Oder: Wie ich einmal eine PGP-verschlüsselte Mail an eine Datenschutzbehörde geschickt habe und es danach erst so richtig kompliziert wurde.
Wer hier gelegentlich mitliest weiß, dass ich mich freuen würde, wenn mehr Mails verschlüsselt wären. Und damit meine ich nicht irgendwas proprietäres, das nur innerhalb einer Firma oder innerhalb einer bestimmten Mailsoftware funktioniert, sondern so richtig toll und universell auf allen Plattformen verwendbar.
Die Software dafür gibt es seit 1991 und sie wurde seit dem immer weiter verbessert. Sie heißt PGP. Und ich hab hier im Blog auch eine Anleitung geschrieben, wie sie im Prinzip funktioniert und wie man Webmailer damit nutzen kann.
Dann passierte was: Ich hatte ein Problem mit einer Bank. Genau genommen mit ihrer Security, die mir, als IT-Profi nicht zeitgemäß vorkam. Zumindest nicht im 21. Jahrhundert. Die „Nutzerkennung“ ist die Kundennummer, die zugleich die letzten Stellen der IBAN darstellt, das Kennwort ist zwingend sechsstellig – aber rein numerisch. Eine BSI-Grundschutz-Zertifizierung bekommt man damit jedenfalls nicht.
Bei anderen Banken ist es nicht viel besser – ich weiß ja. Da die Bank das so für „Stand der Technik“ hielt, wandte ich mich an die zuständige Datenschutzbehörde, die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW. Auf der Homepage wird für die „Poststelle“, die allgemeine Mailadresse „poststelle@ldi.nrw.de“, ein PGP-Public Key angegeben. Den nutzt man zum Verschlüsseln der Mail, die dann nur mit dem dazugehörenden Private Key und – hoffentlich einem sicheren Passwort – wieder entschlüsselt werden kann.
Ich nutzte die Gelegenheit und verschlüsselte meine Beschwerde. Betreff „Anfrage zur Sicherheit bei einer Bank“
Das war am 27.2.2019.
Am 1.3.2019 erhielt ich eine Eingangsbestätigung mit dem Betreff „AW: ***UNCHECKED*** Anfrage zur Sicherheit bei einer Bank“
„AW:“ bedeutet: Diese Antwort ist nicht automatisiert erzeugt worden, nein. Sie wurde manuell verschickt.
***UNCHECKED*** bedeutet dann, dass die beantwortete Mail nicht vom Virenscanner auf Malware, Kryptotrojaner oder anderes Zeugs geprüft werden konnte.
Logisch, sie war ja auch verschlüsselt.
Zusammen bedeuten diese beiden Begriffe: Da die Mail nicht auf Bedrohungen gescannt werden konnte, wurde sie an die Operative Sicherheit der Behörde (vermutlich bei IT.NRW angesiedelt) weitergegeben, wo Fachleute die Mail manuell entschlüsselt und geprüft haben.
Und mir dann den Eingang bestätigten.
Das selbe Prozedere ist heute bei jeder Diskette jeder CD jedem USB-Stick Gang und Gäbe, den Berater mit ins Haus bringen. Geht also klar, obwohl ich mir ein Grinsen natürlich nicht verkneifen konnte. Ist ja schon ein Bisschen, als ob jeder Brief, der mit der normalen Post ins Haus kommt, von einem Bomben- und Seuchenschutzkommando geöffnet wird.
Seis drum: Meine Anfrage war eingegangen.
Dann passierte: Nichts. Den ganzen März lang.
Es wurde April. Auch im April passierte: Nichts.
Im Mai rief ich mal an und die beiden Damen, die laut Telefonzentrale eventuell zuständig sein könnten, waren erst nicht erreichbar. Dann, ein paar Tage später, war eine – Frau Dr. S. – erreichbar. Sie recherchierte und rief mich dann zurück
„Sie hatten die Mail ja verschlüsselt.“ hub sie an, ihrer Sprachmelodie, die mich sehr an die Vorträge von Kathrin Passig erinnerte, konnte ich jedoch nicht sicher entnehmen, ob sie das vorwurfsvoll oder rein informativ meinte. Bei Kathrin erfährt man solches meist im nächsten Satz, was hier nicht der Fall war.
Da es ja technische Fragen seien, sei sie die falsche Stelle, sagte sie. Sie würde es weiterleiten.
Im Juni fragte ich nach, was denn nun sei. Frau Dr. S. wusste noch, wer ich war, leitete mich an eine andere Dame weiter.
„Ach, Sie waren das. Ihre Mail war ja ver-schlüs-selt.“ Diesmal war es vorwurfsvoll. Frau Dr. S. sei aber doch zuständig, insistierte meine neue Gesprächspartnerin und versprach, dass was passieren würde und ich nunmehr kurzfristig Antwort erhielte.
Anfang Juli erinnerte ich Frau Dr. S. wieder an mein Anliegen und am 12. Juli kam dann eine Mail vom „Referat-T“ der LDI-NRW.
Bearbeiter: Hr. L.
Sehr geehrter Herr König,
vielen Dank für Ihre E-Mail vom 27.02.2019. Die längere Bearbeitungszeit bitte ich zu entschuldigen.
Da Ihre Anfrage hier PGP verschlüsselt eingegangen ist, bitte ich um Zusendung Ihres öffentlichen PGP-Schlüssels, um Ihnen die Antwort verschlüsselt zusenden zu können oder um Angabe einer Postadresse.
Mit freundlichen Grüßen
Im Auftrag
gez. L.
Ich glaubte kaum, was ich da las! Eine Antwort!
Ich schickte ihm meinen Public Key und wies ihn darauf hin, dass er diesen anhand des Keys in meinem Blogimpressum und in den einschlägigen Keyservern verifizieren könne.
Und heute dann, am 16.7.2019, nach fast 5 Monaten, erhielt ich die Antwort. Mit PGP verschlüsselt.
Ich öffnete die Mail und – sah nur zwei Dateianlagen. Eine war vom Typ „application/pgp-encrypted“ und hatte als Inhalt nur „Version: 1“, was eher keine PGP-verschlüsselte Nachricht war.
Die andere war vom Typ „application/octet-stream“, also eine binäre Datei. Sah man hinein, enthielt sie aber tatsächlich die PGP-verschlüsselte Nachricht an mich:
--=-=gopMiQk/Y/oApL=-= Content-Type: application/octet-stream -----BEGIN PGP MESSAGE----- hQEMA/KLuxkT63TmAQf8DS6VzkuY1/J+LViKzhzb1tc3FABB5ithkrYT8PG1YWIT jkbY9yAyFh2vh17obRpBznmIDFvkgG4pNAcanpaNTzS7SvFLmgindPg895fNE4ii TXZ3RszjvDbuQ9D9LEqiYIiEqSKDUiOPEbU/tXbeOCEHa/NkjCFfR1MfdCHU8IYk
Genau diese Zeilen hätte ich bei einer ordnungsgemäß mit PGP verschlüsselten Mail eben als Mailtext erwartet und nicht in einer als Binärdatei getarnten Textdatei als Anlage.
Der Rest war einfach – dachte ich. Mit Keybase konnte ich den verschlüsselten Block entschlüsseln. Und fand:
Content-Type: multipart/alternative; boundary="=-=lP0H2hrdLiqZoS=-=" --=-=lP0H2hrdLiqZoS=-= Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: quoted-printable =C2=A0 Sehr geehrter Herr K=C3=B6nig, =C2=A0 vielen Dank f=C3=BCr Ihre E-Mail vom 27.02.2019. Die l=C3=A4ngere Bearbeitu= ngszeit bitte ich zu entschuldigen. =C2=A0
Nach genauerer Analyse des Mailheaders und der ganzen Styles, die benutzt wurden, entpuppte sich das, was verschlüsselt wurde, als eine HTML-Mail, die offenbar durch das Kopieren eines WORD-Dokuments mit Copy-and-Paste in MS-Outlook entstanden ist und so, mit allen Formatierungen, verschlüsselt wurde.
Fazit: Es ist noch viel zu tun.Gerade bei einer Behörde, die sich mit Datenschutz befasst, erwarte ich eigentlich, dass mit PGP verschlüsselte Mails zum täglich Brot gehören.
Tun sie aber anscheinend nicht.
Das müssen wir ändern.
<WERBEBLOCK>
Wer mehr über PGP erfahren will und im Raum Krefeld lebt, dem sei dieser Kurs der Volkshochschule empfohlen, bei dem ich am 5.12.2019 erkläre, wie Verschlüsselung funktioniert, was PGP ist und wie man unter Firefox und Chrome seinen Webmailer mit PGP nutzen kann.
</WERBEBLOCK>