Die Zentralisierung unserer Kommunikation

Ich besitze unter anderem E-Mail-Adressen bei Web.de und bei meinem Internet-Provider und habe zudem noch einen eigenen Mail-Server laufen. Sicherlich geht es vielen von euch ähnlich. Laut Wikipedia wird E-Mail “ – noch vor dem Word Wide Web – als wichtigster und meistgenutzter Dienst des Internets angesehen“. E-Mail hat eine großartige Eigenschaft: Es ist egal bei welchem Anbieter ich bin und es ist auch egal welchen Anbieter der Empfänger meiner Mail nutzt. Egal ob großer Internet-Provider oder eigener Server: eine Kommunikation über E-Mail kann unabhängig davon stattfinden.

Welch eine Sensation, wird der ein oder andere sicher nun mit ironischem Unterton bemerken, während ich die scheinbar selbstverständlichen Vorzüge eines der ältesten Dienste des Internets anpreise.

Ich wünschte die Vorzüge währen so selbstverständlich, wie sie uns auf den ersten Blick erscheinen.

Während ich diese Zeilen schreibe, blinkt mein Instant-Messenger auf. Ein Freund von mir hat mich kontaktiert. Ich nutze Pidgin, da dieser Client mehrere IM-Dienste unter einem Dach vereint. Ich kann damit sowohl ICQ, MSN, Yahoo, Jabber und einiges mehr nutzen. Als die ersten sogenannten Multi-Protokoll-Clients auf den Markt kamen, wurde dies als Sensation gefeiert: „Wow, endlich kann ich mit allen meinen Freunden chatten, egal bei welchem Anbieter sie sind!“. An dieser Stelle wäre eine ironische Anmerkung dann tatsächlich angebracht, denn eine Sensation ist das nicht. Bestenfalls ein verkrüppelter Workarround für den Protokollsalat beim Instant-Messaging. Denn einen Account bei jedem einzelnen Anbieter benötige ich dazu weiterhin, eine Kommunikation zwischen meinem ICQ-Account und dem Yahoo-Account eines Bekannten bleibt weiterhin unmöglich.

Ich habe das Glück, das viele meiner Bekannten sehr netzaffin sind und Jabber nutzen. Auch der besagte Freund kontaktiert mich per Jabber. Seine Jabber-ID ist beim CCC gehostet, ich nutze meine Web.de-Adresse als Jabber-ID (Ja das geht!). Bei Jabber ist es wie bei E-Mail völlig egal, welchen Anbieter ich nutze, oder ob ich einen eigenen Jabber-Server betreibe. Ich kann mit allen anderen Jabber-Nutzern kommunizieren.

Trotzdem hat sich Jabber noch nicht durchgesetzt. Was bei E-Mail niemand akzeptieren würde, ist beim Instant-Messaging gang und gäbe. Man stelle sich vor, ich könnte mit meiner Web.de E-Mail-Addresse nur Web.de-Nutzer erreichen! Bei ICQ und Co. ist genau das traurige Realtiät!

„Aber wer nutzt denn schon ICQ?“, höre ich meine netzaffinen Bekannten geringschätzig schwadronieren. Dabei sind sie (und ich) anderswo keinen deut besser. Ich sage nur Facebook und Twitter.

Soziale Netzwerke sind zu Kommunikationszentralen geworden. Viele Jugendliche nutzen nicht einmal mehr E-Mail, sondern schicken sich nur noch Nachrichten über Facebook und Co. Selbst einige meiner Bekannten schicken mir eher eine Direktnachricht auf Twitter, als eine Mail zu schreiben. Wo das Problem ist? Das Problem liegt in der Zentralisierung. Genauer: Das Problem ist, das wir mehr und mehr bereit sind, unsere Kommunikation über zentrale Dienste abzuwickeln. Wir machen unsere Kommunikation somit abhängig von einzelnen, zentralen Anbietern. Dies bringt weitere Probleme und Gefahren mit sich, die tiefer gehen, als dass ich mit ICQ keinen MSN-Nutzer erreichen kann. Ich möchte, dass wir uns dieser Probleme bewusst werden und nach Lösungen suchen.

Mir ist klar, dass das Problembewusstsein bei vielen bereits vorhanden ist und auch schon an Lösungen gearbeitet wird. So gibt es mit status.net z.B. bereits eine Plattform für dezentrale Micro-Blogging-Dienste und mit Diaspora ist eine dezentrale Social-Networking-Plattform in Arbeit. Mir fehlt jedoch eine breite und grundsätzliche öffentliche Außeinandersetzung mit dem Thema. Während Überwachung und Zensur immer wieder auf der netzpolitischen Tagesordnung stehen, scheint mir das damit eng verbundene Thema (De)-Zentralisierung noch etwas vernachlässigt. Überwachung und Zensur wird aber durch zentrale Systeme erst möglich, oder zumindest extrem vereinfacht. Im Umkehrschluss: Die Dezentralisierung unserer Kommunikation hilft bei der Bekämpfung von Überwachung und Zensur.

In einem folgenden Blogpost werde ich näher auf die grundsätzlichen Probleme und Gefahren zentraler Dienste eingehen und mich anschließend den Vorzügen dezentraler Strukturen und dem Weg dorthin widmen.

Vertrauliche E-Mail-Kommunikation?

Die E-Mail ist im doppelten Sinne nicht vertraulich: Erstens ist es ungewiss ob der Kommunikationspartner tatsächlich derjenige ist der er vorgibt zu sein, zweitens sind E-Mails unverschlüsselt und können damit potentiell von Dritten mitgelesen werden.

Damit disqualifiziert sich die E-Mail grundsätzlich als rechtsverbindliches Kommunikationsmittel. Diesen Missstand will die Bundesregierung mit dem Projekt „Bürgerportale“ beseitigen. Der Dienst „DE-Mail“ soll E-Mail so „zuverlässig, sicher und vertraulich wie Papierpost“ machen.

Klingt doch richtig gut, oder? Leider bekomme ich seit der LKW-Maut und dem Desaster bei der Einführung der ALG II Software regelmäßig Bauchschmerzen, wenn der Bund ein größeres IT-Projekt angeht. Aber das ist nicht der einzige Grund für mich, die „DE-Mail“ genauer unter die Lupe zu nehmen.

Zunächt einmal drängt sich die Frage auf, warum denn nicht einfach PGP genutzt wird? Nicht nur mir, wie es scheint, denn das Informationsportal gibt bereits eine Antwort:

Die Technologien (z.B. bei Ende-zu-Ende-Verschlüsselung und/oder Signaturen) setzen vielfach voraus, dass der Nutzer selbst die entsprechenden Software-Komponenten installiert, zugehörige Zertifikate für seine Kommunikationspartner verwaltet und geeignet mit den privaten Schlüsseln umgeht. Hier haben die Erfahrungen der vergangenen Jahre gezeigt, dass eine flächendeckende Verbreitung solcher Lösungen nur sehr schwer zu erreichen ist. Bei De-Mail werden genau diese Aufgaben, für die der Nutzer bisher selbst verantwortlich war, von vertrauenswürdigen Anbietern durchgeführt.

PGP soll also deshalb nicht verwendet werden, weil der Nutzer mit der Installation der Software und der Verwaltung der Schlüssel überfordert sein könnte? Zugegeben: Verschlüsselung ist unter „Ottonormal-Benutzern“ nicht sonderlich weit verbreitet. Aber ist das Grund genug dem Nutzer die Verantwortung zu entziehen und stattdessen auf „vertrauenswürdige Anbieter“ zu setzen? Reden wir Klartext: Das bedeutet, dass der private(!) Schlüssel des Benutzers beim Anbieter liegen wird! Dieser kann also jederzeit auf die angeblich vertraulichen Dokumente zugreifen, genau wie anfragende Staatsorgane. Das bestätigt auch Dr. Heike Stach, Leiterin des Projekts Bürgerportale im Bundesinnenministerium, im Chat mit Politik-Digital (Hervorhebungen durch mich):

De-Mail unterliegt den gesetzlichen Rahmenbedingungen der elektronischen Kommunikation. Das heißt, das Mitlesen von Inhalten ist grundsätzlich nur nach entsprechender richterlicher Anordnung möglich, wie es auch bei Papierpost der Fall ist.

Zu gesetzlichen Rahmenbedingungen zählen Vorratsdatenspeicherung, Online-Durchsuchung und alles was sich Herr Schäuble in Zukunft sonst noch so ausdenkt. Der Schutz vor mitlesenden Staatsorganen ist genauso wenig gegeben wie bei herkömmlicher E-Mail.

Hinzu kommt das Missbrauchspotential durch den DE-Mail-Anbieter, der schließlich im Besitz des privaten Schlüssels ist. Über Schlüssel die in die Hände von Kriminellen gelangen und am Schwarzmarkt gehandelt werden möchte ich angesichts der Datenskandale der letzten Monate gar nicht erst nachdenken. Also: Wie werden neugierige Blicke von Mitarbeiter des DE-Mail-Anbieters verhindert? Heike Stach dazu:

Die Provider werden zertifiziert und müssen dabei nachweisen, dass der Zugriff auf die von ihnen verwendeten Schlüssel nur in berechtigten Fällen erfolgen kann.

Es werden also mal wieder Zertifikate verteilt. Das ist immer ein tolles Argument. Leider konnte ich bisher noch nicht in Erfahrung bringen, welche Anforderungen genau gestellt werden und wie diese dauerhaft sichergestellt werden. Das entscheidet letztendlich, wie vertrauenswürdig die Anbieter tatsächlich sind. Bemerkenswert finde ich auch hier wieder, den Zugriff „in berechtigten Fällen“.

Der Fairness halber muss ich aber noch betonen, dass Ende-zu-Ende Verschlüsselung natürlich weiterhin möglich ist. Im Informationsportal heißt es:

Reicht einem Nutzer diese dadurch erreichte Sicherheit nicht aus, so kann er die Nachrichten wie bisher verschlüsseln und/oder signieren. Welche Lösungen (z.B. S/MIME, OpenPGP, GnuPG) und welche Verschlüsselungs-Schlüssel er dafür benutzt, ist dem Nutzer freigestellt.

Allerdings ist kaum zu erwarten, dass Behörden zukünftig diese Verfahren unterstützen werden. Das ist schon heute kaum der Fall und wird sich mit Einführung der DE-Mail wohl kaum ändern. Als positive Außnahme sind mir bisher nur Datenschutzbehörden aufgefallen.

Ich finde es schade, dass hier schon wieder viel Geld in ein schon in den Ansätzen fragwürdiges Projekt gepumpt wird. Ich halte es für sinnvoller bestehende Maßnahmen wie PGP, GnuPG zu fördern und die Öffentlichkeit für die Themen Verschlüsseln und Signieren zu sensibilisieren, anstatt den Bürgern die Verantwortung in diesem Bereich abzunehmen. Ein demokratisches Informationszeitalter braucht mündige, selbstbewusste IT-Benutzer.

Ich möchte das Projekt aber nicht gleich totreden, sondern hoffe, dass es durch eine rechtzeitige öffentliche Debatte in vernünftige Bahnen gelenkt wird. Denn grundsätzlich ist eine vertrauliche, rechtsverbindliche Kommunikation zwischen Bürgern, Behörden und der Wirtschaft ein erstrebenswertes Ziel.