Montag, 27. Mai 2013

De-Mail und E-Postbrief - im Jahr 2013 noch nutzlose Beta-Versionen

Immer wieder taucht in den Medien oder auch im Briefkasten Werbung für die neuen, sicheren Alternativen zur E-Mail und Briefpost auf. Gerade jüngst beschwerte sich die Post beim Bundesrat, dass sie sich mit ihrem Dienst gegenüber dem De-Dienst diskrimiert fühle.

Gemeint sind diese Dienste:
  1. E-Postbrief von der Deutschen Post AG
  2. De-Mail von anderen Anbietern (u.a. GMX und Telekom)


Da stellen sich natürlich viele Fragen. Zum Beispiel:
  1. Was ist De-Mail - und wozu brauche ich das?
  2. Was kostet mich das?
  3. Wie sicher ist De-Mail?
  4. Wie unterscheidet sich das vom E-Postbrief?
  5. Wie sicher ist der E-Postbrief?
  6. Brauche ich das, um E-Mails von meiner Bank oder vom Amt zu bekommen?
  7. Was muss ich jetzt tun?
Um diese Fragen geht es hier nicht! Denn hierzu hat schon Spiegel Online einen schönen Artikel geschrieben.

Es geht vielmehr darum, meine eigenen Erfahrungen mit den Diensten zu beschreiben und sie zu bewerten.

Ich beschreibe also
  • Anmeldung
  • Nutzung
  • Kundenservice
  • Sicherheit
  • Preis (Update 29.05.2013)





De-Mail von GMX

Anmeldung

Ich habe mich für De-Mail am 31.08.2012 angemeldet. Kurz darauf kam ein Mitarbeiter der Firma "Sign Today" bei mir am Arbeitsplatz vorbei und glich die Anmeldedaten mit meinem Personalausweis ab. Das ging schnell und unkompliziert.

Dann musste ich jedoch noch bis zum 11.04.2013 warten, bis die Akkreditierung von GMX als Anbieter durch und der Dienst fertig war.

Beim Dienst selber meldet man sich per 2-Faktor-Authentifizierung an. Man muss also ein Passwort kennen und bekommt dann noch bei jeder Anmeldung eine mTAN per SMS zugesandt. So wird verhindert, dass jemand nur das Passwort ausspähen kann. Das ist eine praktische und relativ sichere Sache. Die SMS kommen in der Regel innerhalb weniger Sekunden an.

Nutzung

Die Oberfläche sieht der vom GMX als Webmailer sehr ähnlich. Hier kann man Ein- und Ausgangspost bearbeiten.

Das De-Mail-System ist so abgeschottet, dass es keine mobile App für iOS oder Android gibt. Ebenfalls gibt es keine SMS oder normale Email bei Eingang einer Nachricht. So müsste man sich theoretisch täglich bei GMX einloggen, um zu schauen, ob es was neues gibt. Immerhin gelten Schreiben nach dem De-Mail-Gesetz bei Ankunft in der Mailbox als offiziell zugestellt. Das machen wir zwar auch mit dem realen Briefkasten, aber wegen der 2-Faktor-Authentifizierung ist es doch bei GMX etwas nervig.





Nutzen

 

Öffentliche Kommunikationssysteme sind nur dann gut, wenn man über sie viele Kontaktpartner erreichen kann. Gerade für De-Mail wird damit geworben, dass man wegen der gesetzlichen Grundlage darüber vor allem Behörden erreichen könne. Dafür gibt es auch die praktische Funktion eines Verzeichnisses.

Was passiert also, wenn ich nach "Verwaltung", "Amt", "Gemeinde" oder "Stadt" suche?
Es werden bundesweit nur ganz wenig Daten gefunden:



Gut für die Hamburger. Schlecht für den Rest.

Die Funktion zum Hochladen von öffentlichen X.509-Zertifikaten konnte ich leider nicht nutzen, da ich immer eine Fehlermeldung bekam. Das fand ich sehr schade, weil die Möglichkeit der Signaturveröffentlichung via De-Mail eine sehr interessante Option ist. Diese könnte auch den Dienst an sich befördern. Da meine Identität ja schon durch GMX als zertifizierten Anbieter verifiziert wurde, kann ich so auch mein öffentliches X.509-Zertifikat für eine durchgehende Ende-zu-Ende-Verschlüsselung veröffentlichen.

Das ist vertrauenswürdiger als über eine Website oder Email. Dort wird bei der Anmeldung ja meine Identität nicht effektiv überprüft. Das wäre zwar noch keine offizielle qualifizierte Signatur gemäß Signaturgesetz, aber schon ziemlich nah dran.

Wenn dann auch noch seitens GMX die Verschlüsselung mit dem öffentlichen X.509-Zertifikat ermöglichte, wäre das eine sehr gute Antwort auf die Frage "Was mache ich, wenn ich absolut sicherstellen möchte, dass der empfangende De-Mail-Anbieter meine Mails nicht mitlesen kann?" . Mehr dazu unter "Sicherheit".


Kundenservice

 

Ich habe dem Kundenservice eine Supportanfrage gestellt. Diesen erreicht man allerdings nicht per De-Mail, sondern über das normale Kontaktformular. Ein Autoresponder informiert einen über die Ticketnummer. Guter Standard.

Ich habe 2 Anfragen gestellt:
Wann kommt SMS-Benachrichtung und wie kann ich Zertifikate ins Adressverzeichnis hochladen?
Fragezeitpunkt: 16.04.2013 abends
Antwortzeitpunkt: 17.04.2013 vormittags - also superschnell.

Inhalt der Antwort:
SMS Wir arbeiten dran.
Zertifikat: Laden Sie einfach ein X.509-Zertifikat mit der Endung .cer oder .crt hoch.

Letzteres half mir nicht weiter, da ich das schon getan hatte. Also stellte ich am 8.5.2013 eine Nachfrage. Diese wurde bis zum 27.5.2013 nicht beantwortet.

Standardantworten per Textbaustein/FAQ gehen also schnell. Technisch tiefergehende Fragen überfordern den GMX-Kundenservice jedoch. Ob das die Post besser macht?

Sicherheit


Das Fehlen der Ende-zu-Ende-Verschlüsslung ist unschön. Das kritisierte auch schon der Chaos Computer Club. Man kann sie dadurch ersetzen, dass man die Nachricht in einem externen Editor schreibt, vorher seine PGP-Schlüssel austauscht und den Text dann damit oder JavaScript-Tools wie dem vom Sascha Assbach verschlüsselt.

Dann erst geht der Buchstabensalat auf die Reise. In diesem Fall ist De-Mail nur noch eigentlich dafür gut, um die sichere Zustellung zu bestätigen. Wer als dubioser Netzbewohner immer wieder gerne bestreitet, bestimmte Post oder Emails nicht bekommen zu haben, wird wahrscheinlich kein De-Mail-Postfach anbieten. Naja - immerhin spricht dann die Existenz einer De-Mail-Adresse für eine gewisse Seriösität.

Bei der Anmeldung werden immerhin externe Kartenleser unterstützt, die den Signaturchip des neuen Personalausweises (nPA) auslesen können. Lange suchte ich nach sinnvollen Anwendung dafür - genauso wie die Bundesdruckerei, die hierfür sogar einen Preis von 10.000 € auslobte.. Hier ist endlich eine - sofern man die De-Mail selber sinnvoll einsetzen kann.


E-Postbrief der Post

Anmeldung

 

Die Anmeldung läuft über das PostIdent-Verfahren, das man auch schon von anderen Onlinediensten kennt. Das ist nicht so komfortabel wie bei GMX, da man hierfür extra zu den Öffnungszeiten in eine Filiale gehen muss. Für Berufstätige jenseits der Innenstadt gar nicht so einfach. Dummerweise ist auch noch genau dieses Verfahren der offizielle Grund, weshalb der E-Postbrief inkompatibel zur De-Mail ist. Denn hierbei werden mehr persönliche Daten erfasst als es nach dem De-Mail-Gesetz zulässig ist. Zum Datenschutz gehört eben auch Datensparsamkeit (soviel wie nötig - aber auch nicht mehr). Da die Post jedoch weitere Dienste anbieten will, will sie nicht darauf verzichten.

Die Anmeldung erfolgt wie bei GMX über 2-Faktor-Authentifizierung. Diese kann man jedoch für einfache Tätigkeiten explizit ausschalten. Erst bei Einschreiben oder Anmeldung einer einer App kommt wieder die mTAN.

Nutzung

 

Die Oberfläche sieht recht schick und modern aus. Dazu gibt es nicht nur das Webinterface, sondern auch eine App für iPhones - diese allerdings nur für Privatkunden. Mit dieser lässt sich die Post zwar nur lesen, aber das ist trotzdem praktisch. Hier gibt es übrigens keine 2-Faktor-Authentifizierung mehr. Einmal freigeschaltet, reicht bei der App das Passwort. Ist auch sinnvoll - denn immerhin läuft sie ja in der Regel auf dem Handy, auf dem auch die SMS ankommen würde. Pluspunkt E-Postbrief.

Jeder E-Postbrief wird per SMS ankündigt. Das ist praktisch und stärkt das Vertrauen in den Dienst. Aber: Dieser Service steht nur als kostenloser Dienst auf der Homepage. In der Leistungsbeschreibung findet sich nichts davon. Er kann also entweder jederzeit eingestellt werden oder als kostenpflichtiger Zusatzdienst auftauchen, ohne dass ein neuer Vertrag abgeschlossen werden muss. Wenn es soweit kommt, kann man allerdings einen digitalen Postkasten ja immer noch einfach kündigen. Pluspunkt E-Postbrief.


Der Editor für die E-Post erlaubt aus Sicherheitsgründen kein Einfügen über die Zwischenablage, sondern nur über ein gesondertes Feld. Das ist aber bei Formatierungen umständlich, da neu eingefügter Text wieder in der Standardschriftart Times New Roman eingefügt wird. Will man hier die Schrift und Größe ändern, muss man den umgebenden Text markieren und erst eine andere Schriftart und Schriftgröße auswählen als man eigentlich will und dann das ganze wieder zurück ändern. Klingt umständlich? Ist es auch.

Daher sollte man erst den Brief fertig formulieren und erst am Ende die Formatierung angehen. Dummerweise fallen - zumindest mir - bei auch bei der Formatierung oft noch Tippfehler oder sinnvolle Ergänzungen auf. Daher sollte sich die Post des Bugs im Editor annehmen.

Man setzt allerdings noch nicht ganz konsequent auf die Cloud. Empfangsbestätigungen werden nur als PDF-Anhang zugestellt, aber nicht im Body der Email. So muss man extra zur Ansicht einen externen Viewer öffnen - der ja nicht überall vorhanden ist. Gerade im Internetcafé will man gar keine Dateien ablegen. Hier sollte die Post auf einen integrierten OnlineViewer für PDF-Dateien wie bei Google Docs setzen.

Per E-Postbrief sind etwas mehr Behörden und Firmen erreichbar als per De-Mail, aber es sind immer noch viel zu wenige. Laut Angaben der Post waren 2012 beim E-Postbrief rund 1 Million Privatkunden, 4000 mittelständische Kunden sowie über 100 Großkunden angemeldet. Aber haben sie diesen auch wirklich genutzt? Im November 2012 hat Lotto Hessen die Verwendung des E-Postbriefes wieder aufgegeben. Nach eigenen Angaben hatten nur 4000 Nutzer das Angebot genutzt. Die Gesellschaft hatte damit einen durchschnittlichen Wochenumsatz von 13.000 Euro erzielt. Das Verfahren sei zwar sehr sicher, habe sich aber nicht durchsetzen können. Das "normale" Verfahren ohne E-Postbrief bescherte wieder Umsätze von über 100.000 Euro.

Kundenservice


Der Kundenservice der Post, Geschäftsbereich Brief ist per E-Postbrief erreichbar.  - selbst wenn man das Premium-Produkt "Einschreiben mit Empfangsbestätigung" wählt. Das ist klasse. Versand und Empfang wurden allerdings innerhalb von 10 Sekunden quittiert. Die Empfangsbestätigung ist eben keine echte Lesebestätigung.

Eine Supportanfrage bezüglich des E-Postscan Travel wurde wie bei GMX gleich am nächsten Tag beantwortet. Allerdings auch hier nur mit freigegebenen Textbausteinen. Eine Rückfrage vom 15.5.2013 war auch noch am 27.05.2013 unbeantwortet. Zum Service E-Postscan wird es übrigens noch einen eigenen Blogpost geben (Nachtrag 10.06.2013: ist hier online).


Sicherheit

 

Der E-Postbrief bietet im Gegensatz zu De-Mail überhaupt keine Einbindung von Zertifikaten (weder X.509 noch andere) in dem Verzeichnisdienst an. Man ist also nur so sicher, wie die Post es von ihrem Service behauptet.

Empfangsbestätigungen enthalten den Fingerprint/Hashwert der verschickten Nachricht. Das klingt schonmal gut. Aber wie soll ich als Anwender den überprüfen? Bei empfangenen Mails habe ich nämlich gar keinen Zugriff auf den Fingerprint, um diesen abgleichen zu können. Immerhin sind die PDFs der Empfangsbestätigungen mit einer digitalen Signatur versehen. Dessen Authentizität lässt sich allerdings nicht mit üblichen Bordmitteln des Acrobat Reader bestätigen. Das Trustcenter der Post "Signtrust" ist nämlich dort nicht als certification authority erfasst. Das Prüfen kann der kostenfreie Dienst www.signatur-pruefen.de übernehmen. Der kennt die bei der Bundesnetzagentur akkreditierten Signaturstellen und fragt dort die Gültigkeit des Zertifikats ab. Da man dafür allerdings das eigene PDF an einen nur mäßig vertrauenswürdigen Anbieter hochladen muss, wird das sicher nichts für vertrauliche Kommunikation sein.



Mein derzeitiges Fazit


Beide Dienste hören sich in der Theorie ganz gut an.

Der Nutzen für den Kunden ist derzeit jedoch noch arg gering. Der Netzblogger Sascha Lobo schrieb treffend "De-Mail ist wie ein diigtaler Hauptstadtflughafen". Ich habe sie im Titel dieses Posts als nutzlose Beta-Versionen beschrieben. Beides passt wohl. Wir sind mit der Einschätzung auch nicht alleine. Auch die Stiftung Warentest war nicht so begeistert und selbst in der Onlineenzyklopädie Wikipedia finden sich neben meinen Kritikpunkten auch noch weitere.

Lange wurde uns eine sichere, digitale E-Mail versprochen. Sogar der neue Personalausweis wurde mit einem Chip ausgestattet, der die Basis für eine digitale Unterschrift sein soll.

Der Nutzen von Kommunikationssystem steht und fällt mit erreichbaren Gegenstellen. Diese ist bei beiden Systemen relativ geringt. Solange die E-Postbrief und De-Mail einzelne Teile ihrer Dienstleistung immer noch kundenunfreundlich gestalten, wird sich das in absehbarer Zeit auch nicht verbessern.

Probleme E-Postbrief

Ein Kardinalsfehler ist die völlig unsinnige Trennung der beiden Systeme.
Hier sehe ich den schwarzen Peter eindeutig bei der Deutschen Post. Diese könnte ja einfach eine De-Mail konforme Anmeldung für ihren E-Postbrief (PostIdentLight) einführen. Sie will es aber nicht, um neben dem Postdienst auch noch weitere Dienste an die Kunden mit gleichem Vertrag verkaufen zu können.

Die Dienste Zusatzdienste wie E-PostIdent oder E-Postscan sind sogar für das E-Business richtig gut. Aber so wie Ex-Monopolist Telekom immer wieder versucht ist, durch seine Marktmacht unnötige Bündelprodukte anzubieten (z.B. anfangs VDSL nur mit T-Entertain), so verhält sich auch derzeit Ex-Briefmonopolist Deutsche Post. Damit stellt sich der gelbe Riese selbst ein Bein. Vermutlich ist das sogar in gewisser Weise gewollt. Durch die Verweigerung zur Zusammenarbeit mit De-Mail verhindert man den Erfolg der rechtsverbindlichen elektronischen Massenkommunikation und sichert sich so weiter das Monopol im Bereich herkömmlich unterzeichneter Papierbriefe.

Dafür hat die Deutsche Post im Vergleich insgesamt die modernere, bessere Plattform. Das kann man bei einem Investitionsvolumen von 500 Millionen Euro auch erwarten dürfen. Allerdings ist natürlich immer die Frage, ob man das Geld auch effizient ausgibt. Es gibt Gerüchte, dass die Post in diesem Projekt stattliche Summen für externe Berater ausgegeben hat, die deutlich überdurchschnittlich gute Tagessätze abrechnen konnten. Ein Internet-Startup hätte das gleiche wohl auch für einen Bruchteil geschafft.

Immerhin - die Bundeswehr schafft es für 500 Millionen Euro die Kampfdrohne Global Hawk anzuschaffen, die dann wegen fehlender Kollissionskontrolle nicht von Europa aus starten darf und so umgewidmet werden muss. Da war das Post-Projekt mit gleichem Budget im Vergleich doch erfolgreicher. Dennoch sind die Sticheleien der De-Mail-Konkurrenz in diese Richtung sehr nachvollziehbar.


KO-Kriterium SMS bei De-Mail bei GMX


Das Fehlen einer SMS-Info ist bei De-Mail ist ein KO-Kriterium. Bis die diese Funktion nachgelegt haben, werde ich meine Adresse auf keinen Fall ins öffentliche Verzeichnis eintragen oder gar einer Behörde verraten. Wenn ich täglich 3-4 Minuten brauche, um ein leeres Postfach zu überprüfen, überwiegt dieser Nachteil den Nutzen bei weitem.

Erfolgskriterien für einen erfolgreichen elektronischen Briefdienst:

  • Kompatibilität der großen Postsysteme
  • Sichere Anbindung lokaler Client-Systeme (Apps, Mail-Clients)
  • Ende-zu-Ende-Verschlüsslung zu diesen Clients
  • Ein guter Support, der auch individuell antworten kann
  • Info per externem Kanal (SMS oder Email) bei jedem Eingang als zugesicherte Leistung
  • Im Markt akzeptierte Preise für die Zustellung
  • Und natürlich: Mehr Teilnehmer, mehr Teilnehmer, mehr Teilnehmer

Produktmanager bei Post und De-Mail-Anbietern - macht Euren Job!


Update 29.05.2013:

Die Preisfrage

Dass das Versenden von elektronischer Post einzeln Geld kostet, wird viele Freemailer-User im ersten Moment sehr verwundern. Für mich ist das nichts neues. Ich bin seit Jahren zufrieden zahlender GMX ProMail-Kunde, zahle an meinen Domainprovider und auch für die Google Apps. Niemand kann sichere Infrastruktur mit Datenleitungen, Rechenzentrum, Strom und Administration von Server und Anwendung auf Dauer wirklich kostenfrei erbringen. Guter und sicherer Service kostet eben Geld. Google-Mail ist nur deshalb kostenfrei, weil man dem Google-Konzern erlaubt, die Mails mitlesen zu lassen, damit sie die für Dich personalisierten Werbeflächen auf Deinem Bildschirm teurer verkaufen können.

Genau das will man bei sicherer, vertraulicher, rechtverbindlicher Post jedoch nichts. Daher schafft das Bezahlen pro Mail Vertrauen und ist zudem ein recht zuverlässiger Schutz gegen Spam. Niemand verschickt an 1.000.000 Empfänger Werbung für Penisvergrößerungen aus Nigeria, wenn er dafür 39 Cent (GMX De-Mail) oder 58 Cent (E-Postbrief) pro Mail zahlen muss.
 
Das Preismodell von GMX ist grundsätzlich attraktiver - zumal hier auch noch ein monatliches Freikontingent von 10 De-Mails vorhanden ist. Da probiert man den Service gerne mal auch so aus.

Update 15.06.2013:
Ob die Wettbewerbsklage eines "weltweit tätigen Post- und Logistikunternehmens" wirklich dem eigenen Produkt und dem Prinip des lauteren Wettbewerbs genutzt hat, darf sich jeder Leser selber überlegen. Vielleicht war es aber auch eher peinlich und hat damit die Invesitionen in den eigenen Brand entwertet. Liebe Bonner im Tower einer Firma mit gelbem Horn - denkt mal drüber nach.

Update 08.07.2013:
1&1 hat sowohl auf meine Supportanfrage wie auch meine konkreten Hinweise aus diesem Blog-Beitrag geantwortet. Daher habe ich nun einen zweiten Teil geschrieben.

2 Kommentare:

Dirk hat gesagt…

Minimale Ergänzung: Soweit ich weiß, kann PostIdent auch vom Briefboten vorgenommen werden, wenn er bei dir vorbeikommt. Allerdings wird das wohl auch nicht am Arbeitsplatz erfolgen, denke ich mir.

Warumduscher hat gesagt…

Hallo Dirk, Danke für die Ergänzung. Beim E-Postbrief wird der Kunde allerdings anders informiert (Stand: 16.04.2013):

"Willkommen in der E-POST Welt. Ihre Online Registrierung war erfolgreich.
Bevor Sie die E-POST Produkte nutzen können, benötigen wir Ihre vollständige Identifizierung.
Dazu bitten wir Sie sich per POSTIDENT Verfahren in einer der 13.000 Filialen
der Deutschen Post identifizieren zu lassen. Drucken Sie sich dazu den beigefügten POSTIDENT Coupon aus und zeigen diesen zusammen mit Ihrem Personalausweis in einer unserer Filialen. "

Kommentar veröffentlichen