So sagt man und so hörte ich es vor kurzem, und zwar im Ausschuss für Bürgerbeteiligung und Netzpolitik des Stadtparlaments. Dieser Aussage möchte ich widersprechen und einen Weg vorschlagen, der zu diesem Ziel führt, aber einfach zu gehen ist.
In der Stadtpolitik gibt es das Stadtparlament, in das durch eine Wahl, zuletzt 2016, insgesamt 81 Bürger entsandt wurden. Da nicht jede Frage im Parlament diskutiert und entschieden werden kann, werden Ausschüsse gebildet. Einer dieser Ausschüsse beschäftigt sich mit den Fragen Bürgerbeteiligung und Netzpolitik. Die letzte Sitzung dieses Ausschusses fand am 22. Oktober 2019 statt. In dieser Sitzung wurde ein Antrag diskutiert, aus dem ich zitieren möchte:
Digitale Überstellung der Magistratsunterlagen und Sitzungsvorlagen
Zurzeit erhalten die Stadtverordneten wöchentlich mindestens die nichtöffentlichen Unterlagen per Bote zugestellt, dafür fährt der Bote einmal die Woche quer durch Wiesbaden. Durch eine digitale Überstellung aber können wir CO2 und kostbare Ressourcen wie Wasser beispielsweise, einsparen, die bei der Herstellung von Papier benötigt werden.
Die öffentlichen Sitzungsunterlagen sollten ohnehin nur noch digital und nur in Ausnahmefällen in Papierform überstellt werden. Dieses Vorgehen sollte dann auch auf die nichtöffentlichen Unterlagen für Stadtverordnetenversammlung und Magistrat ausgeweitet werden.
Eindeutige Identifizierungsverfahren wie verschlüsselte E-Mails, digitaler Personalausweis oder mit durch Passwort geschützte Bereiche gibt es bereits. Auch eine Lösung mit eigenen Tablets ist denkbar.
Quelle: Antrag 19-F-20-0020
Die Unterlagen werden z.T. per Mail an die Stadtverordneten versandt, ansonsten gedruckt ausgeliefert. Laut Antrag sollten künftig alle Unterlagen per Mail versandt werden.
In der Diskussion dieses Antrags wurde im Ausschuss das Argument vorgebracht, daß verschlüsselte Mails für viele Stadtverordnete zu aufwändig seien. Allerdings sei die Lieferung der gedruckten Unterlagen über Boten auch nicht unproblematisch, da diese Unterlagen teilweise einfach in den Briefkasten gesteckt oder vor die Haustür gelegt werden, wo sie entwendet werden können. Auch die Entsorgung der Papiere über eine übliche Papiertonne ist nicht im Sinne der Vertraulichkeit oder der Geheimhaltung.
Schreiben und Empfangen verschlüsselter Mails
Ich widerspreche obiger Aussage. Es ist nicht aufwändig, Mails zu verschlüsseln und danach zu versenden bzw. verschlüsselte Mails zu empfangen und für den korrekten Empfänger auch lesbar zu machen. In einem früheren Text hatte ich dies schon einmal beschrieben. Dazu hatte ich die Bedienung des Mailprogramms beim Erstellen einer Mail als auch beim Empfang einer Mail dargestellt, jeweils für eine verschlüsselte und eine unverschlüsselte Mail. In beiden Fällen habe ich die einzelnen Schritte nebeneinander abgebildet, um die Unterschiede in der Bedienung herauszuarbeiten. Sie finden diesen Text hier: hQEMA5FkqPE4rOofAQf9Ek0j/4zaCtlFhAHHvDPyPGipKIvCkVmDFgHE01AXhaSF.Bitte schauen Sie sich diese Zusammenstellung erneut an. Sehen Sie in meiner Darstellung einen Unterschied bei der Erstellung einer Mail? Oder beim Empfang einer Mail? Ich sehe dort keinen Unterschied zwischen verschlüsselter und unverschlüsselter Mail. Für die Verschlüsselung der Mail wird keine Taste zusätzlich gedrückt und auch kein Button zusätzlich angeklickt, entsprechend gilt dies auch für die Entschlüsselung der Mail. Die Bedienung ist identisch, zumindest ist das so auf meinem PC. Bei anderen Betriebssystemen oder einem anderen Mailprogramm kann dies anders sein, dürfte aber nicht allzu weit von meiner Darstellung abweichen.
In der Vergangenheit habe ich in einem Projekt verschlüsselte Mails mit einer Person ausgetauscht, ohne diesen Vorgang der Ver- bzw. Entschlüsselung zu bemerken, d.h. die Mails wurden ver- bzw. entschlüsselt, ohne daß mir dies auffiel. Und somit halte ich die Verschlüsselung von Mails nicht für aufwändig, sondern für zumutbar, in der Bedienung eines Mailprogramms ist dies ganz einfach.
Ich will aber jetzt nicht die Forderung nach Verschlüsselung aller Mails aufstellen, obwohl ich diese Forderung für vernünftig und notwendig halte. Ich beziehe mich auf den Antrag im Ausschuss und will einen Weg aufzeigen, der in Richtung Verschlüsselung der Mails geht, aber einfach umzusetzen ist.
Digitale Signatur
Wenn ich Ihnen eine Mail schicke, dann erhalten Sie den Text meiner Mail plus einen Anhang, eine Datei mit Namen signature.asc. Diese Datei hat möglicherweise folgenden Inhalt:Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
iQEzBAEBCAAdFiEEsaohL+LGwOEubvH8u0ak6IBR2OgFAl21YDQACgkQu0ak6IBR
2OjYJwf/XdM7WFEztqZHhmHqmAtySwxFnWCjETaKb9TUdNyEhVzCAIDHvzNezyey
TyfkLgAyD0GwqEJ9dDAnKEF1Qz6JUi9jWqxbB9x2Q4S46gxdM+AcRwuDQLo6CErF
DX9cB8fhtXwC38c7mxcWGAzWpvG1u8Wr6UXUzIgKg6/z5lSti5BOfzEcBsTtoZz5
yi1V8LgMJAe0FVSlI/q+jdQDWe435xdYqhlS/ZSluMgOQCXWdA1KWI55Ux9nCcDN
T4TJhzE45jCGWKzj2m++mvI2RiywXG3ozx2kFf6LMZnl0MNKCmambaVSmZ803pb/
GArM8m8ZPd78LUCyXXam1WyoruZFfA==
=IakL
-----END PGP SIGNATURE-----
Quelle: Digitale Signatur einer von mir versandten Mail
Diese kryptischen Zahlen und Buchstaben stellen eine Digitale Signatur dar. Mit diesem Buchstaben-/Zahlensalat kann man zwei Fragen beantworten, sofern das Mailprogramm entsprechend eingerichtet ist:
- Stammt diese Mail wirklich von mir (d.h. vom angegebenen Absender)?
- Wurde der Inhalt dieser Mail auf dem Transportweg verändert? D.h. habe ich diese Mail in dieser Form geschrieben?
Die Einführung einer solchen digitalen Signatur ist der erste Weg zur Verschlüsselung der Mails. Und eine solche digitale Signatur wird ohne eigenen Eingriff erzeugt und an die Mail angehängt. Insbesondere kann man eigenständig sein Mailprogramm so einrichten, daß es für ausgehende Mails eine solche digitale Signatur erzeugt und zusammen mit der Mail verschickt. Es müssen nicht alle Beteiligte am Mailverkehr ihre Mailprogramme entsprechend aufrüsten.
Hintergrund
Verschlüsselung und Entschlüsselung beruhen auf mathematischen Theorien. Keine Angst, ich werde Sie hier nicht mit Mathematik belästigen, aber ein wenig möchte ich doch dazu schreiben.Die modernen Verfahren beruhen auf 2 Schlüsseln, einem Schlüsselpaar. Ein Teil des Paares wird als privater Schlüssel bezeichnet, der andere Teil als öffentlicher Schlüssel. Den privaten Schlüssel müssen Sie unbedingt sicher verwahren, Sie dürfen diesen Schlüssel auf keinen Fall aus der Hand geben. Den öffentlichen Schlüssel geben Sie bitte großzügig weiter.
Für die Erstellung eines solchen Paares gibt es etliche Programme, sowohl für Windows als auch Apple und natürlich auch für Linux. Weiterführende Erläuterungen zu diesem Thema finden Sie u.a. hier: Einfach erklärt: E-Mail-Verschlüsselung mit PGP.
Noch einmal, zum mitschreiben: der private Schlüssel muß geheim bleiben.
Schritte
Meine Argumentation geht in Richtung Verschlüsselung aller Mails. Aber ich will diesen Weg in Teilschritte unterteilen und diese nachfolgend darstellen. Meine Forderung an die Stadtpolitik lautet dann: Geht den ersten Schritt. Ich beziehe mich auf obigen Antrag und stelle somit die Forderung: Alle vom Büro des Stadtparlaments ausgehenden Mails werden von nun an mit einer digitalen Signatur versehen.Aber zu den einzelnen Schritten, die ich nur verkürzt darstellen möchte.
Schritt 1
Zu Beginn erstellt man das Schlüsselpaar und richtet das Mailprogramm entsprechend ein. Optional kann man den öffentlichen Schlüssel frei verteilen, z.B. über einen Keyserver.Bei der nächsten Mail aus dem Büro des Stadtparlaments an die Stadtverordneten wird das Mailprogramm die entsprechende Digitale Signatur für diese Mail erzeugen und zusammen mit dem Mailtext versenden. Der Empfänger bemerkt dies vermutlich nicht, d.h. er sieht keinen Unterschied zu einer Mail ohne Signatur.
Alle folgenden Schritten sind vorerst optional.
Schritt 2
Manche Mailprogramme zeigen an, daß an diese Mail eine entsprechende Signatur angehängt ist. Dieser Hinweis könnte so aussehen:Diese Sicherheitsprüfung durch das Mailprogramm kann man aktivieren. Dazu lädt man (= Empfänger der Mail) den öffentlichen Schlüssel des Absenders (folgt man meiner Forderung wäre dies der öffentliche Schlüssel des Büros des Stadtparlaments) in sein Mailprogramm. Damit kann das Mailprogramm die entsprechenden Prüfungen vornehmen und das Mailprogramm zeigt dies so oder so ähnlich an (Beispiel aus meinem früheren Text):
Sie sehen die Hinweise auf die Korrektheit der Signatur. Ausserdem zeigt das Bild an, daß diese Mail verschlüsselt übertragen wurde.
Schritt 3
In diesem Schritt kommt die Verschlüsselung ins Spiel: Jeder Teilnehmer am Mailverkehr erzeugt sich sein eigenes Schlüsselpaar, richtet sein Mailprogramm entsprechend ein (privater Schlüssel) und gibt seinen öffentlichen Schlüssel weiter.Schritt 4
Sobald ich den öffentlichen Schlüssel eines Partners habe und diesen Schlüssel meinem PC mitgeteilt habe, wird mein Mailprogramm die Mails an diesen Partner verschlüsselt versenden.Dies können natürlich alle Bürger machen, dies ist nicht auf die Stadtpolitik beschränkt.
Forderung an die Stadtpolitik
Meine Forderung in Richtung Stadtpolitik lautet: Mails der Stadt Wiesbaden erhalten eine digitale Signatur. Man beginnt mit den Mails des Büros des Stadtparlaments an die Stadtverordneten, sammelt auf diesem Wege Erfahrungen mit der digitalen Signatur (und weitet diese Aktion in einigen Monaten auf alle Mails der Stadt Wiesbaden aus).SPAM
Ich will einen weiteren Grund angeben, warum die Stadt Wiesbaden eine digitale Signatur an jede Mail anhängen muß.Sie haben sicherlich schon einmal eine SPAM-Mail erhalten. Darin wird für irgendein Wundermittel geworben, sei es Potenzmittel oder Reichtum oder ...
Früher waren solche Mails leicht identifizierbar, aber leider lernen die Betrüger dazu und diese Mails werden immer besser, d.h. man kann sie kaum von echten Mails unterscheiden. Dazu ein Beispiel: Eine Bekannte erhielt vor einigen Jahren einmal eine "Telekom-Rechnung", die überaus echt aussah, es aber nicht war. Laut Mailtext hat sie im vergangenen Monat für über 250€ telefoniert, die Details dazu fände sie in der angehängten Aufstellung. Leider hat sie auf den Anhang geklickt, d.h. sie wollte die angehängte Rechnung öffnen. Es passierte danach nichts, zumindest nichts erkennbares. Danach konnte man Ihr Notebook vergessen, es war so langsam, daß man nicht mehr damit arbeiten konnte. Es stellt sich später heraus, daß ihr Notebook fleissig Mails verschickt hat, d.h. dieses Notebook wurde als SPAM-Schleuder missbraucht.
Wie kann man sich dagegen wehren? Gibt es ein Mittel, um die Echtheit einer Mail zu überprüfen? Kann man prüfen, ob eine Mail wirklich vom angegebenen Absender kommt? Ja, das kann man, das geht über eine digitale Signatur.