Hmmm… eigentlich wollte ich hier nicht nur über Sicherheitsthemen schreiben, aber wenn unsere politischen Netz-„Experten“ sich dermaßen schräg engagieren wie zum Thema „DE-Mail“ muß ich wohl wieder einmal.
Heise titelte gestern „Pilotprojekt zur Bürger-E-Post De-Mail gestartet“ und zitiert den Beauftragten für Informationstechnik der (noch-)Bundesregierung: „Die aktuellen Meldungen über Phishing-Attacken machten deutlich, dass hier Nachbesserungen dringend erforderlich seien.“
Technische Details zu diesem sogenannten sicheren System sind allerdings noch rar. Ich gebe zu: Eine intensive Recherche sieht anders aus, aber bisher habe ich nichts gefunden, was auf echte Innovation hindeutet. Den Kollegen bei Webkompetenz ging’s nicht besser, und ihren Kommentar-Schreibern auch nicht. Die Versprechen aus dem DE-Mail Flyer (PDF) sind jedenfalls vollmundig, und die Auskünfte unter http://www.de-mail.de mager.
Highlight (oder Lowlight?) ist für mich folgendes Statement:
Alle Daten und Nachrichten, die der Nutzer zur Übertragung oder Speicherung an einen De-Dienst übergibt, werden unmittelbar vom De-Mail-Anbieter verschlüsselt
Warum sehe ich das als „Lowlight“? – weil mir das Thema Passwortsicherheit schon länger vertraut ist, und gerade heute Spiegel Online schreibt: „Lasche Passwörter – So sichert man seine Web-Konten (nicht)„: Die sogenannten Phishing-Attacken der jüngeren Vergangenheit waren u.U. gar keine, sondern einfach nur Anwender, die ihre Passwörter schlecht gewählt hatten und dabei erwischt wurden!
Wenn die „Sicherheit“ bei DE-Mail erst auf dem Server anfängt – wie wollen sie sowas verhindern?
de-mail hat sicher mehrere Zielsetzungen.
Rechtssicherheit würde ich vor Übertragungssicherheit sehen.
Wie de-mail das auf Basis von SMTP leisten will, ist mir noch etwas unklar.
Ich gehe mit meinem Ansatz zu email2.0 da einen anderen Weg.
aber natürlich darf jeder seinen eigenen Weg gehen
pierre