Betr.: Open Data Government Freiburg – Gemeinderatsitzung am 25.2.2014 – Sichere Kommunikation mit der Verwaltung per Email

Dazu auch Veranstaltung am: 19.2.2014 um 19:00 (FB-Link)

Betr.: Open Data Government Freiburg – Gemeinderatsitzung am 25.2.2014 –Sichere Kommunikation mit der Verwaltung per Email 


Sehr geehrter Herr Oberbürgermeister Dr. Salomon,

nicht erst seit den Enthüllungen von Edward Snowden ist klar, Geheimdienste wie die NSA, aber auch Hacker und Kriminelle haben Zugriff auf unsere zunehmende Anzahl von Daten im Internet.

Gleichzeitig verlagert sich immer mehr Kommunikation von Briefen und Faxen hin zu Email und sozialen Netzwerken.

Auch die Kommunikation mit der Stadtverwaltung und Behörden geschieht heute mehr und mehr per Email, so z.B. Gemeinderatsanträge der Fraktionen, formlose Absprachen oder Fragen der Bürger aber auch etwa Anträge auf Genehmigungen für Demonstrationen.

Grundsätzlich treten bei Email zwei Probleme auf: der Absender ist nicht verifiziert, daher könnte z.B. jeder mit der Adresse dieter.salomon@stadt.freiburg.de eine Email versenden bzw. den Eindruck erwecken, er habe von dieser Adresse eine Email verfasset.1 Die technischen Vorraussetzungen sind dazu minimal und werden von jedem Windows PC mitgeliefert. Entsprechende Anleitungen finden sich auch leicht im Internet.2

Dennoch wandert mehr und mehr persönliche, vertrauliche Informationen gelangen ins Netz und können benutzt werden. Als kostenpflichtige Lösung propagiert die Bundesregierung derzeit De-Mail, was aber leider von vielen Experten als nicht sicher bewertet wird3,4.

Viele Experten raten deshalb zur Verwendung PGP5 und einer asymmetrischen Schlüsselstruktur. Mithilfe eines öffentlichen Schlüssels, der z.B. auf der Website zur Verfügung gestellt wird, können dabei Nachrichten verschlüsselt werden und mit einem dazugehörigen privaten Schlüssel diese auch wieder entschlüsselt.

Eine auch für den Computerlaien leicht fassliche Anleitung, mit Beispielen und Tutorials findet sich verlinkt auf der Fußnote.6

Die Verschlüsselung im Internet dient drei Zielen:

  1. Schutz der Vertraulichkeit: Die Nachricht ist nur für denjenigen lesbar sein, für den sie bestimmt ist.
  2. Schutz der Authentizität: Die Echtheit des Absenders wird gewahrt. Der Absender ist wirklich die Person, die als Absender angegeben wird.
  3. Schutz der Integrität: Die Nachricht wird auf dem Weg vom Absender zum Empfänger nicht verändert.“ 7

Das Bundesamt für Sicherheit in der Informationstechnik rät aus folgenden Gründen zur Verwendung von Verschlüsselung im Email Verkehr:

Beim altmodischen Briefschreiben haben wir die Inhalte unserer Mitteilungen ganz selbstverständlich mit einem Briefumschlag geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken, eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte Postkarte, die auch der Briefträger oder andere lesen können.

Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt man selbst und niemand sonst.

Diese Entscheidungsfreiheit haben wir bei E-Mail nicht. Eine normale E-Mail ist immer offen wie eine Postkarte, und der elektronische „Briefträger“ – und andere – können sie immer lesen. Die Sache ist sogar noch schlimmer: Die Computertechnik bietet nicht nur die Möglichkeiten, die vielen Millionen E-Mails täglich zu befördern und zu verteilen, sondern auch, sie zu kontrollieren, auszuwerten oder sogar unbemerkt zu verändern.

Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte zu lange gedauert. Mit der modernen Computertechnik ist das technisch möglich, da eben der Umschlag fehlt.

Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft, ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht für wichtig und schützenswert halten oder nicht.

Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software Gpg4win wahrnehmen. Sie müssen sie nicht benutzen – Sie müssen ja auch keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.“8

Hiermit frage ich die Stadtverwaltung und bitte um Beantwortung noch vor der Einbringung der Vorlage zum Thema Open Data Goverment am 25. Februar 2014, wenn dieses Thema auf der Tagesordnung steht:

  1. Wäre es möglich, von der Stadt Freiburg für Bürger einen Service einzurichten, um für o.g. Kommunikation mit Verwaltung und Behörden verschlüsselte oder signierte Emails verwenden zu können?Etwa indem die öffentlichen Schlüssel zum verschlüsseln von Emails auf den Webseiten der Ämter angeboten werden oder auch zum Aushang in der Bürgerinfo und/oder der Veröffentlichung im Amtsblatt und die Email Programme entsprechend aufgerüstet werden. Dies auch eingedenk der Tatsache das frühere Versuche wenig genutzt wurden, was aber sicher daran lag, das dieses Thema noch nicht auf der öffentlichen Tagesordnung stand.
  2. Betrüger könnten Mithilfe von gefälschten Verwaltungsemailadressen BürgerInnen in die Irre führen. Vor einigen Jahren gab es solche Aktionen vor Wahlen mit gefälschten Briefen. Gerade hier kann zumindest die Signierung von Emails Sicherheit verschaffen. Kann die Verwaltung von sich aus eine solche Einsetzen? Bzw. generell ihre Kommunikation signieren.
  3. Plant die Verwaltung für den internen Verkehr auf verschlüsselte Emails umzusteigen, um Datenmissbrauch möglichst auszuschließen?
  4. Kann man den Fraktionen ebenfalls eine solche Signierung oder Verschlüsselung anbieten? Etwa im Rahmen einer Kryptoparty.
  5. Eine Grundlage für sichere Kommunikation ist die Zertifizierung der elektronischen Schlüssel durch eine vertrauenswürdige Stelle oder Person: Dieser Vorgang dauert nicht lange und besteht darin, das ich den Fingerabdruck meines Schlüssels und meine Identität (etwa durch den amtlichen Personalausweis nachgewiesen) von einer vertrauenswürdigen Stelle bestätigen lasse und somit mein Schlüssel mehr Glaubwürdigkeit erhält.
    Wäre es denkbar, eine solche Dienstleistung im Bürgeramt anzubieten?
  6. Was würden diese Sicherheitsmaßnahmen in der Umsetzung kosten?

Ich Danke für die Beantwortung dieser Fragen.

Bei Rückfragen, die gerade aufgrund der hohen technischen Komplexität dieses Themas zu erwarten sind, stehe ich Ihnen selbstverständlich gerne unter den üblichen Kontaktdaten zur Verfügung.

Mit freundlichen Grüßen

Ihr Sebastian Müller Stadtrat Junges Freiburg