kind bis heute Leben einzuhauchen. Indes vergeblich. Während ich bei der qualifizierten elektronischen Signatur noch glaubte, dass das Projekt einfach gut gemeint war, aber irgendwie in allen Belangen überzogen und zu kompliziert war, handelt es sich bei DE-Mail um ein Desaster der gewollten Art. Es hätte auch funktionieren können, wenn nicht ausgerechnet die NSA ihren Laden nicht im Griff gehabt hätte und heraus kam, was alle Experten seit Jahren immer wieder beschworen haben: Sicherheit ist nicht gewollt, weil es die Ausspähung verhindern würde.

Was also bedeutet denn die Forderung, die DE-Mail und die qeS endlich vom Markt zu nehmen? Nichts anderes, als das BSI einer grundlegenden organisatorischen und personellen Restrukturierung zu unterwerfen. Es wird Zeit!

Die Gesetze müssen geändert werden

Lieber Herr Hackenbeg,
vielen Dank für Ihren Kommentar "Weg mit De-Mail und qeS!". Jedoch allein das BSI in die Pflicht zu nehmen ist zu kurz gesprungen. Die Gesetze, die von der Krypto-Lobby (manche sagen auch Crypto Mafia) beeinflusst wurden und die dazugehörigen Vorschriften und Richtlinien müssen geändert werden, bzw. ganz vom Tisch. Erst dann kann man bei den ausübenden Organen effektiv ansetzen. Solange qeS, Nachsignieren, De-Mail usw. ihren Halt in gesetzlichen Vorlagen finden, kann eine organistorische und personelle Restrukturierung des BSI nicht greifen.
Ulrich Kampffmeyer
 
P.S. Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

BSI - nicht als Opfer geeignet

Im Rahmen der politischen Definitionen von Sicherheit gibt sich das BSI immerhin Mühe, auf Basis der vorgegebenen Richtlinien diese in technische Machbarkeit umzusetzen. Es hängt also an den politischen Vorgaben.

Zwar aus anderen Gründen, kann ich daher Dr. Kampffmeyer nur Recht geben:

Es sind die politischen deutschen Kräfte, die aus Angst vor Sanktionen und auch aus Angst vor dem historischen Pranger - sollte man mal anderer Meinung sein als die ehemaligen Besatzungsmächte - den Schwanz einziehen und kuschen. Man hofft noch immer, mit Fügsamkeit einen Informationshappen zu ergattern, auch zum Preis der heute online gestohlenen Basistechnologien. Früher nannte man das Raub. Heute wird eben erpresst, um an die Private Keys heranzukommen.

Und dort, wo man an die Private Keys nicht herankommt ... ja da soll es sich eben um ein OFFENES System handeln, har, har ... Für wie blöde halten uns unsere Politiker eigentlich? Im Grunde gehört ein Großteil dieser Volksvertreter in den Knast, haben sie doch ihr Gewissen bereits am Fraktionszwang-Haken im Vorfeld abgegeben.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.

Weitere Informationen über Formatierungsoptionen

CAPTCHA
Diese Frage hat den Zweck zu testen, ob Sie ein menschlicher Benutzer sind und um automatisiertem Spam vorzubeugen.
Bild-CAPTCHA
Enter the characters shown in the image.