Ob jemand etwas von De-Mail hat oder nicht und es nutzt oder nicht bleibt jedem selber überlassen. Ich finde es gut, wenn ich für meine Kontoauszüge meiner diversen Konten nicht 5 Seiten aufrufen muss, sondern die einfach in einem Postfach landen.

Es ist darüber hinaus nicht unsicherer spezifiziert, weil man Spam- und Virenschutz haben wollte. Es wird in der Diskussion einfach ständig End2End Verschlüsslung (die man auch bei De-Mail machen kann) mit einer Hop2Hop Verschlüsselung verwechselt.

Klar könnte die Nachricht (die erst beim Provider durch neue Header und Hashwert zur wirklichen De-Mail wird) noch verändert werden wenn man sie nicht vorher selber signiert hat (was man ja machen kann).
Darum muss jeder Provider neben 100 anderen Zertifikaten auch eine Zertifizierung nach IT-Grundschutz nachweisen. Das ist ein Katalog von 1200 Maßnahmen die aktuell meines Wissens nach kein Massenprovider in Deutschland erfüllt. Sprich, die Latte für De-Mail hängt echt hoch.

Es ist normalerweise keine gute Idee, Probleme zu versuchen mit IT zu lösen, die man besser anders lösen könnte. So ist es mit der “Zustellfiktion”, die nicht Gottgegeben ist, sondern so vom Gesetzgeber gewollt und deren Probleme eher ein Thema für den Gesetzgeber als für die IT sind.

Daß die völlig unverschuldet notleidenden von Dir genannten Banken und Versicherungen mit DE-Mail finanziell entlastet werden sollen, OK. Das hilft natürlich den Richtigen. Leider zu Lasten des Empfängers, denn de-fakto hat er jetzt trotzdem die Beweislast, mehr eigentlich als vorher, und muss belegen, dass ein “perfektes” System Fehler hat, wenn er tatsächlich etwas nicht bekommen hat, das System aber etwas anderes gemeldet hat. Mal abgesehen davon, dass es gar keine echte Ende-zu-Ende Verschlüsselung/Verifizierung gibt, und für den Empfänger damit nicht prüfbar ist, ob die Nachricht nicht doch irgendwo beim Provider verändert wurde.

Ja ich weiss, man wollte DE-Mail auch mit “Spam- und Virenschutz” dem Enduser schmackhaft machen und hat es deswegen etwas unsicherer
gemacht.

Solch ein (nicht ausschließbarer) Fehler im System ist ja bestimmt genauso einfach für den Betroffenen zu beweisen (aka “gar nicht”) wie “damals” bei der ec-Karte, welche ja auch ein perfektes System war, so behaupteten die Banken jahrelang, so dass jeder Fall eines Kartenmißbrauchs immer die Schuld des Kunden war, weil ein Betrüger nur durch den Leichtsinn des Karteninhabers an die PIN kommen konnte.

Du verzeihst meinen Sarkasmus, aber ich habe den Eindruck, dass man besonders bei (staatlich beteiligten) IT-Großprojekten, die unser Gemeinwesen stark verändern, nicht wirklich aus der Vergangenheit gelernt hat.

Mögliche Anwendungsfälle (um nur wenige zu nennen):
- Entgeltmitteilungen: Wenn Du diese nicht mehr per Post schickst, sparen größere Firmen 7-stellige Beträge im Jahr. Das machen z.B. schon Firmen aus dem Pilotprojekt in Friedrichshafen

- Kontoauszüge: Banken müssen nachweisen, dass Du von den Auszügen Kenntnis bekommen hast. Diese ganzen “Krücken” mit Onlineauszügen und zusenden wenn nicht abgeholt kann man sich durch De-Mail schenken.

- Änderung von AGBs o.ä. bei Versicherungen: Auch das muss nicht mehr per Brief geschickt werden.

Es geht nicht darum, Verwaltungskosten beim Staat einzusparen. In Östereich hat man ja mit diesem Ansatz vor mehreren Jahren angefangen (da gab es eine Behördenmail) und die Wirtschaft hat aber sehr schnell gemerkt, dass sie das auch wollen. Daher gibt es dort jetzt auch etwas wie De-Mail. Ähnliche Systeme haben auch schon viele andere Länder erfolgreich im Einsatz.

Bzgl. des von Dir angesprochenen Beweisrisikos kusiert leider auch viel Unsinn. De-Mail bringt ganz im Gegenteil mir sogar Vorteile. Die “Zustellfiktion” bei der Briefpost ist eine schwierige Geschichte. Wie soll ich bweisen, dass mich ein Brief nicht erreicht hat. Hierzu gibt es viele - teils unterschiedliche - Gerichtsurteile. Bei der De-Mail kann ich genau nachweisen, was mich wann mit welchem Inhalt erreicht hat. Das macht die Sache sehr einfach.

Bzgl. der Lesegeräte beim Ausweis solltest Du bedenken, dass Du halt nicht für alle Anwendungsfälle ein teures Lesegerät brauchst. Für viele Leute reicht sicherlich die kleinste Sicherheitsklasse aus.
Abgesehen liegt es ja im Ermessen der Firmen, was sie Dir als Kunde für ein Gerät geben (die Geräte werden nicht von den Behörden ausgegeben!)

“De-Mail” und (um ein weiteres ähnliches Beispiel zu nennen) “Elena” bringen dem eigentlichen Nutzer (Bürger oder Firmen) wenig Nutzen, dafür deutlich mehr Kosten und mehr Risiko (z.B. Beweisrisiko). Um vermeintliche Verwaltungskosten beim Staat einzusparen, werden diese nicht verringert, sondern verschoben, und damit bei den Leidtragenden (die als “Nutzniesser” dargestellt werden) abgekippt.

Der “Skandal” (falls es denn einer ist) besteht beim neuen Perso übrigens nicht darin, dass ein Lesegerät ohne Tastatur und Display unsicher ist, sondern darin, diesen vergleichsweise unsicheren Weg überhaupt zu erlauben. Ein IT-System ist halt nur so gut/sicher, wie die schlechteste seiner Komponente. Und wenn man unsichere Komponenten erlaubt, macht man damit das ganze System unsicher(er).

Nur dadurch, weil die “Experten” wissen, dass es schlecht ist und man etwas schlechtes in die technische Spezifikation schreibt, und es damit offiziell erlaubt, wird es noch lange nicht gut. Das einzige was man damit erreicht: Man kann belegen, dass man keine Schuld hat. Ist ja auch immer ganz wichtig bei IT-(Groß)-Projekten.