Abo
  • Services:

Verschlüsseln, ja - aber nicht für geheime Dokumente

Skurril wirkt dabei, dass die Nutzerrichtlinien der EU-Kommission den S/MIME-verschlüsselten Versand von als vertraulich eingestuften Dokumenten explizit verbieten. Die IT-Verantwortlichen scheinen ihrer eigenen Technik nicht so recht zu trauen. Auch die Everis-Studie unterstreicht gleich zu Beginn, dass das Ziel des Projekts lediglich der Versand "vertraulicher, aber unklassifizierter Informationen" sei. Der Austausch von Dokumenten der Klassifizierungen "Restricted", "Confidential", "Secret" und "Top Secret" bleibt also voraussichtlich auch in Zukunft außen vor.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Das System scheint in der Kommission dennoch ganz gut anzukommen. Mitarbeiter bestätigen uns anonym die regelmäßige Nutzung im Alltag. Internen Dokumenten zufolge waren bereits 2007 rund 9.500 S/MIME-Zertifikate an Kommissionsmitarbeiter ausgestellt. Aktuellere Zahlen gibt es nicht.

Probleme für Normalbürger

Bei unseren Tests bestätigt sich allerdings schnell die niedrige Priorität, mit der die EU-Kommission die Kommunikation mit normalen Bürgern behandelt. Die Zertifikate der Behörde sind ausschließlich von der hauseigenen Commissign signiert, nicht aber von einer global anerkannten CA. Jedes externe E-Mail-Programm schlägt also Alarm und der wohlwollende Absender muss der CA zuerst blind das Vertrauen aussprechen. Damit sind Man-in-the-Middle-Angriffen Tür und Tor geöffnet, denn Fingerprints zur Verifikation der Echtheit der Zertifikate sucht man auf der Webseite der EU-Kommission vergeblich.

Zwar konnten wir mit zwei Kommissionsbeamten letztendlich erfolgreich verschlüsselt mailen, es besteht aber ein weiteres erhebliches Problem für die Kommunikation mit der Außenwelt. Was die Everis-Studie empfiehlt, ist schon heute in der EU-Kommission gängige Praxis: Die Möglichkeit, mit den Beamten vertraulich elektronisch zu kommunizieren, wird vor der Öffentlichkeit weitgehend geheim gehalten. Weder stehen die öffentlichen Zertifikate im öffentlichen Mitarbeiterverzeichnis zum Herunterladen bereit, noch findet sich auf den Webseiten der EU auch nur ein Hinweis auf deren Existenz.

Für die Beamten der EU-Kommission mag das vielleicht ein akzeptables Szenario darstellen. Welcher normale Bürger schreibt schon eine Mail an die Kommission? Für Parlamentsabgeordnete, die auf den regelmäßigen Austausch mit ihrem Wahlkreis und ihren Wählern angewiesen sind, dürfte das schwerer zu schlucken sein. Eine E-Mail-Verschlüsselung, die Bürger oder Whistleblower verwenden können, um ihre gewählten Abgeordneten zu kontaktieren, scheint bei den IT-Verantwortlichen in Brüssel leider keine hohe Priorität zu genießen.

Jan Weisensee arbeitet als freier Journalist und Experte für EU-Politik in Brüssel. Zuvor war er über fünf Jahre als Politik- und Kommunikationsberater für diverse Lobbying-Firmen tätig. Auf Twitter ist er als @ilumium zu finden.

In einem Pilotprojekt mit Narando vertonen wir in den kommenden Wochen zwei bis drei Golem.de-Artikel pro Woche. Die Texte werden nicht von Robotern, sondern von professionellen Sprechern vorgelesen. Über Feedback unserer Zuhörer freuen wir uns - im Forum oder an redaktion@golem.de.

 E-Mail-Verschlüsselung für alle EU-Institutionen bereits 2017?
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. (reduzierte Überstände, Restposten & Co.)

Schnarchnase 27. Jun 2016

Nein, das war eine Mischung aus Dummheit und zu weniger Gutsherrenprivilegien für die Krone.

My1 27. Jun 2016

aber auch spammer können ihre mails via PGP signieren.

nicoledos 23. Jun 2016

Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten...

lear 22. Jun 2016

Hah? Der payload ist ohnehin AES verschlüsselt, nur der Sitzungsschlüssel per RSA und...

Ass Bestos 22. Jun 2016

bestrafen statt menschen schulen? immer diese afd wähler.


Folgen Sie uns
       


Dark Rock Pro TR4 - Test

Der Dark Rock Pro TR4 von Be quiet ist einer der wenigen Luftkühler für AMDs Threadripper-Prozessoren. Im Test schneidet er sehr gut ab, da die Leistung hoch und die Lautheit niedrig ausfällt. Bei der Montage und der RAM-Kompatibilität gibt es leichte Abzüge, dafür ist der schwarze Look einzigartig.

Dark Rock Pro TR4 - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
    Drahtlos-Headsets im Test
    Ohne Kabel spielt sich's angenehmer

    Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
    Ein Test von Oliver Nickel

    1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
    2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
    3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    Machine Learning: Wie Technik jede Stimme stehlen kann
    Machine Learning
    Wie Technik jede Stimme stehlen kann

    Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
    Ein Bericht von Felix Lill

    1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
    2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
    3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

      •  /