Foto: BSI
Kaum hatten Anbieter bei GMX, Telekom und Web.de Mitte Juli ihre Web-Seiten freigeschaltet, auf denen sich Interessenten ihre Wunschadresse für die De-Mail-Dienste der diversen Provider sichern konnten, flammte auch schon die Kritik an der Sicherheit auf. Aus technischen Gründen werden sämtliche De-Mails auf dem Server des Anbieters einmal kurz entschlüsselt und anschließend sofort wieder verschlüsselt (siehe Diskussion über Sicherheit der neuen De-Mail). Kritiker sehen darin eine gravierende Schwachstelle, die sich Angreifer zunutze machen könnten. Sie vergleichen die Entschlüsselung mit einer Briefpost, die auf dem Weg zum Empfänger geöffnet und in ein neues Kuvert gesteckt wird.
Doch nicht so sicher?
Der Bitkom, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und sogar das Bundesinnenministerium sahen sich angesichts der Wucht der Kritik in der Defensive. Nur in Hochsicherheits-Rechenzentren, die den strengen Vorschriften des De-Mail-Gesetzes genügen, dürfen die Mails für einen kurzen Moment entschlüsselt werden, versuchten sie zu beruhigen. Wer den Providern misstraue, könne seine elektronische Post selbst extra verschlüsseln, also quasi in einen weiteren Umschlag stecken (siehe Innenministerium: De-Mail ist sicher). Kritiker beruhigt diese Aussicht keineswegs, war doch das wichtigste Argument für De-Mail, die für den täglichen Gebrauch zu komplizierte klassische Verschlüsselung abzulösen. Doch die Einwände enden nicht am Thema Sicherheit. Die Lösung sei nicht international, zu aufwendig, zu teuer und schränke den Wettbewerb ein.
De-Mail ist eine deutsche Insellösung
Es gibt keine EU-Pläne, ein mit De-Mail vergleichbares E-Mail-System für alle Mitgliedsländer einzuführen. Selbst wenn einzelne Länder ein ähnliches System umsetzen würden, dürfte sich der Nutzen für geschäftliche Mails in Grenzen halten. Angenommen, Frankreich würde eine F-Mail einführen: Wären ein deutscher Automobilzulieferer und ein französischer Automobilhersteller bereit, vertrauliche Informationen auszutauschen, wenn sowohl der F-Mail-Provider (etwa France Telecom) als auch der De-Mail-Provider (zum Beispiel die Deutsche Telekom) Einblick in die Daten hätten?
De-Mail verlangt eine neue E-Mail-Adresse
Das Konzept verlangt für jeden De-Mail-Benutzer eine neue E-Mail-Adresse. Üblicherweise sieht diese wie folgt aus: <Vorname>.<Nachname>@<De-Mail-Provider>.de-mail.de. Sich zu registrieren und identifizieren zu lassen ist aufwendig. Zudem entsteht eine komplizierte, neue E-Mail-Infrastruktur, die zusätzlich zu den aktuellen Installationen gepflegt werden muss. Dies treibt die Kosten in die Höhe und ist unnötig, weil bereits die vorhandenen E-Mail-Adressen weltweit einmalig sind.
De-Mail gibt es nur bei wenigen Providern
Das Konzept der De-Mail verquickt die Aspekte Netz und Dienst. Dadurch ergeben sich erhebliche Wettbewerbseinschränkungen. Im Vorteil sind De-Mail-Provider (Dienstanbieter), die zugleich auch als E-Mail-Betreiber über die anspruchsvolle Infrastruktur verfügen können. Die Einführung einer De-Mail-Installation können nur die großen, finanzkräftigen Anbieter stemmen, unter anderem weil die Zertifizierung beim BSI umständlich ist.
De-Mail im Postfach gilt als zugestellt
Das Gesetz wertet eine De-Mail als zugestellt, sobald sie im Postfach des Empfängers angekommen ist. Damit beginnen auch die Rechtsfristen zu verstreichen, etwa wenn Behörden elektronische Briefe verschickt haben. Experten fordern ein Verfahren, das einen Brief dann als zugestellt wertet, wenn er vom Empfänger geöffnet wird. Sie bemängeln, dass Bürger gezwungen sind, regelmäßig ihr De-Mail-Postfach zu kontrollieren.
Niemand braucht De-Mail
Ossi Urchs, Geschäftsführer der F.F.T Medianagentur, Fachautor und Moderator für Internet-Themen, sieht keinen Bedarf an De-Mail:
CW: Für wen ist De-Mail geeignet?
URCHS: Für die eine Anwaltskanzlei oder den anderen Steuerberater mag es einen eingeschränkten Sinn geben. Vorausgesetzt, der Teilnehmer ist sich der erheblichen Risiken bewusst, die diese Art der Kommunikation mit sich bringt. Ansonsten würde ich immer die verfügbare digitale Signatur in Verbindung mit einer wirklich von Ende zu Ende funktionierenden Verschlüsselung wie PGP empfehlen.
CW: Warum raten Sie ab?
URCHS: Für De-Mail spricht allenfalls der Wunsch der Provider, zahlreiche kostenlose Mail-Konten in zahlungspflichtige Accounts zu verwandeln. Dagegen spricht vor allem ein nicht durchdachtes Sicherheitssystem mit erheblichen Lücken. Eine Mail, die während der Übermittlung wieder entschlüsselt wird, ist nicht sicher. Dabei ist es übrigens völlig unerheblich, wie lange die Mail offen vorliegt. Ein solcher Angriffspunkt, das zeigen alle Erfahrungen, wird von Angreifern innerhalb und außerhalb des Systems genutzt.
CW: Wie kritisch ist das Sicherheitsproblem?
URCHS: Technisch nicht versierte Nutzer glauben, es handele sich bei De-Mail um ein wirklich sicheres System. Deshalb besteht die Gefahr, dass sie Vorsichtsmaßnahmen, die sie heute noch treffen, über Bord werfen. Auf die Rechtsunsicherheit muss man nicht weiter eingehen: eine Flut von Streitfällen ist jedenfalls absehbar.
CW: Was ist die Alternative?
URCHS: Es wäre viel einfacher und kostengünstiger für alle Beteiligten, eines der vorhandenen und ausreichend sicheren Verschlüsselungssysteme zu empfehlen, zu zertifizieren und damit rechtsverbindlich zu machen. Das ließe sich mit der Aufforderung an die Hersteller beziehungsweise Provider verbinden, auf dieser Grundlage ein nutzerfreundlicheres System zu entwickeln, das etwa Mails bei Bedarf automatisch verschlüsselt.
Anwälte raten von De-Mail ab
Foto: Fotolia, R. Irusta
In einer Stellungnahme der Bundesrechtsanwaltskammer zum De-Mail-Gesetz werden das fehlende Gesamtkonzept, Kosteneinsparungen, Zustellungsfragen, das Format der E-Mail-Adressen, die Identitätsbestätigung und die Dokumentenablage kritisiert. Der Gesetzentwurf sei in der jetzigen Form rechtsstaatlich bedenklich, weil er wesentliche Regelungen der zuständigen Behörde überlasse. Im Gesetz müsse unbedingt geregelt werden, dass die Vorgaben der zuständigen Behörde technikneutral und diskriminierungsfrei erfolgen müssten.
Diese Vorgaben hätten sich auf die Beschreibung von Sicherheitsstandards zu beschränken und die Interoperabilität zu internationalen und nationalen anderen Diensten sicherzustellen. Auch der Deutsche Anwaltverein (DAV) hegt Zweifel daran, dass es ein praktisches Bedürfnis am vorgeschlagenen De-Mail-Dienst gibt. Der Verein schlägt deshalb vor, dieses Gesetzgebungsverfahren nicht weiterzuverfolgen. (jha)
Kippt die EU das De-Mail-Gesetz?
Seit dem April 2009 liegt der EU-Kommission eine Beschwerde gegen die De-Mail vor. Der Beschwerdeführer ist die Berliner P1 Privat GmbH, Anbieter von Diensten wie G-Mail und Quabb. Nach Auffassung von P1 verstößt das geplante De-Mail-Gesetz in mindestens zwei Punkten gegen EU-Recht. Es widerspricht der Dienstleistungsfreiheit (Artikel 56 des Vertrags über die Arbeitsweise der Europäischen Union = AEUV), weil es eine nationale Initiative ist. Zudem schränkt es die im Artikel 106 des AEUV niedergelegten Wettbewerbsregeln ein. Die EU-Kommission wird sich der Beschwerde erst annehmen, wenn der endgültige Gesetzentwurf vorliegt.
Alternative Lösungen
In der Praxis ist eine E-Mail-Lösung sicher, wenn sie eine vertrauenswürdige Kommunikation ermöglicht. Nachstehend finden Sie eine Auswahl von etablierten Alternativen:
- Echoworx;
- Voltage;
- Secureenvoy;
- Rpost;
- Cryptzone;
- Datamotion;
- Seppmail.
Eine einfache und kostengünstige Lösung bietet zudem das Unternehmen Regify. Nutzer können ihre vorhandene E-Mail-Adresse weiterverwenden, ein Plug-in für gängige Clients wie Outlook, Notes und Blackberry verschlüsselt die Mail auf Knopfdruck. Die Empfänger erhalten eine Benachrichtigung mit einem Link, wo sie die verschlüsselte E-Mail abholen können. Um die E-Mail lesen zu können, benötigen sie einen Reader, der zum kostenlosen Download bereitsteht. Bislang haben fünf Provider den Dienst implementiert. Er kostet in der Regel zwischen zwei und drei Euro pro Nutzer und Monat.