Bundesparteitag 2012.2/Antragsfabrik/Programmänderung 058

Aus Piratenwiki
Wechseln zu: Navigation, Suche
Tango-preferences-system.svg Dies ist ein Programmänderung (im Entwurfsstadium) für den Bundesparteitag 2012.2.

Bitte hilf mit diesen Antrag zu verbessern und zu erweitern. Bitte bekunde auch Deine Unterstützung oder Ablehnung auf dieser Seite, bzw., falls möglich, in LiquidFeedback.

Antragstitel

Freie, rechtskräftige digitale Signaturen und E-Mail-Verschlüsselung für alle

Antragsteller

Johann Duscher (JonnyDee), David Göhler (DavidGoehler)

Antragstyp

Programmänderung

Antragstext

Es wird beantragt im Grundsatzprogramm (falls möglich auch im Wahlprogramm) folgenden Text an geeigneter Stelle einzufügen:


Neue Fassung
Die Piratenpartei setzt sich dafür ein, ein staatlich finanziertes Trustcenter einzurichten, das jedem Bürger unabhängig vom Einkommen die Möglichkeit gibt, Dokumente und E-Mails für eine abhörsichere Korrespondenz zu verschlüsseln und rechtskräftig digital zu signieren.

Die dafür notwendigen Zertifikate sollen deshalb für Privatpersonen (nicht juristische Personen) kostenlos zu erwerben und zu verwenden sein und dazu dienen, jedermann abhörsichere Kommunikation und rechtssichere Geschäfte bzw. Vertragsabschlüsse über das Internet zu ermöglichen.

Die Erstellung der Zertifikate hat so zu erfolgen, dass der Staat technisch nicht in der Lage ist, mit diesen Zertifikaten verschlüsselte Inhalte zu entschlüsseln (d.h. er darf keine Kenntnis der geheimen Schlüssel besitzen).
Antragsbegründung

Wir betrachten den Zugang zur Technologie für abhörsichere Kommunikation und digitale qualifizierte Signaturen als Grundbedürfnis in der heutigen digitalen Informationsgesellschaft. Datenschutz und Privatsphäre sind heute wichtiger denn je. Entsprechend muss diese Technologie allen Bürgern zur Verfügung stehen -- und zwar unabhängig vom Einkommen! Obwohl es die passende Technik schon länger gibt, ist es faktisch auch heute nicht möglich, im Internet rechtssicher zu unterschreiben, Verträge zu schließen oder signierte E-Mails zu verschicken. De facto muss dass immer noch per Fax (was sehr unsicher ist) und Brief geschehen. Die elektronische Unterschrift mit Hilfe von Signaturen und Zertifikaten fristet ein Mauerblümchen-Dasein. Die Ursachen sind einfach: Für Privatleute ist es kompliziert und vor allem teuer, die dafür notwendigen Zertifikate zu bekommen. Man kann nicht mal eben wo hingehen und das in fünf Minuten erledigen. Deshalb macht es kaum jemand. Die Folge ist, dass es für Unternehmen und staatliche Stellen unattraktiv ist, die Technik dafür aufzubauen. Es gibt daher nur wenige Möglichkeiten, sich per Signatur zu identifizieren. Und Möglichkeiten für verschlüsselte E-Mail Kommunikation sind noch sehr viel seltener, da dafür Sender UND Empfänger ein Zertifikat haben müssen. Das macht es für normale Bürger uninteressant, sich ein teures Zertifikat zu leisten. Je verbreiteter aber der Einsatz von Zertifikaten wäre, desto größer wäre der Nutzen. Ein echtes Henne-Ei-Problem. Drei Hürden müssen übersprungen werden, um eine breite Akzeptanz zu erreichen:

  1. Die Identifikation der Person (dass sie beweist, dass sie die Person ist, die sie vorgibt zu sein) muss vereinfacht werden.
  2. Die Kosten für ein Zertifikat müssen runter auf 0 Euro (für ein persönliches Zertifikat).
  3. Die Handhabung mit dem Zertifikat muss einfach sein.

Die Zutaten für eine Lösung gibt es schon: Melde-Amt und z.B. ePerso! Wer sich beim Melde-Amt einen neuen Personalausweis mit Signatur-Funktion bestellt/holt, muss sich ausweisen. Die Identifikation der Person für ein Zertifikat kann das Melde-Amt also gleich miterledigen. Der zusätzliche Aufwand dafür ist gleich Null. Für die Zertifikatserstellung sollte der Staat ein entsprechendes Trustcenter aufbauen. Ein über diese Infrastruktur erstelltes Zertifikat könnte dann auf dem Personalausweis gespeichert werden. Die Ausstellung des Zertifikats und die Speicherung auf dem ePerso muss für den Bürger kostenlos sein. (Wichtig zu wissen ist, dass ein vollständiges Zertifikat einen privaten Schlüssel enthält, der jedoch vom Zertifikatinhaber selbst und nicht vom Trustcenter erstellt wird. Das Trustcenter, ob nun staatlich oder nicht, kennt diesen also NICHT und hat deshalb aus technischen Gründen KEINE Möglichkeit verschlüsselte Daten zu entschlüsseln bzw. sogar digitale Signaturen zu fälschen.) Das Trustcenter bekommt lediglich den öffentlichen Schlüssel zu Gesicht und unterschreibt diesen selbst digital um zu bestätigen, dass dieser tatsächlich zur Person gehört. Damit kann jeder, der den neuen Perso hat, Online (mit RFID-Leser am PC) und vor Ort bei Unternehmen mit dem Perso unterschreiben und rechtssicher Verträge schließen und beenden. Das ist von der Handhabung her super einfach und sicher (genug). Wenn man den ePerso nicht dafür verwenden möchte, dann kann man das Zertifikat natürlich auch in ein E-Mail Programm importieren und so verwenden, wie man dies bisher auch schon mit kommerziellen Zertifikaten machen kann. Ein staatliches Trustcenter wird außerdem ein hohes Vertrauen genießen, weil es mindestens wie ein kommerzielles Trustcenter die vorgeschriebenen Sicherheitskriterien erfüllen und nachweisen können muss. Entsprechend werden die Root-Zertifikate des Trustcenters dann leichter Eingang bei gängigen Browsern finden (im Gegensatz zu cacert.org, dessen Root-Zertifikate auch nach vielen Jahren noch bei allen wichtigen Browsern fehlen). Um bestehende Trustcenter wirtschaftlich nicht in Konkurrenz zu einem staatlichen Trustcenter zu bringen, sollte das staatliche Trustcenter ausschließlich Zertifikate für Privatpersonen ausstellen. Die wirtschaftlichen Auswirkungen auf bestehende Trustcenter sollten damit minimal sein, da es ja auch bisher kaum Privatleute gibt, die sich kostenpflichtige Zertifikate und die damit verbundenen laufenden Kosten leisten wollen oder können. Wenn der Staat die Aufgabe des Trustcenters an ein großes bestehendes Trustcenter delegiert (und dafür zahlt), ist die Umsetzung sogar relativ schnell und einfach möglich.

Vorteile

Die Vorteile für Bürger und Staat sind dabei klar:

  • Viele Angelegenheiten können elektronisch schnell und automatisch abgewickelt werden.
  • Das spart Personal und Kosten. Wahrscheinlich würde man durch die Einführung eines Trustcenters für Bürger letztendlich sogar viel Geld sparen.
  • Der E-Mail-Verkehr könnte so sehr viel sicherer gemacht werden, da man die E-Mails so verschlüsseln kann, dass nur der Empfänger in der Lage ist, den Inhalt der E-Mail zu lesen. Ohne Verschlüsselung sind E-Mails nichts als digitale "Postkarten", die jeder mit etwas technischem Know-how lesen kann. Und da E-Mails durch Datenverarbeitung massenweise verarbeitet werden können ist eine E-Mail sogar noch öffentlicher, als dies bei Postkarten der Fall ist, denn die müssen im Gegensatz zur elektronischen Post von Menschen gelesen werden.
  • Es ist praktisch immer möglich nachzuweisen, dass man für einen bestimmten Inhalt verantwortlich ist.
  • Das nachträgliche Fälschen von digital signierten Inhalten (z.B. E-Mails) ist nicht möglich.
  • Man kann ohne Probleme rechtssicher Verträge in digitaler Form abschließen und auch wieder kündigen (z.B. einen DSL-Vertrag).
  • Die Kommunikation mit Behörden ist so auch ohne eine "DE-Mail" auf sichere Weise möglich.
  • Die dadurch mögliche Einsparung von Papier trägt erheblich zum Umweltschutz bei.

Umsetzung

Die Piratenpartei erarbeitet in Zusammenarbeit mit anderen Parteien, die sich dafür einsetzen, einen Gesetzesvorschlag, der die Schaffung des Trustcenters beschreibt, und deren Aufgaben definiert. Weiterhin ist gesetzlich zu regeln, dass jeder Bürger einen Rechtsanspruch auf Erteilung eines Zertifikats und Speicherung auf seinem ePerso oder eines anderen Schlüsselcontainers (z.B. einer Smart-Card) bekommt, und dass der Staat für die Erteilung des Zertifikats nur den öffentlichen, NICHT jedoch den privaten Schlüssel benötigt. Ebenfalls gesetzlich zu regeln ist, dass der Staat, statt das Trustcenter selbst aufzubauen, diese Aufgaben auch an ein Unternehmen delegieren kann, das die notwendigen Sicherheitsstandards erfüllt und sie nachweisen kann. Die Piraten sollten nach Aufnahme dieses Antrags in das Parteiprogramm damit öffentlich im Wahlkampf werben, insbesondere mit griffigen Fallbeispielen, die jedem einleuchten und klarmachen, dass es unglaublich ist, dass wir das noch nicht haben und wie nützlich so ein Zertifikat sein kann (nie mehr Formulare ausfüllen, einfach nur den ePerso vor den Leser halten und mit einer geheimen PIN bestätigen: bei Ärzten, Versicherungen, Behörden).

Weitere Informationen

  • Eine gute Zusammenfassung, welche Vorteile das digitale Unterschreiben mit dem ePerso hat, und wie es funktioniert ist auch hier zu finden.
  • Auf Wikipedia kann man hier genauer nachlesen, wie das auf dem ePerso gespeicherte Unterschriftszertifikat mit einer geheimen PIN abgesichert wird.
  • Und hier ist die FAQ eines Trustcenters zu finden. Es beantwortet sicherlich einige Fragen, die man Grundsätzlich so zu diesem Thema hat.
LiquidFeedback
Piratenpad
Datum der letzten Änderung

02.10.2012


Anregungen

Bitte hier Tipps zur Verbesserung des Antrages eintragen.

  • ...
  • ...
  • ...

Diskussion

Bitte hier das Für und Wider eintragen.

Pro/Contra-Argument: E-Mail-Verschlüsselung ist bereits möglich

  • Man kann doch heute schon problemlos E-Mails verschlüsseln.
    • Dann versuche doch bitte jemandem, eine verschlüsselte Mail zu schicken. Es wird sehr wahrscheinlich so gut wie nie klappen, da der Empfänger dafür auch ein Zertifikat benötigt.

Pro/Contra-Argument: Der Staat soll für digitale Briefumschläge zahlen?

  • Was da gefordert wird, kommt mir ein bisschen so vor als würde man vom Staat bezahlte Briefumschläge fordern, damit die Leute ihre Postkarten endlich in Umschläge stecken.
    • Man könnte allerdings stattdessen auch folgende Analogie verwenden: Ich muss doch auch keine zertifizierte Tinte teuer von einem TrustSeller kaufen, mit der ich Verträge händisch unterschreiben muss, wenn ich möchte, dass die Unterschrift rechtswirksam ist.

Pro/Contra-Argument: Schon wieder eine "alles kostenlos" Forderung?

  • Ihr wollt alles immer kostenlos. Ich möchte nicht, dass der Staat dafür Geld ausgibt!
    • Ich stelle mal folgenden Vergleich an.
    • Vertragsabschluss auf konventionellem Weg:
      • Dokument mit Textverarbeitung erstellen.
      • Drucker einschalten, warten, bis er betriebsbereit ist und seine Patronen gereinigt hat bzw. bis er sich soweit erwärmt hat, dass der Toner verwendet werden kann.
      • Falls Tinte/Toner leer, dann alte Patrone/Cartridge wegwerfen und neue kaufen.
      • Falls Papier ausgegangen ist, neues kaufen.
      • Dokument auf neuem, chlor-gebleichtem Papier ausdrucken/verbrauchen und Tinte bzw. Toner verbrauchen.
      • Falls Ausdruck fehlerhaft, dann in Textverarbeitung korrigieren und noch einmal auf neuem Papier ausdrucken.
      • Dokument mit der Tinte eines Kugelschreibers unterschreiben. Falls Tinte leer, neuen Kugelschreiber verwenden.
      • Fax anschalten bzw. aus dem stromverbrauchenden Stand-By Modus aufwecken und warten, bis es betriebsbereit ist.
      • Fax senden und Strom verbrauchen, bis Fax gesendet ist.
      • Fax generiert einen Fax-Bericht und verwendet dafür ein neues Blatt Papier.
      • Auf der Gegenseite wird unter Umständen wieder Tinte/Toner sowie Papier und Strom verbraucht.
    • Vertragsabschluss auf digitalem Weg:
      • Dokument mit Textverarbeitung erstellen.
      • PDF generieren.
      • Falls PDF fehlerhaft in Textverarbeitung korrigieren und erneut erstellen.
      • PDF mit digitaler Unterschrift versehen.
      • Signiertes PDF per Mail versenden.
      • Empfänger überprüft Signatur und archiviert das PDF.
    • Man kann sich nun Fragen bei welchem Prozess mehr Umweltresourcen notwendig sind bzw. verschwendet werden und wo man sehr wahrscheinlich unter dem Strich Kosten eingespart hat.
      • Es muss weniger (Sonder-)Müll entsorgt werden, der durch Tintenpatronen bzw. Toner-Cartridges, Elekronikschrott (z.B. Faxgeräte, Drucker), Papier und Kugelschreiber entsteht.
      • Außerdem reduzieren sich Aufwände, die durch den Umgang mit Papierformularen entstehen, weil diese von Menschen bearbeitet werden müssen, obwohl oftmals eine automatisierte elektronische Weiterverarbeitung möglich wäre.
      • Sie müssen teilweise per Post mit Fahrzeugen transportiert werden, benötigen Platz, müssen archiviert, irgendwann geschreddert, und letztendlich entsorgt werden.
      • Es müssen weniger Bäume für die Papiergewinnung gefällt werden und Energie und Abgase für den Transport der Papierrohstoffe und von Papier selbst werden auch reduziert.
      • Außerdem wird auch noch Strom für den Betrieb von Faxgeräten und Drucker gespart.
      • Und wenn man die Ketten genauer analysiert, dann finden sich sicherlich noch weitere Beispiele...

Pro/Contra-Argument: Durch Kosteneinsparung könnten Arbeitsplätze gefährdet sein

  • Ich verstehe den Umwelt-Aspekt des Ganzen, aber was machen dann die ganzen arbeitslosen Bürokaufleuten, Versicherungskaufleuten usw., die den Papierkram bisher erledigt haben?
    • Die werden sehr wahrscheinlich auch weiterhin (die elektronischen) Dokumente bearbeiten. Erfahrungsgemäß ist der Papierkram oft sowieso mehr, als Personal für die Bearbeitung zur Verfügung steht.

Aber das Arbeitsplatz-Argument lässt sich eigentlich fast bei jeder Verbesserung, die Kosteneinsparungen mit sich bringt, anführen. Falls nun tatsächlich Arbeitsplätze davon betroffen sind, dann ergeben sich aufgrund neuer Möglichkeiten durch die eingesparten Kosten aber auch oft wieder neue Arbeitsplätze. Und neue Möglichkeiten bringen oft wieder neue Möglichkeiten hervor, sodass der Nutzen sich sogar potenzieren kann und damit weniger Arbeitsplätze verloren gehen als neue Arbeitsplätze entstehen werden.

Pro/Contra-Argument: Einem staatlichen TrustCenter kann man nicht trauen

  • Das Trustcenter in den Händen des Staates oder eines privaten Unternehmens? Niemals! Die haben dann bestimmt einen Generalschlüssel und es liest dann jede staatliche Institution die verschlüsselten E-Mails mit. Insofern ist das ja das gleiche wie bei der DE-Mail.
    • Nein, der Staat kann NICHT mitlesen, denn er kennt den geheimen Schlüssel nicht, der wird vom Zertifikatinhaber selbst generiert! Aber selbst wenn dem so wäre (und das ist es definitiv NICHT) ist das immer noch besser, als die E-Mails gar nicht zu verschlüsseln und digitale Postkarten zu versenden, die im Gegensatz zu echten Postkarten sogar noch massenweise maschinell analysiert werden können. Also dagegen sein, dass der Staat mitliest, aber im Gegenzug nichts verschlüsseln und allen erlauben mitzulesen...? Außerdem muss man ja nicht das "staatliche Zertifikat" verwenden, wenn man nicht möchte. Jeder der will kann auch andere Zertifikate (oder eben keine) verwenden.

Pro/Contra-Argument: Qualifizierte Signaturen sind per Gesetz heute schon möglich

  • Es gibt schon ein Gesetz, dass es ermöglicht rechtskräftig mit einem Zertifikat von autorisierten TrustCentern zu unterschreiben, das sollte reichen.
    • Da sich seit der Schaffung des entsprechenden Gesetzes bisher nicht viel getan hat (nur wenige nutzen diese Möglichkeit) ist das für uns ein Zeichen, dass das Gesetz allein noch nicht genug ist. Wir möchten auch nicht, dass sich der Staat überall einmischt. Wir betrachten es aber schon als Aufgabe des Staates eine Infrastruktur bereitzustellen, die dem aktuellen Informationszeitalter gerecht wird.

Pro/Contra-Argument: Sicherheitsbedenken bei der ePerso Lösung

  • Ich habe da so meine Bedenken, der ePerso wurde ja auch schon mehrfach aufgrund von Sicherheitsbedenken kritisiert.
    • Kritisiert wird vor allem die eID Funktion, mit der man sich im Internet ausweisen kann. Diese Funktion ist aber unabhängig von der Signatur-Funktion. Außerdem ist der ePerso ja nur EINE Anwendungsmöglichkeit. Das Zertifikat selbst muss man ja nicht auf dem ePerso speichern, wenn man dies nicht möchte. Ob man nun den ePerso (oder eine Smart-Card) zur Speicherung des Verschlüsselungs-Zertifikats nutzt oder nicht, das kann man ja jedem selbst überlassen. Aber unabhängig vom ePerso könnte man mit einem entsprechenden Verschlüsselungszertifikat E-Mails auch ohne ePerso rechtskräftig verschlüsseln/signieren. Das wird heute schon so gemacht, allerdings nur von einer sehr kleinen Gruppe, weil so ein Zertifikat von einem kommerziellen Truscenter eben sehr teuer ist.

Unterstützung / Ablehnung

Piraten, die vrstl. FÜR diesen Antrag stimmen

  1.  ?
  2.  ?
  3. ...

Piraten, die vrstl. GEGEN diesen Antrag stimmen

  1. --Spearmind 23:47, 2. Okt. 2012 (CEST)
  2.  ?
  3. ...

Piraten, die sich vrstl. enthalten

  1.  ?
  2.  ?
  3. ...
Abgerufen von „https://wiki.piratenpartei.de/wiki/index.php?title=Bundesparteitag_2012.2/Antragsfabrik/Programmänderung_058&oldid=1806719