PGP im Parlament: Warum mein Abgeordneter keine PGP-Mail öffnen kann
E-Mail-Verschlüsselung gibt es seit Jahrzehnten. Seit der Veröffentlichung von GnuPG im Jahr 1997 unter der GNU Public License steht sie prinzipiell jedem zur kostenfreien Nutzung offen. Und trotzdem scheint diese sichere Art der elektronischen Kommunikation für die meisten Politiker und politischen Institutionen weiterhin Neuland zu sein.
Die Frage ist dabei, wie sich Wähler mit sensiblen Anliegen auf sichere Art und Weise an ihre politischen Vertreter wenden können. Könnten Whistleblower eine Politikerin sicher auf Missstände hinweisen? Bei dem weitreichenden Hackerangriff auf den Deutschen Bundestag im Frühsommer 2015 wurden immerhin gigabyteweise E-Mails unerlaubt kopiert. Eigentlich müsste man annehmen, dass in den Parlamenten eine ganze Horde von IT-Experten an Lösungen für die sichere Kommunikation unserer Abgeordneten arbeitet. Wir haben uns daher in Brüssel und Berlin auf die Suche begeben.
Bundestag blockierte jahrelang OpenPGP und freie Software
Erste Anlaufstation: das Bundestagsbüro von Konstantin von Notz. Der stellvertretende Fraktionsvorsitzende und Sprecher für Netzpolitik der Grünen im Bundestag macht sich seit Jahren für den Einsatz von PGP-Verschlüsselung im Bundestag stark(öffnet im neuen Fenster) . Als Obmann seiner Fraktion im NSA-Untersuchungsausschuss hat von Notz ein besonderes Interesse an sicherer E-Mail-Kommunikation. Sein Einsatz für Verschlüsselung zeigt aber offenbar nur mäßigen Erfolg.
"Die IT im Bundestag ist leider schlecht aufgestellt" , sagt uns Konstantin von Notz. Theoretisch könne zwar jeder Abgeordnete die Installation von OpenPGP auf seinem Dienst-PC bei der Bundestagsverwaltung beantragen, das sei aber mit so viel Bürokratie verbunden, dass dies kaum wahrgenommen werde.
Für das im Bundestag vorhandene Setup, nämlich Windows 7 in Kombination mit Microsoft Outlook, gibt es tatsächlich mit Gpg4win eine kostenfreie und quelloffene OpenPGP-kompatible Software einschließlich Outlook -Plugin. Gegen Open-Source-Software wird aber offenbar aus politischen Gründen immer wieder opponiert, vor allem von konservativer Seite.
Früheren Recherchen von Netzpolitik.org(öffnet im neuen Fenster) zufolge hat die sogenannte IUK-Kommission des Bundestages die Nutzung von Thunderbird zusammen mit OpenPGP über ein Jahr lang verhindert. Inzwischen ist das verschlüsselte Mailen zwar wieder möglich, die Bundestagsverwaltung setzt dabei aber ausschließlich auf das proprietäre und kostenpflichtige Produkt "gpg4o" des deutschen Anbieters Giegerich & Partner GmbH. Die Installation freier Software ist nicht mehr vorgesehen.
Ende-zu-Ende-Verschlüsselung im EU-Parlament?
Wie hält es das Europäische Parlament mit dem sicheren Mailen? Immerhin haben die Europaabgeordneten als Reaktion auf die Snowden-Veröffentlichungen in einer Stellungnahme ( PDF(öffnet im neuen Fenster) ) gefordert, insbesondere die EU und ihre Mitgliedstaaten müssten "die globale Nutzung und Entwicklung offener Standards sowie freier, quelloffener Software und entsprechender Verschlüsselungstechnologien" fördern. Die Europaabgeordneten verlangen darin außerdem "die Einführung von Standards für die Ende-zu-Ende-Verschlüsselung als Selbstverständlichkeit bei allen Kommunikationsdiensten, damit es Regierungen, Nachrichtendiensten und Überwachungsorganen erschwert wird, Inhalte mitzulesen" .
Nachfrage bei einem, der es wissen müsste: Ralf Bendrath ist wissenschaftlicher Mitarbeiter des grünen Europaabgeordneten Jan Philipp Albrecht. Albrecht war Berichterstatter für die neue Datenschutz-Grundverordnung der EU, und Bendrath hat maßgeblich daran mitgeschrieben. E-Mail-Verschlüsselung?
OpenPGP steht nicht zur Verfügung
"Das ist schnell erzählt: Gibt es nicht" , sagt uns Bendrath. Auch die Abgeordneten des Europäischen Parlaments arbeiten auf Rechnern mit Windows 7 und Microsoft Outlook. Das Nachinstallieren eigener Programme ist ihnen nicht gestattet, die Verwendung von OpenPGP-Software wie "gpg4o" oder gar Gpg4win lehne die IT-Abteilung des Parlaments (DG ITEC) auch auf wiederholte Nachfrage ab.
Die Abgeordneten könnten sich OpenPGP höchstens auf ihren privaten Geräten installieren und E-Mails dann über IMAP und SMTP empfangen und versenden. Diese Lösung scheint aber nicht überall zu funktionieren. Andere Abgeordnetenbüros berichten uns übereinstimmend, dass der Zugang über IMAP und SMTP für viele E-Mail-Konten nicht mehr zur Verfügung stehe. DG ITEC plane demnach, mittelfristig den externen Zugriff auf die E-Mail-Postfächer ganz abzuschalten - aus Sicherheitsgründen. Offen stünde dann nur noch der Zugang über Microsofts proprietären Exchange Server.
Die E-Mail-Verschlüsselung über private Geräte scheint im Europäischen Parlament so auch kaum genutzt zu werden. Eine schnelle Abfrage auf bekannten PGP-Keyservern ergibt nur eine Handvoll Schlüssel für E-Mail-Adressen der Parlamentsdomains @europarl.europa.eu und @ep.europa.eu. Neben Albrecht von den Grünen sind dies nur die Büros der Abgeordneten Julia Reda (Piraten) und Thomas Händel (Die Linke). Sozialdemokraten oder Konservative? Fehlanzeige.
Pilotprojekt für S/MIME läuft, Zukunft ungewiss
Wir haken nach. Der CDU-Abgeordnete Axel Voss schreibt uns, "im EP gibt es keine verschlüsselten E-Mail-Dienste." Das sei auch nicht verwunderlich, denn dafür müsse man "Haushaltsfragen genauso wie technische Fragen" klären und "die verschlüsselten Kommunikationsdienste auch einführen wollen" . Übersetzt heißt das: Es ist zu teuer, und eigentlich ist man auch dagegen. E-Mail-Verschlüsselung sei zwar sinnvoll, schreibt uns Voss am Ende, "allerdings bleibt im EP sowieso nichts geheim" . Nach Priorität klingt das nicht.
Vom zuständigen Direktor für Entwicklung und Support in DG ITEC, Steen Eilertsen, erhalten wir auch auf Anfrage leider keine Aussagen zu den Plänen der Parlaments-IT. Von Abgeordneten erfahren wir aber, dass die IT-Abteilung schon seit mindestens 2014 an einem System für S/MIME-basierte E-Mail-Verschlüsselung arbeite, das derzeit in einem Pilotprojekt getestet werde, an dem fünf ausgewählte Abgeordnete teilnehmen dürften.
Sichere Kommunikation nur im Büro
Das Pilotsystem funktioniert demnach mit Chipkarten-basierten Zertifikaten, die aber derzeit ausschließlich an den Büro-PCs der Abgeordneten benutzt werden können. Mobile E-Mails sind damit genauso ausgeschlossen wie die Bearbeitung und verschlüsselte Weiterleitung der Mails durch die Büromitarbeiter.
Eine der Teilnehmerinnen am Pilotprojekt ist die SPD-Politikerin Birgit Sippel. Sie habe eher aus Zufall von dem Projekt erfahren, weil ein Wähler nach einer Möglichkeit gefragt habe, sie verschlüsselt zu kontaktieren. Das Projekt, sagt sie, sei ein Schritt in die richtige Richtung, ihr könne jeder S/MIME-verschlüsselte E-Mails zusenden.
Voraussetzung ist freilich, dass man sie vorher um ihr S/MIME-Zertifikat bittet, denn ein Verzeichnis für öffentliche Schlüssel gibt es auf der Parlamentswebseite noch nicht. Wann das System bereitstehen soll und für wen es letztendlich angeboten wird, wissen auch die Parlamentarier nicht. Aus anderen Quellen hören wir, die E-Mail-Verschlüsselung solle nur einer kleinen Auswahl von besonders exponierten Abgeordneten angeboten werden. Wer diese Auswahl trifft, bleibt das Geheimnis von DG ITEC.
Es hapert an Kooperation
In der Europäischen Kommission, quasi die europäische Exekutive, ist verschlüsseltes Mailen über S/MIME übrigens bereits seit Jahren möglich - auch mobil. Warum beide Institutionen nicht zusammenarbeiten und ein gemeinsames System nutzen, ist unklar. Am wahrscheinlichsten sind politische Gründe: Das Parlament möchte sich als legislatives Organ in IT-Fragen nicht von der Kommission abhängig machen.