Entschlüsselung ist keine Entschlüsselung

Die Bundesregierung möchte sehr gern ihren De-Mail-Dienst als Standard durchdrücken. An der angeblichen Sicherheit des Systems gibt es schon länger Zweifel. Im Vordergrund steht, dass die De-Mail-Anbieter jede Mail bei der Durchleitung auf ihren Systemen entschlüsseln wollen. Angeblich, um nach Schadsoftware zu suchen. Nun soll diese offenkundige Sicherheitslücke nicht beseitigt, sondern durch einen gesetzgeberischen Trick geschönt werden.

Die zwischenzeitliche Entschlüsselung auf den De-Mail-Servern soll erforderlich sein, damit keine infizierten De-Mails zugestellt werden. So die offizielle Begründung. Dabei könnte es ja auch ausreichen, wenn die De-Mail-Kunden auf ihren eigenen Rechnern entsprechende Software einsetzen, um erhaltene Mails selbst zu prüfen. Was ja schon heute nichts Besonderes ist. Antivirensoftware gibt es genug. Bei deren Einsatz wäre es jedenfalls nicht nötig, dass auf den De-Mail-Rechnern jede (!) Mail entschlüsselt, geprüft und wieder verschlüsselt wird.

Faktisch bedeutet das für jeden De-Mail-Kunden, dass er bei jeder seiner De-Mails auf die Integrität des Systems und seiner Betreiber vertrauen muss. Dritten mit Zugang zum De-Mail-System ist es nach den bisherigen Planungen jedenfalls möglich, Mails nach der kurzzeitigen Entschlüsselung zu lesen und sogar zu ändern. Letzteres wiegt bei De-Mail besonders schwer, weil die Korrespondenz ja als sicher und rechtsverbindlich gelten soll. Der Absender muss sich juristisch später das zurechnen lassen, was als Inhalt auf dem Server des Empfängers ankommt.

Statt den Bedenken Rechnung zu tragen, will die Bundesregierung laut Spiegel online De-Mail einfach per Gesetz für sicher erklären. Laut dem Bericht soll folgender Passus ins Gesetz eingefügt und damit die schon für sensible Behördendaten geltende Verschlüsselungspflicht aufgehoben werden:

Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3.

Das bedeutet nichts anderes, als dass für das staateigene System schlichtweg eine Ausnahme gemacht wird. Passend dazu werden dann sicher auch andere Vorschriften geändert. Tenor: Wir definieren selbst, was sicher ist. Und was nicht passt, wird passend gemacht.

Das wäre ja alles noch zu ertragen, wenn die Benutzung von De-Mail nur für den Staat verpflichtend wäre. Aber auch die Bürger sollen ja auf diesem “sicheren” Weg kommunizieren. Ob allerdings ausreichend Vertrauen durch hanebüchene Definitionen geschaffen wird, bezweifle ich.