E-Mail-Verschlüsselung

Veröffentlicht am

Ein offener Brief an die GLS-Bank vom 10. Juli 2013

Sehr geehrte Damen und Herren,

bereits seit mindestens Januar 2009 frage ich bei Ihnen dazu nach, ob eine Kommunikation von an die GLS-Bank gerichteten E-Mails in verschlüsselter Form, z.B. mittels GnuPG oder – notfalls – auch mit S/MIME, möglich ist.

Das geht – wenn ich richtig informiert bin – bis heute leider nicht.

Die Kommunikation zwischen den GLS-Kunden und der GLS-Bank beinhaltet fraglos immer wieder sensible Inhalte, die – sofern die Kommunikation via unverschlüsselter E-Mails erfolgt – einer großen Gefahr des Mitlesens, wenn nicht sogar der Manipulation unterliegt. Und das nicht erst seit dem Bekanntwerden des Umfangs von PRISM-, TEMPORA-, DGSE- und BND-Spionageprogrammen.

Da viele Menschen heutzutage Ihre E-Mail-Adresse immer noch bei privatwirtschaftlichen, also gewinnorientierten Unternehmen hosten lassen (Kostenlos-E-Mails) wird das Auslesen und Auswerten dieser Bank-zu-Kunde-Kommunikation bislang einfach so hingenommen.

Zwar kann eine mehr oder minder geschützte Kommunikation zwischen GLS-Kunden und -Mitarbeitern (zumindest mit jeweils einem/einer einzelnen Mitarbeiter*in) nach dem Einloggen in das GLS-Online-Buchungs-System erfolgen, diese Möglichkeit besitzt jedoch die folgenden Nachteile bzw. Einschränkungen:

– Ohne einen jedes mal explizit durchzuführenden Anmeldevorgang im GLS-Online-Banking-System via Internetbrowser ist diese Kommunikation nicht möglich.

– Diese Kommunikation lässt sich nicht im gleichen Schema wie andere E-Mail-Kommunkation verwalten, speichern, nutzen.

– Über den Empfang einer E-Mail wird nicht informiert, wenn man sich nicht im Online-Banking-Bereich anmeldet. Dringende oder wichtige Nachrichten von GLS-Mitarbeitern an GLS-Kunden können auf diese Weise u.U. (und ich schreibe aus Erfahrung!) erst viel zu spät wahrgenommen werden … es sei denn, dass man von den GLS-Kunden erwartet, dass diese sich täglich in das GLS-System einloggen, um nachzuschauen, ob es eine neue Nachricht gibt oder nicht.

– GLS-Kunden, die – aus welchen Gründen auch immer – nicht am Online-Banking-Verfahren teilnehmen wollen, werden ausgeschlossen.

– An der GLS-Bank und ihren Angeboten Interessierte können gar nicht vertraulich oder verschlüsselt mit der GLS telekommunizieren.

Aus allen diesen Gründen möchte ich Sie darum bitten, eine Möglichkeit der GnuPG-basierten verschlüsselten E-Mail-Kommunikation zwischen GLS-Bank und -Kund*innen einzurichten.

GnuPG anstelle von S/MIME deshalb, weil sich der Erwerb eines Zertifikats/Schlüssels sehr viel simpler und intuitiver sowie vor allem kostenlos erledigen lässt und weil GnuPG inzwischen eine weitere Verbreitung erfahren hat als S/MIME.

Was meinen Sie dazu?

Gibt es Pläne und zeitliche Perspektiven, dass die GLS-Bank so etwas einführt?

Ich verstehe diesen Brief als offenen Brief und möchte gerne auch Ihre Antwort dazu ungekürzt veröffentlichen.

Viele gute Grüße,

 

[Update 25.11.2013]

Am 25. November 2013 habe ich bei der GLS-Bank noch einmal nachgefragt, ob ich noch mit einer Antwort rechnen darf.

 

[Update Anfang Dezember 2013]

201312gls-werbepostIch bekomme Post von der GLS.

Ich freue mich – endlich eine Antwort … :)

… doch nichts! Es ist nur ein Standardwerbebrief, der auf das bevorstehende 40jährige Jubiläum der GLS hinweist und mich um die Aufstockung von Geschäftsanteilen bittet. :(

Und dann liegt da noch eine Postkarte bei, deren Titel bei mir einen bitteren Beigeschmack hinterlässt:

„Lust, was zu verändern?“

o_O

 

[Update 26.2.2014]

Meine Nachricht und mein Nachhaken habe ich bisher „nur“ per E-Mail an den Kundendialog der GLS-Bank gesendet. Ist meine Mail in den Wirren der Alltagshektik untergegangen?

Um sicherzugehen, dass meine Fragen an die richtige Adresse gehen, habe ich heute noch einmal per E-Mail, nun aber direkt an die beiden Vorstände Herrn Jorberg und Herrn Neukirch geschrieben und gefragt, ob ich dazu eine Stellungnahme erhalten kann.

Mal schauen. :)

 

[Update 31.3.2014]

Noch immer nichts gehört. Ich habe heute dem Aufsichtsrat der GLS-Bank einen Brief geschrieben und um Annahme meiner Sache gebeten.

 

[Update 23.4.2014]

Heute habe ich gleich zwei Briefe von der GLS erhalten. Beide sind mit dem 17.4.2014 datiert, der eine (längere) wurde allerdings erst am 22.4.2014 postgestempelt.

Brief Nr. 1 ist vom „Qualitätsmanagement“ der GLS-Bank, seine Überschrift lautet: „Wir haben Sie nicht vergessen!“

o_O

20140423gls-rueckmeldung-qm

Ich habe mich per Mail für diesen Brief bedankt und nachgefragt, ob mein Brief vom 31.3.2014 denn nun trotzdem – wie von mir gewünscht – an den Aufsichtsrat weitergeleitet worden sei oder nicht.

Im Brief Nr. 2 schreibt mir Herr von Carlowitz mit Funktionsbenennung „Vorstandsstab“, ebenfalls mit Bezug auf meinen Brief an den Aufsichtsrat vom 31.3.2014. Herrn von Carlowitz kenne ich von einem Treffen vom 12.11.2012, zu dem ich eigens nach Bochum gefahren bin und wo er seinerzeit als „Datenschutzbeauftragter“ fungieren sollte.

Der Brief von Herrn von Carlowitz:

20140423gls-antwort-dsb

Darauf habe ich heute, noch am gleichen Tag mit einem Offenen Brief reagiert:

 

Offener Brief an Herrn von Carlowitz von der GLS-Bank, vom 23. April 2014

Sehr geehrter Herr von Carlowitz

ich habe heute Ihren Brief vom 17.4.2014 erhalten. Darüber habe ich mich gefreut.

:)

Allerdings habe ich ein paar Fragen bzw. Rückmeldungen, die ich gerne an Sie richten möchte.

Vorweg:

Schreiben Sie mir als Datenschutzbeauftragter der GLS-Bank oder als Teil des GLS-Vorstands? Mir ist das nicht ganz klar, darum die Nachfrage.

Inhaltlich:

Meine Anfrage ist bereits vom 10. Juli 2013, ich habe dazu am 25. November 2013 sowie am 26. Februar 2014 erfolglos nachgefragt und als ich selbst daraufhin keine Antwort oder Rückmeldung erhielt am 31. März 2014 dem Aufsichtsrat geschrieben, siehe hier:

http://unsere-gls.de/offener-brief-einfuhrung-von-e-mail-verschlusselung/

Auf diesen Brief an den Aufsichtsrat antworten Sie mir nun – ich hoffe und wünsche mir, dass mein Brief nichtsdestotrotz an jenen weitergeleitet worden ist.

Vielen Dank für Ihr Gesprächsangebot, doch nach meinen Erfahrungen möchte ich im Moment den schriftlichen und damit für alle Interessierten offenen und transparenten Austausch bevorzugen. Vielleicht ergibt sich aber einmal eine gute Gelegenheit für ein Treffen – dann komme ich gerne auf das nette Angebot zurück.

Sie schreiben, dass eine sichere Kommunikation über das GLS-Online-Portal möglich sei.

Dazu möchte ich erwidern, dass ich Ihnen die Nachteile und Beschränkungen dieser Kommunikation ausführlich in meinem Brief geschildert habe. Den haben Sie entweder nicht gelesen oder ignorieren die darin aufgeführten Argumente. Das finde ich schade.

Außerdem möchte ich Sie bei dieser Gelegenheit darauf hinweisen, dass das für die Online-Funktionen und sämtliche vertrauliche Bankgeschäfte von der GLS genutzte Bankportal der GAD-Gruppe von den Qualys SSL Labs derzeit nur ziemlich mäßig mit der „B-Note“ bewertet wird, siehe hier:

http://unsere-gls.de/weiteres/sicherheit-des-gls-online-bankings-transportverschluesselung/

Mit anderen Worten ausgedrückt:

Die aktuell vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Verschlüsselungsverfahren TLS 1.1 und TLS 1.2 werden gar nicht zugelassen (ich musste die Sicherheitsanfordungen meines Browsers nur deswegen herunterschrauben!), lediglich TSL 1.0 (bzw. SSL 3.1). Das BSI duldet dieses derzeit nur als „Übergangslösung“ (siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.pdf;jsessionid=F7CE5F6FD1AD9BFDDE1076135CC44FE2.2_cid294?__blob=publicationFile Seite 8) und rät zu einer „schnellstmöglichen“ Migration zu TLS 1.2.

Das Internet-Banking der GLS ist derzeit also auf einem veralteten Technikstand, das Sicherheitsniveau ist dadurch reduziert.

Andere Banken, das möchte ich vorsichtshalber vorweg schicken, haben diese Migration längst hinter sich und dass einige Browser evtl. TLS 1.2 noch nicht unterstützen dürfte weder GLS noch GAD davon abhalten, diesen Standard wenigstens zusätzlich bzw. optional anzubieten und nicht vorzuenthalten, wie derzeit praktiziert.

Weiterhin wird Forward Secrecy vom GAD-Online-Banking-Portal nur beschränkt zugelassen bzw. unterstützt. Ein weiteres Sicherheitsmanko.

Zurück zum Ihrem Brief:

Ihre Ankündigung, verschlüsselte Mailkommunikation anzubieten, datiert von 2009. Fünf Jahre sind in der IT-Landschaft eine lange Zeit. Wann wird diese Möglichkeit endlich angeboten werden?

Wenn die IT-Umgebung der GLS eine verschlüsselte Mailkommunikation nicht zulässt, würde ich sie als nicht zeitgemäß bewerten und zu einem Wechsel raten.

Dass GPG- bzw. PGP-verschlüsselte Mails keine Authentifizierung zulassen ist falsch oder wie bewerten Sie ansonsten die Signatur-Funktion der GPG-Systematik?

Warum also weigern Sie sich dagegen, GPG-verschlüsselte Kommunikation mit Ihrer Kundschaft einzurichten und zu ermöglichen? Es ist weithin bekannt, dass GPG-Verschlüsslung sich zu *dem* Verschlüsselungs-Standard in der „normalen“ Bevölkerung entwickelt hat, und das nicht erst in der Post-Snowden-Ära.

Aus meiner Sicht sorgen Sie für eine praktische Verhinderung oder Unterdrückung der Verbreitung und der Nutzung verschlüsselter E-Mail-Kommunikation, wenn Sie auf dem Standpunkt verbleiben, der GLS-Kundschaft keine GPG-verschlüsseltes Mailen mit der Bank zu erlauben.

Schließlich halten Sie den § 28 Absatz 4 für einen „akzeptablen Kompromiss“, wohlwissend, dass diese Regel, die die Mitwirkung und Mitbestimmung von GLS-Mitgliedern ermöglichen soll (das soll sie doch, oder?), aufgrund ihrer derzeitigen Ausgestaltung noch kein einziges mal praktisch angewendet werden konnte.

Mir kommt diese Ihre Aussage wie ein Hohn vor. Sie passt zumindest nicht zu dem von der GLS gern verkündeten Ziel, in ihrem Sein und Wirken Mitbestimmung und Transparenz in der Gesellschaft zu fördern.

Vielleicht können Sie mir Ihre Gedanken dazu etwas genauer erläutern, falls ich Sie missverstanden haben sollte: Welcherart hat sich der §28(4) der GLS-Satzung „seit sehr vielen Jahren bewährt“?

Ich verstehe diese meine Nachricht als offenen Brief und verspreche Ihnen, Ihre Rückmeldung ebenfalls offen und ungekürzt im Netz den daran interessierten Menschen zugänglich zu machen.

Viele gute Grüße aus Hannover,