Der ePost-Brief hat im Internet für Kontroversen gesorgt. Um die Wogen zu glätten und auch ihre Dialogbereitschaft zu demonstrieren lud die Deutsche Post AG daher am Mittwoch zu einer Web-Konferenz, um den vorher ausgewählten Teilnehmern Frage und Antwort zu stehen.
In Person stellte sich Dr. Georg Rau, Geschäftsbereichsleiter IT-Application bei der Deutschen Post AG und Leiter des Projekts ePost, den Fragen der versammelten Chatteilnehmer, vornehmlich freie Journalisten und Blogger. Hier mein Gedächtnisprotokoll:
Die Veranstaltung lief etwas schleppend, da man den wartenden Chatteilnehmern immer wieder Antworten aus vorher ausgesuchten Fragen von Facebook oder Twitter präsentierte. Die ersten 20 Minuten wurden somit zu einer echten Geduldsprobe. Die Deutsche Post AG wird den Videostream der gesamten Webkonferenz in Kürze per YouTube zur Verfügung stellen, einen Auszug von Fragen und Antworten möchte ich hier bereitstellen. Vorweg: Zu den genauen Anmeldezahlen des ePost-Briefes möchte man keine Auskunft geben, nur soviel: In den ersten 2 Tagen haben sich 250.000 Menschen für eine ePost-Adresse registriert.
Inhalt
„Einschwingen“ bis Ende Oktober
Ein Kritikpunkt war der schleppende Registrierungsverlauf. Einige Teilnehmer warteten Tage auf eine Anmeldebestätigung oder haben sie bis heute nicht bekommen. Dazu äußerte sich Dr. Rau, dass man, wenn man ein neuens Projekt launcht, es immer mit verschiedenen Herausforderungen zu tun hat, die sich zunächst „einschwingen“ müssten. Man rechne aber damit, dass diese Probleme bis Ende Oktober beseitigt seien.
So monierte ein Nutzer, man müsse sich für die Anmeldung ja schon einen Tag frei nehmen, um das ganze PostIdent-Verfahren über die Bühne zu bringen. Dies ließe sich, so Rau, leider bei der derzeitigen Rechtslage nicht vermeiden. Immer dann, wenn man eine verbindliche, rechtssichere Identifizierung durchführen wolle, käme man leider nicht drumherum, sich einmal persönlich zu treffen. Eine einfache Anmeldung wie bei anderen Onlinediensten sei in diesem Fall leider nicht möglich.
Der neue Personalausweis
Nun wäre der neue Personalausweis ja eine Methode, sich rechtssicher und schnell am Computer zu identifizieren, ohne den Weg zum Postamt antreten zu müssen. Wird es also möglich, sich zukünftig mit dem neuen Personalausweis zuhause am PC zu registrieren? Diese Frage lies man noch etwas offen. Rau betonte zwar, dass man das Thema grundsätzlich angehen wolle, dies aber nicht bis November, wenn es den neuen Personalausweis dann auch gibt, bereitstellen wird. Wenn sich die entsprechende Nachfrage nach einer Identifizierung mittels neuem Personalausweis ergebe, werde man das dann auch so machen. Zur Frage der jüngst bekannt gewordenen Sicherheitslücken sagte Rau, dass man die Identifizierung mit dem neuen Ausweis natürlich nur dann einführen werde, wenn man den eigenen Sicherheitsansprüchen gerecht werden könne.
Benutzerfreundlichkeit
Ähnlich auch die Aussage zur Frage nach der Nutzung von IMAP oder POP3-Postfächern für die neue ePost-Adresse. Derzeit kann die neue E-Mail nämlich nicht bequem per Mailclient abgerufen werden, sondern nur direkt über das Angebot der Deutschen Post AG. Rau gibt hier zu bedenken, dass die Sicherheit kompromittiert sein könnte, wenn sich der Anwender die Post auf den eigenen Client herunterladen könne. Hier müsse man zunächst weitere Sicherheitsvorkehrungen treffen. Das Thema sei aber grundsätzlich auf der Agenda.
Sicherheit beim Drucken und Kuvertieren privater Korrespondenz
Das Thema Sicherheit dann Bestandteil einer weiteren Frage: Wie stellt die Deutsche Post AG sicher, dass bei der Herstellung eines physischen Briefes, der als elektronische Mail aufgegeben wurde, kein Mitarbeiter mitlesen kann. Die Antwort, so pragmatisch sie war, lässt einen jedoch etwas schmunzeln: Der Herstellungsprozess eines physischen Briefes sei vollautomatisiert. Der Druckvorgang und die Kuvertierung funktionierten so schnell, dass es einem dabei stehenden Mitarbeiter gar nicht möglich sei, den Inhalt zu lesen. Dass natürlich ein Mitarbeiter theoretisch die Maschine anhalten könne wusste auch Rau und fügte hinzu, dass am Ende natürlich auch nur Menschen an den Maschinen stünden. Diese würden wiederum von anderen Menschen beaufsichtigt. Wie die Sicherheitsvorkehrungen an dieser Stelle im Detail aussehen, ließ er offen. „Im Grunde genommen gelten die gleichen Vorkehrungen bei uns, wie wenn der Versender seine Briefe selbst druckt.“
Kein Adresshandel mit Nutzerdaten
Zum Thema Adresshandel gab es dann jedoch ein erfreuliches wie klares „Nein, nein und nochmal nein!“. Rau betonte, ein Adresshandel mit den registrierten Nutzern sei „totales Gift“ und würde dem widersprechen was man hier eigentlich anbiete. Man könne nicht einerseits ein vertrauliches Produkt an den Markt bringen und andererseits dann mit den gesammelten Adressen handeln. Wie sicher also die gespeicherten Kundendaten wirklich sind, wollte eine Chatteilnehmerin wissen. Hier konnte es nur eine Antwort geben und Rau gab sie auch: Vollständige Sicherheit gibt es nicht, wir tun aber alles um sie zu gewährleisten.
Vorratsdatenspeicherung
Zur Frage, ob man der vorrübergehend ausgesetzten Vorratsdatenspeicherung unterliege und somit über die ePost verschickte Briefe lange speichern müsse, sollte die VDS zurück kommen, sagte Rau, dass man der VDS nicht unterliege.
Vertrauenswürdige Signierungsstelle?
Ab Minute 55 war dann auch meine erste Frage dran. So merkte ich an, dass das Sicherheitszertifikat auf der ePost-Webseite von einem amerikanischen Anbieter ausgestellt sei. Die Deutsche Post AG habe aber doch mit der Signtrust eine eigene Zertifizierungsstelle. Warum würde die nicht genutzt? Und: Ist Signtrust denn bei den persönlichen Nutzerzertifikaten mit im Boot? Wie ich die Antwort zu bewerten habe, bin ich mir noch nicht ganz klar. Ja, natürlich sei Signtrust mit im Boot. Der Grund, warum man nun aber die Homepage über einen Drittanbieter zertifiziere, sei darin zu finden, dass man hier auf mehr Unabhängigkeit setze und ein Drittanbieter eine neutralere Vergabestelle sei. Mm. Traut man also dem eigenen Trustcenter nicht? Sollte man dann nicht auch einen Drittanbieter zur Überwachung des Druckvorganges bei der Erstellung der physischen Briefe einsetzen? So ganz zufrieden war ich mit der Antwort nicht.
Die ePost Webseite ist über den US Anbieter COMODO zertifiziert. Dabei hat die DPAG eine eigene Zertifizierungstochter Signtrust
Wann kommt die ePost aufs Amt?
Wie weit sind denn dann die Ämter, wollte ich abschließend wissen. Werden die in Kürze den „ePost“-Brief empfehlen? Hierzu konnte Dr. Rau leider keine genauen Angaben machen. Man sei auf Bundes- und Länderebene im Gespräch und habe auch schon Kontakt zu Kommunen aufgenommen. Ob und wann dort aktiv auf die ePost gesetzt werde, konnte er leider nicht sagen.
Sobald das Video von der ganzen Veranstaltung im Netz verfügbar ist, werde ich es hier verlinken.
Ein per E-Post als „klassisches“ Einschreiben aufgegebenes Übergabeeinschreiben verschwunden. Angeblich soll das Einschreiben bei einem Postamt mehrere hundert Kilometer entfernt aufgegeben worden sein laut Sendungsverfolgung. Eine angeforderte Zustellstatus-Benachrichtigung über E-Mail ist ebensowenig erfolgt. Der Support konnte nicht weiterhelfen. Die Portokosten wurden nicht erstattet. Ein Nachforschungsantrag wurde nicht bearbeitet. Auf Wunsch teile ich die RL-Nummer mit, dann können Sie sich selbst davon überezeugen, daß hier ein Fehler passiert ist, der das Vertrauensverhältnis grundlegend zerstört. Ich werde mich wieder vom E-Post-System abmelden.