wenn ich sowas als signatur unter einer email bekomme:
… dann freue ich mich richtig, wenn das nicht funktioniert, wenn man draufklickt:
und das, obwohl alle vorraussetzungen gegeben sind… bis auf den “login”, welchen ich logischerweise nicht habe, wenn ich einfach nur die werbung anklicke, die in anderer leute signatur zu sehen ist 
einfach mal ein paar links und ein bischen zitiert:
Sicherheitsunternehmen kritisieren De-Mail
Mit dem neuen Gesetz werde “ein neues Mittel einfach neben die bestehende Lösung gesetzt, statt eine Initiative zur weiteren Verbreitung der qualifizierten elektronischen Signatur zu ergreifen.” [...] Kritik übt der Verein an einer Lücke im Gesetzentwurf. Sie ermögliche es, dass Behörden via De-Mail Bescheide und Verfügungen zustellten, die Bürger jedoch nicht per Antwort-Mail darauf Rechtsmittel einlegen könnten. Denn bislang sei nach Verwaltungsverfahrensgesetz und Verwaltungsgerichtsordnung eine qualifizierte elektronische Signatur dafür erforderlich. Es stelle sich für den Nutzer “die Frage, warum er De-Mail nutzen soll, wenn im Zweifel doch die qualifizierte elektronische Signatur erforderlich wird.”
Notare und Anwälte gemeinsam gegen De-Mail
VZBV zu DE-Mail: Nachteile für Verbraucher überwiegen deutlich:
Fazit:
Unter Hinweis auf das Signaturgesetz, nach Abwägung der verfahrensbedingten und wirtschaftlichen Vor- und Nachteile des Gesetzesvorhabens für die Verbraucher / Bürger und nach der Prüfung der einzelnen Regelungen im Referentenentwurf kommt der Verbraucherzentrale Bundesverband zu dem Schluss, dass die damit für den Verbraucher/ Bürger verbundenen Folgenwirkungen und Nachteile etwaige Vorteile deutlich überwiegen. Der Gesetzentwurf in der derzeitigen Fassung wird daher abgelehnt.
German Privacy Foundation: No De-Mail
daraus zitiere ich mal:
Rechtsverbindliche, digitale Unterschrift
Zum Nachweis der Authentizität einer Mail wird sie auf dem Server digital signiert. Die Verfügungsgewalt für diese digitale Unterschrift liegt nicht in den Händen des Absenders sondern beim Betreiber des Servers. Trotzdem wird diese Signatur par ordre di mufti einer rechtsverbindlichen, eigenhändigen Unterschrift des Absenders gleichgestellt.Vertrauliche Kommunikation
Schreibt der Absender eine verschlüsselte Nachricht, wird diese Nachricht auf dem Mailserver entschlüsselt und neu verschlüsselt an den Mailserver des Empfängers gesendet. Dort wird die Nachricht nochmals entschlüsselt und neu verschlüsselt dem Empfänger zugestellt. Eine sichere End-to-End-Verschlüsselung zwischen Absender und Empfänger ist nicht vorgesehen (oder nicht gewollt). Als Grund werden technische Notwendigkeiten genannt. (Abhörschnittstelle?)Sicher Datensafe
Das Projekt wirbt mit einem digitalen Safe, in welchem Nutzer Dokumente sicher ablegen können. Eine Entschlüsselung der Daten durch den Betreiber des Dienstes ist in der Spezifikation explizit vorgesehen. (Kein weiterer Kommentar.)Werbemüll
Das Versprechen eines Spam-freien Dienstes wird nicht aus besonderen Innovationen bei der Spam-Bekämpfung abgeleitet. Es ergibt sich aus der Tatsache, dass es sich um einen abgeschlossenen Dienst mit eindeutiger Identifizierung der Nutzer handelt. Illegale Spam-Versender können relativ schnell entlarvt werden. Wie nervend die legale Werbung sein wird, kann man schwer abschätzen. Der Adresshandel wird sich schnell auf De-Mail ausweiten.
und dann noch: Medienkompetenz trainieren (I): Wikipedia über De-Mail
news, die mich nicht wundern, diesmal vom deutschen anwaltsverein:
“Grundsätzlich sieht er gar keinen Bedarf für den Dienst. Wer rechtssichere Mail haben wolle, könne schon heute mit der vorhandenen Infrastruktur der elektronischen Signatur arbeiten. [...] Deshalb könne auch nicht davon ausgegangen werden, dass deutsche Behörden tatsächlich einen Bedarf für diesen Dienst hätten.”
…na wer haette das gedacht. weiterhin heisst es:
“Die anonyme Kommunikation im Internet ist ein wichtiger Grundwert, der Meinungs- und Informationsfreiheit sichert. Er darf über die Einrichtung von De-Mail-Diensten nicht eingeschränkt werden. Dies bedingt nicht nur die Möglichkeit für die Nutzer von Portalen, sich anonym im Internet bewegen zu können”
ich haette gehofft, sowas auch mal von journalisten zu hoeren, aber die sind ja auch nicht mehr das, was sie mal waren.
die anwaelte fordern eine weitere, wichtige regelung:
“Außerdem sollte die künftige Regelung einen Passus erhalten, nach dem weder eine staatliche Behörde noch ein Unternehmen mit Monopolcharakter (etwa ein Stromversorger) noch der Arbeitgeber eines Bürgers diesen über juristische Regelungen zwingen kann, sich ein De-Mail-Konto zu besorgen.”
dem kann ich nur zustimmen, damit nicht so ein kram passiert wie mit der elster software (in einem frueheren posting beschrieben)
leider sind die buerger dieses landes nicht so gut informiert oder schon total verbloedet, dass sie ueber einfach alles herfallen, was ihnen aufgetischt wird. heise schreibt: “epost-Betreiber befürchtet Massenansturm“. was mich echt an der geistigen gesundheit einiger zweifeln laesst. umsonst gibts nix und einen grossteil der angebotenen dienstleistungen gabs auch schon vorher (von diversen anderen anbietern). da hilft auch ein schlecht ausgefallener schnelltest der stiftung warentest nichts… die leute rennen der post die bude ein, so dass deren admins aus angst vor einem zusammenbruch des systems zu weicheiern mutieren und die anzahl der neuen user beschraenken. ich tippe eher auf eine nicht ausreichend dimensionierte implementierung mit nicht richtig durchgefuehrten lasttests. man kann ja vermuten, dass alles schnell und ueberstuerzt gehen musste um lange vor de-mail noch ein paar kunden abgreifen zu koennen. genauso vorschnell rausgeballert sehen auch die agb’s aus, ueber die sich ueberall lustig gemacht wird, weil kritik alleine einfach nur zu wenig ist.
journalisten, die wieder nicht richtig recherchieren koennen, wollen auch mal eine schlagzeile machen und berichten:
“Auf den Servern werden die Mails aus technischen Gründen kurz entschlüsselt und sofort wieder verschlüsselt”.
andere (wie z.b. kristian koehntopp oder ravenhorst) wissen:
“Das muß wohl auch so sein, jedenfalls wenn man Antivirus und Antispam implementieren will, insofern scheint die Lösung erst mal grob legitim zu sein, auch wenns komisch klingt. [...] Komisch klingen tut es aber noch aus einem anderen Grund: Die Vertraulichkeit ist im Kontext DE-Mail nicht primär relevant, denn DE-Mail war nie designed um sicher im Sinne von vertraulich zu sein [...]“
besser als die journalisten wissen leute wie die:
“Für den Kunden/Endnutzer sind auch andere, juristische und nur am Rande technische Überlegungen wichtig, aus denen man DE-Mail wahrscheinlich eher nicht nutzen will.”
fuer details dazu bitte ich den entsprechenden artikel zu lesen.
joerg olaf schaefers hat bei netzpolitik.org eine kleine zusammenfassung geschrieben, was es mit der e-post so auf sich hat. ich empfehle die lektuere des artikels, der mit den worten endet: “So, und das erklärt nun bitte mal jemanden, der sich nicht den ganzen Tag mit diesem Internetkram beschäftigt. Viel Spaß.”
auf der seite daten-speicherung.de ist im artikel “Boykottiert das gläserne De-Mail!” kurz zusammengefasst, warum von der nutzung von de-mail abzuraten ist. mein lieblingspunkt: “Eine Vorratsspeicherung der Verbindungsdaten jeder De-Mail (vgl. § 100 TKG) schließt der Gesetzentwurf nicht aus.“… ach ja…. was hab ich denn schon immer ueber de-mail geschrieben? die werden bestimmt eine “vorratsdatenspeicherung” einbauen, um einen “nachweisbaren und sicheren betrieb” zu gewaehrlisten. wartet mal ab. ich kann zwar auch nicht allen im artikel genannten punkten einvernehmlich zustimmen, aber ich wundere mich, wo die ganzen “befürworter” herkommen, die sich in den kommentaren dort verewigt haben. das erinnert mich stark an meinen persoenlichen blogtroll, der hier mal gewuetet hat. vielleicht gibts ein sonderkommando, dass alle blogs aufmischen soll um den kram ein bischen zu verharmlosen?
wenn man sich mal den schnelltest der e-post der stiftung warentest reinzieht, ist es besonders fraglich, ob die vorteile einer nutzung die risiken wieder gut macht. staat und post sparen massiv, was sie sicherlich nicht mit dem kunden teilen werden. und dafuer liegen meine sensiblen daten (wie “verschluesselt” auch immer) bei der telekom? oder united internet? sind die dann per definition “sicherer” geworden? ich erinnere mich an einige skandale, bei denen kundendaten oeffentlich wurden.
ich bin auch gespannt, wie die leute mit dem thema umgehen, fuer die nachrichten in “wer-kennt-wen” oder “facebook” das gleiche wie emails sind. die sammeln dann bestimmt auch jeden den sie kennen in ihrem de-mail-adressbuch. es koennten sich auch ganz neue anwendungsgebiete erschliessen, wenn man seine ganzen social network accounts im neuen, bunten outlook gleich noch mit dem de-mail account verbindet. dann fehlt uns noch “ne de-mail-app” fuer das gps-faehige handy. die verknuepfung der eindeutigen steuernummer kommt von ganz alleine nach dem ersten mailkontakt mit dem finanzamt. genauso wie nach der ersten de-mail an die krankenkasse mit ihrem e-gesundheitskartending. mal sehen, wie lange es dauert, bis einer unsere politiker eine solche “datei” fordert. “dann koennen wir endlich so effizient ermitteln, wie die beim CSI im fernsehen”.
so… genug paranoia und verschwoerungstheorie fuer heute….
mein blog ist nicht ernsthaft. ernsthafte diskussionen fuehre ich nur außerhalb “meiner welt”. das was bei mir zuhause am ende des dsl-anschlusses passiert, ist blablub und somit nicht relevant für den rest der menschheit.
so beschrieb ein troll mein blog.
ein troll, weil er:
- mir aussagen anhaengen wollte, die ich nicht getaetigt habe.
- mich beschimpft.
- mich (indirekt) als dumm bezeichnet.
- mit “nichtlesen” meines blogs “droht”. (hahaha)
- von blacklisting redet und nicht weiss, wie das funktioniert.
- doch wieder vorbeikommt und schaut, ob ich reagiert habe.
- keinen spass versteht.
- denkt, dass er fuer den rest der menschheit sprechen koennte.
- mit sicherheit meint, dass er keiner ist.
- keinen real name verwendet. (ok, kann man aus nachvollziehbaren gruenden drueber weg sehen)
- wahrscheinlich eine falsche mailadresse angegeben hat. (habe ich nicht verifiziert)
- an die decke geht, wenn er das hier liest.
wikipedia weiss dazu: [...] sehen manche Trolle sich selbst als Warnende, die auf gekonnt subtile bis provokante Art auf Missstände hinweisen und etwa ein Forum vor der Übermacht einer einseitigen Meinung bewahren.
es heisst ja immer so schoen: “don’t feed the troll”. das wollte ich hiermit nicht machen, was bestimmt nach hinten losgeht …aber hey – das ist mein blog. und wenn ich sinnloses und sinnvolles, “relevantes” und “nicht relevantes”, langweiliges und interessantes, trockenes und emotionelles von mir geben will – dann mache ich das einfach. ich bin auch bereit fuer diskussionen, solange diese vernuenftig ablaufen.
bei de-mail wird technik verwendet, die es schon seit jahren gibt und die auch jeder einfach so verwenden koennte.
“Verwendet der Absender einen Webbrowser, um seine Nachrichten zu erstellen, so wird der Nachrichten-Text über HTTP(S) (Hypertext Transfer Protocol via TLS) übertragen. [...] Im Falle eines E-Mail-Client wird die Nachricht mittels SMTP (Simple Mail Transfer Protocol) via TLS an den Provider gesendet. [...] Im Gegensatz zum Kommunikationskanal zwischen Nutzer und De-Mail-Provider sind die Protokolle und Datenformate zwischen zwei De-Mail-Providern genau spezifiziert, so dass alle Provider einheitlich (interoperabel) untereinander kommunizieren können. Zur Absicherung des Kommunikationskanals zwischen zwei De-Mail-Providern kommt SSL/TLS zum Einsatz. Über diesen sicheren Kommunikationskanal wird SMTP zum Übermitteln der Nachrichten und als Datenformat das Standard-E-Mail-Format (Internet Message Format) eingesetzt.”
oder kurz gefasst gemaess faq und newsletter: “De-Mails sind auf dem Transport verschlüsselt und können nicht von Dritten abgefangen und/oder verändert werden”
dazu etwas zum nachdenken: Kleine Hardware Appliance mit den Features “packet modification, injection and replay capabilities at Gb/sec throughput levels”
das mit seinen 812 teilnehmern in meinen augen alles andere als repraesentative pilotprojekt zu de-mail wird angeblich von den vier providern gmx, web.de, t-online und t-systems veranstaltet. die tatsache, dass t-online und t-systems irgendwie zusammen gehoeren, duerfte ja nicht schwer zu erkennen sein. gmx und web.de gehoeren beide zu united internet.. also quasi eins.
den webseiten sieht man an, dass sie keine grossen unterschiede aufweisen:
diese seiten unterscheiden sich im wesentlichen nur durch das verwendete stylesheet, impressum, ein bischen blabla-text und den common name des verwendeten zertifikates. das zusammen mit der tatsache, dass es vier aufeinanderfolgende ip-adressen bei t-systems sind, laesst fast vermuten, dass es sich um ein und den gleichen server handelt. ich vermute auch, dass diese fuer merkwuerdige projekte bekannte firma den kram zusammengeschraubt hat. die anderen mussten mir ihren namen dafuer herhalten. das trustcenter der telekom hat alle zertifikate dazu ausgestellt. wer findet denn den t-konzern nach all den peinlichen datenskadalen noch “trusted”?
wo ich doch gerade im letzten posting die hirntoten und ueberforderten eltern erwaehnt habe… stolpere ich just ueber diesen screenshot in meinem tmp ordner:
werbung ist halt sehr oft auch dazu da, uns sachen unter zu jubeln, die wir nicht brauchen.
bei so einem thema werden die postings halt immer etwas laenger….
in den letzten tagen ueberschlagen sich wieder die meldungen zu de-mail. bei heise z.b. war zu lesen:
“Die Stadt Friedrichshafen hat DE-Mail in drei Anwendungsszenarien erfolgreich installiert: So können Urkunden wie etwa Geburtsbescheinigungen oder auch die Aufenthaltsbestätigungen des Ausländeramtes elektronisch verschickt werden. Erleichtert werden auch Rundschreiben, die nach dem Waffenrecht an alle Waffenbesitzer verschickt werden müssen.”
wow… da haben sie sich ja die repraesentativsten beispiele ausgesucht. geburtsbescheinigungen braucht staendig jeder, newsletter oder richtlinien fuer waffenbesitzer…naja… ueber den typus waffenbesitzer will ich mich jetzt nicht auslassen und zu den aufenthaltsbestaetigungen komme ich noch. leider fehlen angaben ueber die anzahl der “pilotuser”. ich gehe davon aus, dass die teilnahme freiwillig war. wenn sich also jemand so wenig gedanken um seine daten macht und so schmerzfrei ist, bei dieser aktion mitzumachen, ist es auch nicht verwunderlich, dass es zu solchen aussagen kommt: “Danach wollen 89 Prozent der DE-Mail-Tester den Dienst weiter nutzen“. den auslaendischen nutzern (in projektarbeit bei dieser ortsansaessigen firma) wurde mit sicherheit verkauft, dass sie das online mit diesem dienst machen muessen. mag sein, dass sie auch vorteile darin sehen wenn man bedenkt, dass sie bei elektronischen dokumenten und asynchroner kommunikation eine einfache moeglichkeit haben, tools zur uebersetzung zu nutzen. sonst treffen sie im amt oft auf beamte ohne fremdsprachenkenntnisse, die meinen besser verstanden zu werden, wenn sie in unvollstaendigen saetzen und mit gehobener stimme reden. dolmetscher gibts da sicherlich auch nur in superspezialsonderfaellen. wie aber sollen diese leute in zukunft den neuen elektronischen personalausweis nutzen koennen, um sich bei de-mail zu authentifizieren? (ja klar wird das so kommen)? kriegt jeder bei der einreise einen deutschen pass? (und muss seine fingerabdruecke abgeben?) oder ist de-mail in dem fall lediglich ein normales webmail konto mit benutzername und passwort?
lustig auch die (angeblich nur voruebergehende) mehrarbeit und schaffung vielfaeltiger, neuer fehlerquellen:
“Allerdings muss der Widerspruch gegen eine Aufenthaltsgenehmigung schriftlich eingereicht, die hochmoderne DE-Mail mit dem Bescheid also ausgedruckt werden. Der Sachbearbeiter muss dann den Widerspruch einscannen und dem Mailwechsel zuordnen, damit er prüfen kann, ob der Widerspruch fristgerecht erfolgte. Die Eingangsbestätigung kann er zwar als DE-Mail schicken, doch wenn ein Rechtsanwalt hinzugezogen wird, muss dieser eine ordentliche Papierakte bekommen”
die verantwortung fuer diese fehlerquellen soll spaeter outgesourced werden: “Anders herum soll es einen Scan-Dienst geben, der eingehende Papierbriefe digitalisiert und in die [...] Inbox befördert.“. glauben die ernsthaft, dass ich irgendeinem dienstleister in einem billiglohnland meine wichtigsten dokumente oder gar die ganze post ueberlasse? wie stehts mit irgendwelchen fristen auf die man reagieren muss, wenn das scannen und zuordnen laenger als ein zustellen per einschreiben dauert?
ein beispiel zu den angeblich repraesentativen nutzerzahlen in der pilotphase: “Von positiven Erfahrungen berichtet auch Detlef Frank vom Versicherer HUK24 Online. Dort haben 50 Kunden De-Mail im Einsatz und können Schadensmeldungen oder Vertragsänderungen elektronisch verschicken.”
wenn ich ueberlege, wieviel schadensmeldungen und vertragsaenderungen ich so in meinem ganzen leben hatte, mag ich bezweifeln, dass ueberhaupt jeder der 50 tester mindestens eine email bekommen hat (abgesehen von “willkommen-mails” und newslettern).
die ganze sache mit den umfragen, wieviele das nutzen wollen ist ganz einfach. die verstrahlten testnutzer haben sich freiwillig gemeldet. wie sollen denn die gegner von de-mail ihre meinung in diese statistik einfliessen lassen? sich freiwillig melden um dann nachher in der umfrage ein “nein” abzugeben? voellig banane…
rein zufaellig bietet die post jetzt den “Brief im Internet” an und wirbt u.a. mit “E-Poststelle – Lösung für die öffentliche Verwaltung”. gehen wir mal stark davon aus, dass damit de-mail und keine gegeninitiative oder alternative gemeint ist, so laesst der staat die post die grosse werbetrommel dafuer ruehren und der schon lange negativ angehauchte begriff “de-mail” wird dabei nicht mal erwaehnt. (ab damit ins neusprech lexikon) unter dem deckmantel der “guten alten post” soll den buergern also was untergeschoben werden. auf der webseite der post ist der begriff nicht einmal zu finden. aktuell laeuft der zugehoerige fernsehspot, der so laecherlich ist, dass es schon peinlich ist. ich erinnere mich an einen ungefaehren wortlaut: “…besser verschluesselt als bisherige emails” und so ein dummes gelaber. ich kann mich nicht mehr genau daran erinnern, da bei mir sofort nach der assoziation im kopf alle alarmsignale angingen. keines der in der werbung angebrachten features ist neu. emails zuverlaessig verschluesseln kann man schon sehr lange, und dienste zum ausdrucken von mails und eintueten zur post gibts auch seit ein paar jahren. viele details des gefaehrlichen technischen schnickschnacks wuerde die verbloedete fernsehnation auch nur abschrecken.
tja… und dann die kosten: “Laut Bericht soll eine verbindliche Mail bei der Post dann 20 Cent kosten.“. toll fuer den staat, dass er 8 milliarden euros einsparen kann. das und noch mehr bezahlen die buerger dann direkt. glaubt aber doch niemand, dass es jetzt irgendwo steuernachlaesse von 8 milliarden euros gaebe, oder? (ausser vielleicht fuer irgendwelche lobbyisten der fdp)
wann wachen die buerger auf? kurz nachdem die vorratsdatenspeicherung der verbindungsdaten fuer verfassungswidrig erklaert wurde, faengt eine schleichende einfuehrung einer quasi-zentralen speicherung aller wichtigen dokumente an. man erinnere sich an die software elster-formular… erst war die nutzung freiwillig und irgendwann zumindest fuer die umsatzsteuervoranmeldung zwingend notwendig und nur mit genehmigter ausnahme noch in papierform abwickelbar. toll fuer den staat, wenn die leute de-mail gleich noch fuer ihre privatmails mitbenutzen. und wegen der verbindungsdaten muessen sie auch niemanden mehr fragen, denn es muss ja nachweisbar sein, dass eine email beim empfaenger angekommen ist.
RTL beschreibt, wie man gegen boese hacker ankommt:
“Raute #, Sternchen *, Backslash \ oder das Prozentzeichen %, all das verwirrt Hacker.”
genau… weil hacker naemlich alle passwoerter zum probieren per hand eingeben. und da vergessen sie halt gerne mal die sonderzeichen. sind ja auch nur menschen
sonderzeichen bitte verwenden, auch wenns die hacker nicht verwirrt. hoechstens die zeit ein passwort zu knacken wird vergroessert.
und dann kommt der klopper… DER schlechte tipp schlechthin:
“Es ist in Ordnung, wenn Sie nur ein Passwort für verschiedenen Zugänge haben. Wenn Sie mehrere Passwörter haben, legen Sie diese an einem sicheren Ort ab, beispielsweise in Ihrem Mail-Account, denn der ist ja ebenfalls passwortgeschützt. Alternativ können Sie auch händisch eine Liste anlegen, die aber niemals ‘Passwortliste’ heißen sollte. Tarnen Sie sie lieber als ‘Einkaufsliste’ und führen Sie auf der Liste Sachen auf, die Sie im Supermarkt kaufen.”
ihr lieben leute… macht das bloss nicht!
nur ein satz des artikels gefaellt: “Seien Sie ruhig mal kryptisch.”
da schaut her: https://www.e-konsultation.de
mein bisheriger favorit: “Die für die Entschlüsselung notwendigen privaten Schlüssel liegen beim De-Mail-Provider der Empfänger.”…. und das hat auch einen grund, denn: “Die Technologien (z.B. bei Ende-zu-Ende-Verschlüsselung und/oder Signaturen) setzen vielfach voraus, dass der Nutzer selbst die entsprechenden Software-Komponenten installiert, zugehörige Zertifikate für seine Kommunikationspartner verwaltet und geeignet mit den privaten Schlüsseln umgeht. Hier haben die Erfahrungen der vergangenen Jahre gezeigt, dass eine flächendeckende Verbreitung solcher Lösungen nur sehr schwer zu erreichen ist.”
aha… das muss aber auch niemand mehr lernen. vollkommen ueberfluessig, denn: “Bei De-Mail werden genau diese Aufgaben, für die der Nutzer bisher selbst verantwortlich war, von vertrauenswürdigen Anbietern durchgeführt. [...] Damit kann der Nutzer einen Standard-E-Mail-Client oder einen Webbrowser für eine sichere Kommunikation verwenden.”
ich bin gerade zu muede, um wenigstens mal mit dem kopf zu schuetteln. ich bin gespannt, wieviel positive meinungen uns auf der webseite erwarten werden…
