Version 1.0, 16.01.2014 (unabhängig davon: die Textversion)
Ich, Hauke Laging, beabsichtige, in Kürze beim Bundestag eine Petition einzureichen. Um deren Erfolgsaussichten zu erhöhen, soll das vernünftig vorbereitet werden. Deshalb sammele ich vorab Hinweise bezüglich des Textes und auf bereitwillige Multiplikatoren.
Auch mehr als ein halbes Jahr nach Snowden hat die Politik in Deutschland nichts Brauchbares zustande gebracht. Es wird nur geredet (und das wenig gehaltvoll), aber nicht gehandelt. Und da – ganz überraschend (Was sagt das über die Politik?) – die Amerikaner nun auch noch die erbetenen Zusagen verweigern, erweist sich auch das monatelange Gerede als heiße Luft.
Die tollen Ideen der Volksvertreter beschränken sich darauf, die ihnen unterstellten Behörden "anzuweisen, das Problem irgendwie zu lösen". Auch wenn das BSI eine kompetente Einrichtung ist (wer würde das vom Verfassungsschutz behaupten?): An Wunder mag man in der Kirche glauben, im NSA-Kontext ist das – unangebracht.
Es gibt sicher eine Reihe von Gründen dafür, dass die Politik an dieser Front nichts auf die Reihe bekommt. Ein wichtiger dürfte die jeweilige individuelle Inkompetenz sein. Aus meiner Sicht ist es eine Schande, dass derart hochbezahlte Leute, der professionellen Vertretung der Bürger verpflichtet, es auch nach dieser größtmöglichen IT-Katastrophe nicht einmal nötig haben, ihre Kommunikation zu sichern, obwohl sie außer Kommunikation nicht viel machen. Wer sich selber so unelegant von der Lösung des Problems ausnimmt und lieber ein Teil davon bleibt, kommt natürlich nicht darauf, was wirklich passieren muss. Oder kommt darauf, traut sich aber aus offensichtlichen Gründen nicht, es zu äußern, denn das brächte angesichts der eigenen Untätigkeit das Risiko mit sich, von der Öffentlichkeit ausgelacht zu werden.
Die Einsicht hatte ihre Chance; jetzt muss man sie wohl zwingen. Angeblich kann man Abgeordnete zu nichts zwingen – solche Weisheiten bekommt man aus deren Umfeld zu hören. Das ist in der Realität natürlich Unsinn. Allerdings wird von den genauso peinlich agierenden Parteien dieser Zwang nicht ausgehen. Und wir können nicht noch zwei Legislaturperioden darauf warten, dass sich das ändert, weil dann auch der letzte Kreisvorsitzende eingesehen hat, dass leider auch er sich umstellen muss. Dieser Zwang muss von außen kommen. Das praktische daran: Genauso, wie der Abgeordnete kein Problem damit hat, ohne eigene Leistung eine Behörde zu verpflichten, hat der Bürger kein Problem damit, die Politik zu verpflichten, wenn er selber nichts weiter tun muss.
Die Lösung des Problems ist ganz einfach: Der Bundestagspräsident kündigt an, dass nach Ablauf einer angemessenen Umstellungsfrist die Zustellung unverschlüsselter E-Mails an Bundestagsadressen unterbunden wird, ebenso der Versand. Der Abgeordnete, der seinem Wahlkreis erklärt, warum er per E-Mail nicht mehr (unter seiner Dienstadresse) erreichbar ist und warum das nicht seine Schuld sondern die von sonstwem sein soll, muss wohl erst noch erfunden werden. Sinnvoll wäre eine Staffelung: Zuerst werden die Adressen der Fraktionen abgeschaltet, erst später die der Abgeordneten. Auch eine deutlich längere Frist für die Adressen der Wahlkreisbüros ist denkbar.
Das ist eine überzogene Maßnahme, weil es (in der heutigen Situation) gar nicht sinnvoll ist, alles zu verschlüsseln, aber die Handhabung von Ausnahmen würde die Angelegenheit zu kompliziert machen. Über die Schaffung eines Bewusstseins für die nötigen Maßnahmen bei den Abgeordneten hinaus hätte diese Maßnahme gewaltige Effekte, weil sich alle umstellen müssten, die per E-Mail mit Abgeordneten kommunizieren. Theoretisch könnten die Abgeordneten natürlich auf andere Adressen ausweichen (was nicht trivial wäre, weil sinnvollerweise der Zugriff auf Mailserver und Webmaildienste gleich mit geblockt wird), aber weil so ein Abgeordneter ja das Maß aller Dinge ist, wird er, nachdem er sich selber damit abmühen musste, natürlich nicht mehr akzeptieren, dass andere sich nicht abmühen. Damit erreicht man ein paar zehntausend Leute direkt, aber wenn Lobbyisten und Behördenvertreter sich das aneignen müssen, dann wird es natürlich nicht bei den einzelnen Nutzern bleiben, sondern dann breitet sich die Technik in der jeweiligen Organisation aus. Ein weiterer gewaltiger Effekt wird sich dadurch ergeben, dass die Presse, die in ähnlichem Ausmaß versagt wie die Politik (wegen eigener Untätigkeit und – wohl zum erheblichen Teil infolge dessen – der fehlenden Bloßstellung von Untätigkeit) sich dann natürlich auch im großen Stil umstellen müsste.
Mit der Unterbrechung der Verbindung wäre es nicht getan. Damit das eine sinnvolle Maßnahme wird, muss sie von weiteren flankiert werden:
Webzugang für die Bürger
Da man nicht auch von allen Bürgern verlangen kann, sich die Technik zuzulegen, muss alternativ ein Webmailzugang geschaffen werden, der natürlich nur über eine TLS-Verbindung erreichbar ist. Wenn man eine unverschlüsselte Mail an eine Bundestagsadresse schickt, bekäme man eine automatische Antwort, die auf das Webinterface verweist.
Entsprechende Webformulare gibt es sogar schon. Darüber kann man derzeit allerdings keine Dateien mitschicken. Wünschenswert ist, dass der Bürger die Möglichkeit hat, auch die Antwort elektronisch zu erhalten. Dafür würde er sich mit seiner E-Mail-Adresse beim Bundestags-Mailsystem registrieren, dort ein sicheres Passwort zugewiesen bekommen (das er nicht ändern kann, jedenfalls nicht in ein unsicheres), mit dem er die Antwort in diesem Webinterface lesen könnte. An seine E-Mail-Adresse würde ein Hinweis geschickt, dass er eine Antwort erhalten hat. Und da auch die Bürger erzogen werden müssen, könnte man sich nicht einfach an seine normale Adresse ein neues Passwort schicken lassen. Wenn jemand sich an den Bundestag wendet, kann man von ihm verlangen, dass er das Passwort nicht verliert. Man kann nicht das System für alle verschlechtern, nur weil einzelne sich nicht zusammenreißen können.
Zertifizierung
Der Bundestag zertifiziert mit den beiden gängigen Verfahren OpenPGP und X.509 die Schlüssel der Abgeordneten und verbreitet die Fingerprints seiner Root-Zertifikate über seine Papierdokumente. Die Abgeordneten sind gehalten, das ebenfalls zu tun (mit den Bundestagszertifikaten, nicht mit ihren eigenen). Das ist kein großer Schritt, denn der Bundestag hat bereits eine eigene CA.
fehlende Software
Der Bundestag finanziert die Entwicklung (und Auditierung) von freien Open-source-Programmen zur Nutzung von OpenPGP und S/MIME auf den verbreiteten Smartphone-Plattformen.
Schulungen
Selbstverständlich bietet der Bundestag Schulungen für die Abgeordneten und deren Mitarbeiter an.
Durch diese Umstellung würde wahrscheinlich auch ein Bewusstsein dafür entstehen, dass der Staat an anderer Stelle eingreifen muss:
Sicherheitshardware – eine gläserne Fabrik
Verlässlich sichere Kommunikation ist nur möglich, wenn man auch der Hardware vertrauen kann.
Abhängigkeit von Windows beseitigen
Der Staat als Nutzer von Windows-Anwendungen hat gute Möglichkeiten, das Problem zu reduzieren.
Version 1.0, 16.01.2014
Der Deutsche Bundestag möge den Bundestagspräsidenten auffordern, nach einer geeigneten Übergangszeit, spätestens aber zum 01.01.2015, die Zustellung von E-Mails, die nicht mit einem der beiden gängigen Systeme (OpenPGP und S/MIME) verschlüsselt sind, an Bundestagsadressen zu unterbinden, ebenso den Versand.
Begleitende Maßnahmen:
(a) Es soll ein bidirektionales, sicheres und freies Open-source-Webmailsystem für Externe (und Abgeordnete), die noch keine Verschlüsselungstechnik verwenden, eingeführt werden.
(b) Der Bundestag soll die Schlüssel der Abgeordneten (und sonstiger Nutzer seines E-Mail-Systems) in den beiden Systemen (OpenPGP und S/MIME) zertifizieren und die Fingerprints seiner Root-Zertifikate über seine Papierdokumente verbreiten.
(c) Der Bundestag soll eine freie Open-source-Software zur vollwertigen Nutzung dieser Verfahren für die gängigen Smartphone-Plattformen entwickeln und angemessen auditieren lassen.
(d) Der Bundestag soll für seine Mitarbeiter, die Abgeordneten und deren Mitarbeiter Schulungen zur Nutzung der beiden Systeme anbieten.
(e) Der Bundestag soll die Abgeordneten und deren Mitarbeiter in der Verwendung mehrerer Schlüssel für unterschiedliche Sicherheitsanforderungen unterstützen.
Durch Edward Snowdens Enthüllungen ist das für eine Demokratie unverzichtbare Vertrauen in die freie Kommunikation der Bürger in nie dagewesener Weise erschüttert worden. Auch Monate später ist keinerlei angemessene Reaktion der Politik erkennbar, nicht einmal Ansätze dafür. Wesentliche Gründe dafür dürften die fehlende Kryptografie-Sachkenntnis der Abgeordneten und Minister und die fehlende Nutzung entsprechender Technik sein, die nur durch Bequemlichkeit zu erklären ist. Das Vertrauen in die sichere Kommunikation mit den Abgeordneten und auch der Abgeordneten untereinander ist zwingender Bestandteil einer professionellen Vertretung der Interessen der Bürger. Man muss deshalb von den Abgeordneten verlangen, dass sie sich wenigstens das Minimum an Sachkenntnis aneignen, das für eine moderne Kommunikation erforderlich ist. Da dies leider nicht durch Einsicht geschieht, müssen sie technisch dazu gezwungen werden.