DSGVO und der Verschlüsselungswahn

Jetzt ist ja die DSGVO aktiv und schon ist der Rinderwahn wieder in Europa angekommen und schon verlieren etliche Richter und Anwälte den Kopf und den Sinn für Verhältnismässigkeit.

Erste Anzeichen gab es schon früher: Google hat zb. unverschlüsselt übertragene Webseiten im Ranking herabgestuft, im Ernstfall wird also eine verschlüsselte „HTTPS“-Seite mit Humbug weiter vorne gelistet als eine Seite mit wertvollen Informationen die aber nicht mehr gepflegt wird.

Krass wird es bei E-Mail, wo jetzt jede Bank völlig krank auf Weisung der Bafin Mails nur noch annimmt bzw. versendet, wenn der Mailtransport verschlüsselt stattfindet.

Gerade bei der Forderung nach E-Mail-Verschlüsselung auf dem Transportweg treffen bei Gesetzgeber, Richtern und Anwälten die drei grössten Feinde der Menschheit aufeinander: Stumpfsinn, Schwachsinn, Unsinn.

Dazu muss ich schnell erklären, wie das mit der E-Mail ist….

  • 1) anton@google.de sendet eine E-Mail an boris@gmx.de
  • 2) Das E-Mail Programm von Anton verbindet sich mit dem Mailserver von google.de (INET)
  • 3) Die Nachricht wird übertragen (INET)
  • 4) Die Mail wird auf dem Mailserver von google.de gespeichert („Store & Forward“ Betrieb)
  • 5) Der Mailserver von google.de verbindet sich mit dem Mailserver von gmx.de (INET)
  • 6) Die Nachricht wird übertragen und lokal gelöscht (INET)
  • 7) Die Mail wird auf dem Mailserver von gmx.de gespeichert
  • 8) Das E-Mail Programm von Boris verbindet sich mit dem Mailserver von gmx.de (INET)
  • 9) Die Nachricht wird übertragen und ggf. gelöscht (INET)
  •  

    Analogie aus dem täglichen Leben: es ist wie eine Postkarte die ebenfalls jeder zwischen dem Gelben Briefkasten und dem Briefkasten zuhause lesen kann: bei der Postbeförderung kann man mit hinreichend krimineller Energie die Gelbe Postbox aufschliessen, alle Briefe einsacken, in Ruhe zuhause studieren und dann wieder neu einwerfen. Der Kastenleerer kann die Postkarte ebenfalls lesen, die Mitarbeiter im Verteilzentrum auch und deren Robots und Kameras ebenfalls über den Zusteller der auch mal schauen kann, was da so geschrieben wird.

    Gut – bei der „Elektronischen Postkarte“ (also E-Mail) ist das schon etwas schwieriger bzw. erfordert kriminelle Energie denn die Daten werden in den Schaltschränken und Switches ja nicht breit verteilt sondern recht kanalisiert abgewickelt.
    Oder man ist ein Nachrichtendienst und lässt sich die Daten an grossen Internetknoten herausleiten.

    Was bringt nun die „Transportverschlüsselung“? Alle oben genannten Punkte wo „(INET)“ am Ende stehen haben können auf dem Transport verschlüsselt werden.

    Übersetzt auf die Analoge Postkarte: Der Gelbe Briefkasten nennt Dir eine Kombination (Public Key) die Du an einem Verschlüsselungssafe einstellen musst. In diesen Safe legst Du die Postkarte und wirfst den Safe in den Gelben Briefkasten. Der Briefkasten kann dann den Safe öffnen (Private Key) und legt die Postkarte ohne den Safe in den Sack (Punkt 4, Speicherung). Der Mitarbeiter der Gelben Post leert den Briefkasten mit den unverschlüsselten Nachrichten und kippt das im Verteilzentrum aus. Dort wird die Nachricht wieder in einen Safe mit Public/Private-Key Verfahren gesteckt und weitertransportiert bis der Postbote dann wieder einen Safe bei Dir im Briefkasten einwirft wo die Postkarte dann wieder entschlüsselt wird und auf Abholung wartet. Wer es ganz sicher haben möchte, lässt die Postkarte auf dem Weg vom Briefkasten zum Schreibtisch wiederum ver- und entschlüsseln.

    Gut, die ganze Ver- und Entschlüsselung macht Software und kostet nur etwas mehr Strom weil die CPU mehr werkeln muss.

    Ich habe das bei meinem eigenen Mailserver nun auch Implementieren müssen und bin nach kurzem Probebetrieb auf die Schnauze gefallen.

    Problem sind die sogenannten „Zertifikate“ welche Informationen liefern wie, mit welchen Public Keys, mit welchen Verfahren verschlüsselt werden soll und die auch einen digitalen Nachweis über die Identität desjenigen liefern sollen wo man gerade Kontakt aufgenommen hat.

    Das ist bei Webseiten recht wichtig (wer möchte schön sein Onlinebanking mit jemanden ausführen, der sich als „Chinatrust“ ausweist wo man eigentlich die Volksbank erwartet hat), bei E-Mail ist das (noch) kein Thema weil es da ja primär um die Transportverschlüsselung geht (Geheimdienste, böse Admins etc..) deren genaue Prüfung des Kommunikationspartners sich nur schwer automatisieren lässt.

    Um es kurz zu fassen: 25% der Kommunikationspartner nutzen Zertifikate die auf Verschlüsselungsmethoden basieren die schon seit 3-4 Jahren als „Potentiell Unsicher“ oder deren Gültigkeit abgelaufen sind oder einfach nur kaputt sind.

    Kommentar eines Kollegen, der das schon länger erduldet: „Ach, das ist eh alles Quatsch – erlaube alle Verschlüsselungen bis zur Steinzeit. Die Banken-Spezialisten werden glücklich sein und Du hast keinen Stress – eh scheissegal ob das gehackt werden kann“.

    Ein weiteres Problem und was die Verschlüsselung von E-Mails ins Absurde führt: Da eine Identitäsprüfung der einzelnen Mail-Server recht schwierig ist kann man einem Versender ganz prima einen eigenen Mailserver unterjubeln (Zb. dem Versender eine gefälschte DNS-Antwort reinzudrücken, die Chinesen können das mit ihrer „Great Firewall“ mittlerweile perfekt und auch für den ambitionierten Heim-Admin kein Problem).

    Das wäre in etwa der Postkarten-Fall dass ich mich vor ein beliebiges Firmengebäude stelle und dem Postboten sage „Ich bin der Empfangsbevollmächtigte für die Firma „Eier-Meier & Söhne“, bitte hier abgeben – und das funktioniert im realen wie auch im virtuellen Leben ganz ausgezeichnet.

    Was den verschlüsselten Transport von Webseiten angeht hatte ich heute den ersten Fall wo ich einfach nur gequält Schluchzen konnte: der Betreiber einer grösseren Infoseite für einen älteren Compiler hatte vermutlich wegen besserer Suchergebnisse in Google vor paar Jahren seine Webseite von „http:“ auf „https:“ (also mit Verschlüsselung) umgestellt und seitdem sich nicht mehr gekümmert.

    Der Internet Explorer (war gerade beim Kunden) vermeldete „Sollte der Fehler weiterhin auftreten, verwendet diese Website möglicherweise ein nicht unterstütztes Protokoll oder eine nicht unterstützte Verschlüsselungssammlung wie RC4 (Link zu den Details), die als unsicher angesehen werden.

    Und das Problem ist, dass veraltete und unsichere Verschlüsselungsalgorithmen irgendwann aus den Browsern herausfliegen, wäre die erste Webseite der Welt damals verschlüsselt gewesen könnte ich sie heute kaum noch aufrufen.

    Und jetzt nochmal zurück zum Thema DGSVO und die Herrschende Meinung: Wenn ich auf einer unverschlüsselten Webseite auf einem Kontaktformular irgendwelche Daten übermittele ist das verdammt noch mal meine Entscheidung wo dieses komische Datenschutzgesetz in meine eigene Grundfreiheit eingreift – den Betreiber dafür anzupissen ist völlig unnötig.

    Dieser Beitrag wurde unter Ausgewähltes, Schwachsinn veröffentlicht. Setze ein Lesezeichen auf den Permalink.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    *

    This site uses Akismet to reduce spam. Learn how your comment data is processed.