Wg. Mail

E-Mail, wir haben da ein Problem. Nicht wir beide, die Mail und ich – ich finde E-Mail immer noch eines der brauchbareren Tools in diesem schönen Internet. Gleichzeitig ist es aber so, dass Mail offenbar das eine oder andere Akzeptanz- oder auch nur Image-Problem hat. Seit Jahren erklären Wichtigtuer Wichtigseier im Netz E-Mail für tot und gleichzeitig ihren persönlichen E-Mail-Bankrott; in neuerer Zeit behaupten (die gleichen?) Unken, andere Messaging-Lösungen wie Facebook-Nachrichten, WhatsApp oder SMS (echt jetzt?) ersetzten die gute alte, etwas verschnarchte Mail bei den Jüngeren. Erfahrungen mit Tochter und Stiefsohn drohen, mir das zu bestätigen. Und doch gilt, was Volker Weber in drei Sätzen zusammengefasst hat:

People use email because it works. Create mail, insert address, add file, boom. It’s the swiss army knife everybody carries.

Und doch…

Und doch denke ich darüber nach, wie man die erste und immer noch meistgenutzte Killer-App des Internets ins 21. Jahrhundert bringen könnte. Warum?

  • Für ein wirklich vertrauenswürdiges Kommunikationsmittel ist E-Mail einfach nicht sicher genug. Selbstverständlich lassen sich Mail-Nachrichten verschlüsseln; es macht aber keiner, weil es keine One-Click-Lösung dafür gibt, und weil „ich ja nichts zu verbergen habe“ my ass. Also schwirren Mails lustig mehr oder weniger gesichert über drahtlose Verbindungen und liegen zwischendurch auf allen möglichen Rechnern, dem des Absenders, dem des Empfängers, und auch noch auf dem des Mail-Providers.
  • Vor allem letztere Lagerstätte weckt die Begierlichkeiten der Schnüffler von Amts wegen. Wenn die Nachrichten der pösen Terroristen (und alle anderen auch) schon unverschlüsselt auf Servern liegen und durch die Luft fliegen, dann wird man sich auf die eine (Kampf gegen den Terrorismus) oder andere (Kampf gegen Kinderschänder) Art doch Zugang dazu verschaffen können. Und die Provider werden dazu beitragen können müssen.
  • Deshalb hängt es inzwischen durchaus davon ab, über wen – und in welchem Rechtsraum –  sowohl Absender A wie auch Empfänger B seine Mail abwickeln. Ich kann noch so sehr versuchen, einen bestimmten Provider zu vermeiden, weil ich ihm und den Gesetzgebern in seinem Nacken nicht traue; wenn mein Konversationspartner diese Bedenken nicht teilt, liegt meine Mail und liegen meine Gedanken eben auch auf den Servern des, nun ja, zweifelhaften Providers. Und, liebe Bundesregierung: Solange du, deine Mitglieder und dein Parlament soviel Netzkompetenz beweist wie auch im Jahr 13 des 21. Jahrhunderts, solange braucht ihr uns nicht zu erzählen, dass De-Mail sicher sei – sogar wenn es so im Gesetz steht. Den Vertrauensvorschuss habt ihr verspielt – wenn es ihn jemals gegeben hat.
  • Über die Sicherheit von Nachrichten bei den sexier Alternativen wollen wir gar nicht reden; einmal lässt sich Facebook dabei erwischen, Mails von außerhalb, die an Facebook-Adressen (nutzt die eigentlich jemand? Ich meine: freiwillig?) gerichtet sind, nicht in der Inbox anzuzeigen, sondern in einem versteckten Ordner; dann wieder (und wieder, und wieder) muss WhatsApp zugeben, die einfachsten Standards der Sicherheit im mobilen Netz nicht zu kennen befolgen. Schauder.

Vor allem die Speicherung von Mails auf Providerseite – früher nicht das geringste Problem – erscheint mir zunehmend problematisch. Und hier setzt meine Idee ein (ja, es ist die von gestern abend, kurz vorm Einschlafen):

Ich könnte mir ein Nachrichten-Protokoll vorstellen, das auf dem peer-to-peer-Prinzip aufbaut. Absender A schreibt die Nachricht auf Gerät X, und sobald Empfänger B mit seinem Gerät Y online ist, finden sich X und Y und tauschen Nachrichten miteinander aus.

Folgende Pluspunkte lassen sich damit erschlagen:

  • Kein man in the middle – die Verbindung zwischen X und Y wird ad hoc aufgebaut und muss nur für die Dauer der Übertragung bestehen. Es liegen keine unkontrollierten Kopien der Nachricht auf unkontrollierbaren Servern.
  • Spam: Ein Grund, weshalb heute nur wenige einen eigenen Mailserver betreiben, ist die Spamflut der vergangenen Jahre; nur wer einen anerkannten Provider als Absender vorweisen kann, erregt nicht von vorneherein den Verdacht der Spamfilter. Und ja, auch meine Maildomain @konstantinklein.com trägt die Signatur meines Hosting-Providers – aus genau diesem Grund. Ein System, das nur zwischen individuellen Geräten kommuniziert, die sich gegenseitig vertrauen, lässt Spam erst gar nicht entstehen; Nachrichten werden nicht mehr von jedem angenommen (also auch nicht von Spammern, sondern nur von vertrauenswürdigen Menschen – oder Maschinen.
  • Ein derartiges System, dass auf Bekanntschaft und Vertrauen basiert, hat eine Grundvoraussetzung für verschlüsselte Kommunikation schon erfüllt; es sollte also nicht schwierig sein, die providerlose Kommunikation auch noch sicher zu machen – und damit dem Lauscher am öffentlichen Hottschpott den Spaß verderben.
  • Und natürlich müsste ein solches System/Protokoll open source sein – was leider einen möglichen Kandidaten, der meinen Ideen näher kommt, als ich meinen möchte (der Textnachrichtenanteil von Skype nämlich) leider ausschließt.

Und jetzt die Probleme, die mir durchaus bewusst sind:

  • E-Mail ist allgemein eingeführt, und so gerne man auch darüber jammert: einen kompletten Ersatz dafür zu entwickeln und einzuführen, ist nichts für die Zeit zwischen Mittagessen und Five o’clock tea.
  • Kommunikation wäre plötzlich an einzelne, klar indentifizierte Geräte gebunden. Wenn das Gerät kaputt ist (oder der Akku leer), oder wenn man längere Nachrichten lieber am Schreibtisch schreibt als in eine Minitastatur zu fingern, ist die Identität des Sender/Empfängers schon nicht mehr gegeben. Eine Skype-ähnliche Lösung (Anmeldung mit dem eigenen Account von einem beliebigen Client) involviert gleich wieder einen Provider. Hm. OK, hier besteht Nachdenkbedarf. (Vielleicht das eigene Smartphone als Server, auf das man auch vom PC aus zugreifen kann…?)
  • Peer to peer bedeutet, dass Sender und Empfänger irgendwann gleichzeitig online sein müssen. Das ist im Zeitalter der Smartphones leichter umsetzbar als in der Zeit vorher (auch ein Grund, weshalb wir seit Jahrzehnten unsere Mail bei Providern zwischenlagern).
  • Und schließlich bedeutet das Web of Trust, von dem ich hier die ganze Zeit rede, ohne es beim Namen nennen, nicht nur Identitätssicherheit und leichte One-Klick-Verschlüsselung, sondern auch, dass wir es hier mit einem walled garden der besonderen Art zu tun haben: nicht eine profitorientierte Firma kontrolliert den Zugang (ja, Facebook, I’m looking at you!), sondern der Benutzer selbst. Aber er kontrolliert ihn, also muss es in dem System/Protokoll auch eine Möglichkeit geben, beispielsweise über ein Interface zur alten Email „anzuklopfen“ und um Zugang zur peer-to-peer-Mailbox von Nutzer A zu erlangen.

Ach ja, noch ein Problem gibt es. Wer soll’s machen? Und mit welchem Geld?

Minor details.

3 Gedanken zu „Wg. Mail“

  1. Klingt nach einem Google Code of Summer Project … oder Apache Foundation … in diese Richtung bzgl. wer es machen soll 😉
    IETF nur wenn da ein tolles RFC bei rauskommt 😉

    • Und jetzt .. wo ich noch ein paar CPU cycles mehr drüber nachgedacht habe … was würde passieren wenn man den P2P Teil von XMPP abschaut? Also SMTP und XMPP … hrm …

      • Ohne auch nur einen blassen Schimmer davon zu haben (doch, ich habe die ganzen Network Stacks mal gelernt, aber das ist lange her): Das Problem mit SMTP (die Mißbrauchsmöglichkeiten) ist doch, dass – die Abwesenheit von Einschränkungen vorausgesetzt – es jeder benutzen und auch mißbrauchen kann. Wenn man auf einer P2P-Basis (und warum nicht XMPP-ähnlich?) eine Authentication-Basis zwischen Sender(-gerät) und Empfänger(-gerät) erzeugen könnte, warum dann nicht mit sowas grundsolidem wie SMTP?

        Wenn es jetzt nicht so spät wäre, und wenn ich nicht früh rausmüsste…

Kommentare sind geschlossen.