De-Mail oder WBürgermail

Damit die Kommunikation mit den Behörden b?rgernäher und schneller von statten geht (wer es glaubt), werkeln große Unternehmen an der sogenannten De-Mail. Eine eigenständige Mailadresse inklusive Zertifikat, mit der dann mit Behörden zertifiziert kommuniziert werden kann.

Interessant ist, wer so alles daran „interessiert“ ist, uns „sichere“ Kommunikationswege zu verpassen.

Die Deutsche Bahn, Deutsche Telekom und Deutsche Post entwicklen derzeit zusammen mit Microsoft …

Das bedeutet:

  • es wird zukunftssicher, wie ePost,
  • die Daten werden vertrauensw?rdig, wie bei der Deutschen Telekom ?blich und in den letzten Monaten, Wochen und Tagen mehr als deutlich erkennbar sicher, behandelt,
  • die Kommunikation verläuft schnell, zuverlässig und p?nktlich, wie bei der Deutschen Bahn und
  • die Datenformate sind frei und universell, wie wir es von Microsoft gewohnt sind und kennen.

Braucht man so etwas? Also ich nicht. Ich habe f?r meine Mailadressen jeweils ein Zertifikat und möchte eigentlich nicht noch eine aufgebrummt bekommen – vor allem eine, die nach derzeitigen Gedankenverwurstungen so umständlich und lang ist.

Sollte mir das zu Denken geben, dass nahezu alle gierigen Datenkraken, die in der Vergangenheit schon durch diverse Skandale und Mini-Skandale aufgefallen sind, auf einem Haufen sich nun tummeln und gemeinsam am großen und absolut sicheren Datenaustausch f?r den B?rger arbeiten? Es fehlt eigentlich nur noch eine nahtlose Integration mit Google – dann habe ich 1000%iges Vertrauen in die entstehende Projektleiche.

Wieso das Ganze zum Scheitern verurteilt ist und ergo unserer aller Steuergelder vor unserern Augen unwiderruflich symbolisch vernichtend verbrannt und weggeworfen wird? Folgender Ablauf soll dies mal verdeutlichen …

(?berarbeitet vom respektiven Heise-Forum Beitrag)

  • Die Entscheider (ob Manager / CEOs / COOs oder Politiker) sind keine EDV-Projektleiter, sondern Theoretiker, die ihr Managementwissen aus BWL-B?chern haben.
  • Sie denken sich was aus und lassen es von irgendeiner Consultingfirma als Studie formulieren, welche beweist, dass das Projekt f?r X Euro in Y Jahren machbar ist.
  • Nach der Studie denken sie: Das kann doch nicht X Euro kosten und Y Jahre dauern! Das können wir besser! Wof?r haben wir Managementb?cher gelesen, die „Macht der Triade“ studiert, die Kriegsregeln der Chinesen studiert oder uns mit Feng Shui beschäftigt.
  • Dann halbieren sie jeweils X und Y und erklären das zum „ambitionierten“ Projektziel.
  • Darauf folgt eine Ausschreibung mit diesen Vorgaben.
  • Wer dann sagt, dass das f?r X/2 Euro in Y/2 Jahren nicht geht, fliegt aus dem Bieterfeld raus.
  • Dann starten sie das Projekt mit dem Bieter, der die besten Powerpoint-Folien präsentiert und die meisten Business-Buzzwords benutzt und außerdem versichert hat, dass er das Projekt zu den angegebenen Bedingungen auf jeden Fall „in time and in budget according to specification“ abschließen wird – wie alle Projekte, die man bisher bereits erfolgreichst zur höchsten Zufriedenheit der Kunden durchgezogen hat.
  • Während des Projektes wird klar, dass die interne Vorbereitung mies war, die Fachabteilung nicht richtig einbezogen wurde und die Vorstudie nicht zur realen Aufgabenstellung passt bzw. nur 30% abdeckt.
  • Die Anforderungen werden während der Projektlaufzeit erhöht – teils mit dem Argument „Das ist doch klar, dass wir das brauchen!“ dem Auftraggeber aufgedr?ckt, teils als „Change Request“ eingebracht, wenn der Auftragnehmer die neuen Anforderungen sonst ums Verrecken nicht akzeptieren will.
  • Wenn Y/2 Jahre erreicht ist und X/2 Euro verbraten sind, aber erst 40% der urspr?nglichen und 25% der erweiterten Anforderungen erf?llt sind, kommen die ersten Krisenzeichen.
  • Projektbeteiligte, die ständig auf die Probleme hingewiesen haben, werden zu Schuldigen erklärt, gemaßregelt oder gefeuert.
  • Es werden weitere Externe zur „Verstärkung und Beschleunigung“ hinzugenommen.
  • Wenn Y Jahre erreicht ist und 1,5X Euro verbraten sind, muss der Manager beim Topmanager antanzen.
  • Danach wird Beraterfirma C beauftragt, die Lage zu analysieren.
  • Diese stellt schwere Mängel fest, gibt die Schuld allen möglichen Beteiligten (Programmierer, Auftragnehmer, Fachabteilung etc.) außer den Auftraggebern (Manager) und schlägt vor, das Projekt funktional abzuspecken, sowie an einigen Stellen eigene (Beraterfirma) Leute zu platzieren, die den anderen „auf die Finger“ sehen.
  • Nach 2Y Jahren und 3X Euro Kosten werden 60% der Funktionspunkte erreicht. Die Software wird nun offiziell live gestellt, tatsächlich aber nur mit Workarounds oder gar nicht nutzbar bzw. genutzt.
  • Nach 2,5Y Jahren und 4X Euro Kosten sind 65% erreich, die Software nutzbar und wird zu einem grandiosen Erfolg erklärt.
  • Die internen Mitarbeiter haben massig Überstunden geleistet und schon lange keinen Urlaub mehr gemacht. Sie sind ausgebrannt und kaputt.
  • Das Management trifft sich und ?berlegt, wie die ineffiziente Bande der Angestellten, die sich auf Kosten des Unternehmens durchschmarotzt, mehr motiviert werden kann und wie man k?nftig solche Fiaskos vermeidet.
  • Beschlossen werden einige oder alle der folgenden Maßnahmen:
    • Entlassung eines Teils der Mitarbeiter, um Kosten zu sparen,
    • Streichung des Weihnachtsgeldes und Beförderungsstop auf den untersten zwei Ebenenen,
    • Herabsetzung der Beraterstundensätze um 10%,
    • Vorgaben, dass beim nächtsten Projekt gleich zu Beginn noch ambitionierter geplant werden muss, d.h. es m?ssen Y/3 Jahre und X/3 Euro Kosten angesetzt werden, da man ja nun weiß, dass der Planungsrahmen um 150% ?berschritten werden wird und
    • Erhöhung der Gehälter des oberen Managements und der Vertriebsleiter um 50%.

Schöne Welt, oder?

Das könnte Dich auch interessieren...

5 Antworten

  1. krecki sagt:

    Ich sehe die De-Mail von 2 Seiten. Einerseits als Mitarbeiter im ÖD und als Privatmensch. Als Mitarbeiter kann ich elektronische Post nur befürworten, weg mit dem ganzen Paierzeugs! Als Privatmensch teile ich zum Teil deine Meinung bzw. deine Ängste. Aber man sollte auch ein wenig Vertrauen in die ganze Sache haben. Mal schauen was draus wird!

  2. FireFox sagt:

    Ich würde gern den Behörden Vertrauen entgegenbringen. Wieso muss aber die ganze Speicherung und Austellung mit neuen Dingen und in staatlicher Hand passieren? Wieso kann man nicht die bereits mehr als sicheren Verfahren nutzen, die es heute bereits gibt (Signatur/PGP)? Wieso bzw. mit welchen Gründen versehen sollte ich meine Daten und Dokumente in dieses digitale Postfach packen?
    Wie ich bereits bei dir als Kommentar schrieb: Wer hat Zugriff auf die Daten? Es reicht einfach eine Signatur aus, sodass auf die Dokumente und Daten mehrere, vielleicht auch nicht berechtigte, Leute darauf zugreifen können. Wer kontrolliert dieses?
    Sicherlich – Papier sparen ist eine feine Sache, und vlt. via eMail mit Bearbeitern kommunizieren ebenso, um Nachfragen stellen zu können. Dennoch gehe ich mit meinem Anliegen, auch wenn es mir persönlich stressig ist, lieber zu einem Sachbearbeiter. Das ist erstens persönlicher und eigentlich auch im Vollzug gesehen erfolgreicher.
    Dinge die also im Raum stehen: Wie sicher ist die Verschlüsselung/Signatur? Das muss öffentlich gemacht werden. Wer darf womit wie zugreifen? Dafür wünsche ich mir ein Whitepaper oder was auch immer. Wie funktioniert der Datetresor (und wohlbemerkt – es gibt keinen sicheren Datentresor)? Wenn das Ganze als Ident- und Signaturverfahren genutzt werden soll – wie sicher ist das Ganze vor Identitätsdieben, für die eine zentrale Identifikation wie die De-Mail ein gefundenes Fressen ist?
    Fragen über Fragen, die mit Sicherheit nie beantwortet werden und somit das Ganze nicht transparent nach außen getragen wird. Das Schlimmste in meinen Augen ist das Fettgedruckte. Dieses, einmal mittels Trojaner oder sonstigem Schädling am PC abgegriffen, wird definitiv nach hinten losgehen und weitaus mehr Identitätsdiebstähle inkl. daraus resultierende Geld-, Sachdiebstähle verursachen, als es einem lieb war/ist. Ein Ausweissystem, welches verbreitet genutzt werden soll/muss, und Einkäufe und private/wichtige Dokument-, Antragsabfragen ermöglicht, wird bei Einführung in naher Zukunft geknackt.
    Es ist halt nur Hard- und Software und es gibt kein sicheres System. Unter diesem Gesichtspunkt sollte man das immer betrachten, wem ich welche, wie und wieso an Daten und Informationen gebe – egal wie schön die propagierte Welt werden soll.
    Oder?

  3. Artanis sagt:

    Sehr interessant im Hinblick auf die technische Umsetzung ist ja das jedwede Fehlen von Information, *wie* das passieren soll. Du sagst ja selbst, PGP und alles andere Standardisierte könne man dafür problemlos verwenden. Sehe ich ebenso, nur muß man sicherstellen, eine korrekte Identifizierung durchzuführen. Sowas gibt es ja derzeit schon für „offizielle“ Zertifikate: VeriSign beispielsweise. Das sind Infrastrukturen, die durchaus verwendet werden können. Ich bin mir jedoch sicher, daß Vater Staat sich da wieder was Eigenes ausdenken wird (irgendwohin müssen unsere Steuergelder ja umgeleitet werden) und das dies nicht transparent sein wird. Und wie wir ja alle aus der Security-Vorlesung wissen, ist Algorithmen-Transparenz das A und O bei Verschlüsselung. Ergo: Es wird einen proprietären Algorithmus geben, der genau so sicher ist, daß der Bundestrojaner ihn ohne Probleme knacken können wird. Dazu diese „Datensafes“ bei den Providern, die sicher auch einige mikroskopische Löcher aufweisen dürften.

  4. FireFox sagt:

    @Artanis: Das ist mehr oder weniger das, was ich meine. Dadruch, dass nichts öffentlich gemacht wird, kann niemand urteilen, ob das Ganze sicher ist. Ergo für mich gibt es da kein Vertrauen. So schön das Ganze vlt. auch sein mag, ich habe für mich dadruch keine Garantie wer, wann, was, wie und warum die Möglichkeit hat auf diese Daten – welche zum Teil ja auch mehr als sensibel sind, abhängig was ich da drauf packen will bzw. muss – zuzugreifen.

    Es wird immer einen MasterKey geben, bzw. wenn mir mein Privater Schlüssel vom Staat erstellt wird *lach*, wer sagt mir, dass der Staat diesen nicht als Kopie behält? Nur wenn ich diesen privaten Schlüssel, wie bei GnuPG oder PGP oder OpenPGP, selbst erstellen kann, kann ich davon mehr oder weniger ausgehen, dass kein anderer diesen jemals in seine Finger bekommt – abhängig von meinen eigenen Sicherungsvorkehrungen ….

    Ergo: So schön es klingt – es sind einfach viel zu viele unsichere und kritische Fragen offen – und werden es auch bleiben, denn die Institutionen werden mit Sicherheit nichts veröffentlichen … und somit kann es kein Vertrauen geben in eine derartige „Technik“.

  1. 4. Februar 2009

    […] würde mal wirklich interessieren, wie die Befürworter aus behördlicher Sicht von “damals” jetzt darüber denken. Ist das immer noch eine tolle Sache und verhilft zu weniger […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.