Sichere E-Mail-Kommunikation

Fragen und Antworten zu De-Mail

19.02.2009
Von 
Vice President Software & SaaS Markets PAC Germany

Fragen an das Bundesinnenministerium (BMI)

CW: Bei De-Mail ist von einem rechtlichen Rahmen die Rede. Gibt es den nicht schon in Form des Signaturgesetzes?

BUNDESINNENMINISTERIUM: Das Bürgerportal-Gesetz schafft einen Rechtsrahmen für sichere und datenschutzfreundliche Kommunikation im Internet. Auch die Post ist heute kein staatliches Unternehmen mehr. Deshalb entwickelt und betreibt der Staat die neue Infrastruktur nicht selbst. Stattdessen akkreditiert das BSI (Bundesamt für Sicherheit in der Informationstechnik) Dienstleister aus der Wirtschaft. Nachzuweisen sind von den Unternehmen dabei Einheitlichkeit, Sicherheit und Datenschutz der angebotenen Postfach-, Versand- und Speicherdienste. Zudem werden im Bürgerportal-Gesetz die Aufsicht sowie Aufklärungs-, Dokumentations- und sonstige Pflichten des akkreditierten Diensteanbieters festgelegt.

Das Signaturgesetz schafft einen rechtlichen Rahmen für elektronische Signaturen mit dem Ziel, ein elektronisches Äquivalent zur Unterschrift zu haben. Daher führt im Allgemeinen der Einsatz qualifizierter elektronischer Signaturen zur Erfüllung gesetzlicher Schriftformerfordernisse. Bei der qualifizierten elektronischen Signatur geht es somit um die Integrität und Authentizität eines elektronischen Dokuments und darum, diese über einen sehr langen Zeitraum zu gewährleisten.

De-Mail bezweckt die Authentizität und Verlässlichkeit eines Kommunikationsaktes. Ziel sind die Sicherheit des Kommunikationskanals sowie des Zugangs zu diesem. Natürlich können per De-Mail auch signierte Dokumente versendet werden, genauso wie unterschriebene Dokumente mit der Papierpost.

CW: Wird die technische Lösung für Unternehmen und private Nutzer auf Smartcards basieren?

BUNDESINNENMINISTERIUM: Für die Teilnahme an De-Mail ist weder ein Smartcard-Reader noch ein softwaregestütztes Zertifikat unbedingt erforderlich. Die Nutzer können sich an ihrem De-Mail-Konto mit unterschiedlichen Sicherheitsniveaus anmelden. Zum einen ist das bekannte Benutzername/Passwort-Verfahren vorgesehen. Für das Passwort ist hierbei ein gewisses Komplexitätsniveau vorgeschrieben.

De-Mail soll den vertraulichen und zuverlässigen Versand von Dokumenten ermöglichen.
De-Mail soll den vertraulichen und zuverlässigen Versand von Dokumenten ermöglichen.

Für bestimmte Versandoptionen wie "persönlich" oder "absenderbestätigt" ist ein höheres Authentisierungsniveau notwendig, das die Anmeldung mit "Besitz" und "Wissen" erfordert. Für diese sichere Anmeldung sind unterschiedliche Verfahren möglich. Der elektronische Personalausweis muss bei allen De-Mail-Anbietern für eine Anmeldung am Konto zugelassen sein, die Auswahl weiterer verwendeter Mechanismen obliegt dem Diensteanbieter. Das BSI erarbeitet derzeit Kriterien, die für eine Anmeldung am De-Mail-Konto auf dem Niveau "hoch" erfüllt sein müssen.