De-Mail: BSI wählt unsichere Methode zum Verschicken von Passfotos
Das BSI testet in den nächsten drei Monaten die Versendung von biometrischen Passfotos direkt vom Fotografen an das jeweilige Amt. Dazu wird der unsichere E-Mai-Dienst De-Mail verwendet.
Das Bundesamt für Sicherheit und Informationstechnik (BSI) startet ein neues Pilotprojekt. In Göttingen und Köln sollen noch diesen Monat Fotografen biometrische Passbilder direkt an das jeweils zuständige Amt schicken können. Die Übertragung soll dabei verschlüsselt erfolgen. Diese Passfotos könnten für Ausweise, Reisepässe und Führerscheine genutzt werden. Das Projekt ist für einen Zeitraum von drei Monaten angesetzt. Ziel ist es die Praxistauglichkeit dieses Verfahrens zu testen. Noch können sich Fotografen aus Köln und Göttingen für das Projekt eintragen.
Linktipp – BSI versagt bei Umgang mit E-Mail-Botnet
Alternativ hat das BSI auch über einen zentralen Bilderserver nachgedacht, auf den die teilnehmenden Fotografen die Fotos hochladen und die Ämter sie nach Bedarf wieder herunterladen können. Nach Gesprächen mit Fachhändlern, den Kommunen, Dokumentenherstellern und Fotografen-Verbänden wählte das Bundesamt jedoch eine Methode via De-Mail.
Linktipp – Heartbleed-Bug: Diese Passwörter müsst ihr ändern
Die De-Mail ist ein unsicherer und kostenpflichtiger E-Mail-Dienst. Die E-Mails werden zwar verschlüsselt, jedoch auf dem De-Mail-Servern wieder entschlüsselt und auf Viren untersucht. Eine sichere Ende-zu-Ende-Verschlüsselung ist nicht gegeben.
Linktipp – De-Mail-Gesetz
Eine Erweiterung des Pilotprojekts sieht vor, dass in Zukunft auch Foto-Automaten über einen De-Mail-Gateway in das System eingebunden werden können. Die Betreiber der Automaten müssten die Verbindung zwischen dem Gerät und dem Gateway allerdings mit einer sogenannten Transport Layer Security (TLS), zum Beispiel SSL, verschlüsseln.
Kommentar
Die De-Mail ist unsicher. Die Privaten Schlüssel liegen nicht ausschließlich bei den Kunden. Außerdem werden E-Mails auf den De-Mail-Servern entschlüsselt und nach Aussagen der Betreiber auf Viren untersucht. Diverse Geheimdienste dürften genau diese Stelle ebenfalls nutzen, um an den Inhalt der E-Mails zu kommen. Als Reaktion auf diese offensichtliche Schwachstelle hat die Bundesregierung die De-Mail einfach per Gesetz für sicher erklärt.
Meiner Meinung nach ist das eine absolute Frechheit und grenzt an arglistige Täuschung. Wer sich bei De-Mail anmeldet hat muss für jede E-Mail einige Cent bezahlen. Der Mehrwert ist allerdings gleich Null. Eine sichere Verschlüsselung findet nicht statt und Ämter können amtliche Briefe via E-Mail zustellen. Das bedeutet, wer nicht rechtzeitig ins Postfach schaut, versäumt so eventuell wichtige Fristen.