Das für kommendes Jahr in Aussicht gestellte De-Mail soll einen zuverlässigen und rechtssicheren Versand von Dokumenten erlauben. Hintergrund ist ein Entwurf des Bundeskabinetts für ein "Bürgerportal"-Gesetz. Die COMPUTERWOCHE wollte vom Beauftragten der Bundesregierung für Informationstechnik, dem "Bundes-CIO" Staatsekretär Dr. Hans Bernhard Beus, sowie dem Pilotprojektpartner T-Systems wissen, was der Dienst bieten soll, welcher rechtliche Rahmen für De-Mail gilt und welche Technik vorausgesetzt wird. Zudem kommen Kritiker des Ansatzes zu Wort.
Fragen an Staatsekretär Dr. Hans Bernhard Beus ("Bundes-CIO")
CW: Der Bedarf an vertraulicher Kommunikation ist groß. Warum kommt der sichere E-Mail-Versand "De-Mail" erst jetzt?
BEUS: Sie haben Recht, das Thema vertrauliche Kommunikation steht schon länger auf der Tagesordnung. Wir haben uns intensiv damit beschäftigt, um jetzt ein schlüssiges Konzept vorlegen zu können. Auch in anderen Ländern wie Österreich oder Estland werden verschiedene Ansätze diskutiert. Uns war dabei von Beginn an wichtig, De-Mail nicht nur auf die Kommunikation mit Behörden zu beschränken und keine staatliche Infrastruktur aufzubauen. Die Post ist ja schließlich auch nicht mehr staatlich. Mit dem Ansatz, privatwirtschaftliche Provider zu akkreditieren und ein Angebot für Privatpersonen, Behörden, Unternehmen und sonstige Institutionen gleichermaßen zu schaffen, nimmt Deutschland eine internationale Vorreiterrolle ein.
CW: Wer wird De-Mail anbieten?
BEUS: De-Mail soll von privaten Providern angeboten werden, die sich für den De-Mail-Betrieb akkreditieren lassen müssen. Die Akkreditierung steht nach Abschluss des Gesetzgebungsverfahrens jedem Unternehmen offen. Das Bundesamt für Sicherheit in der Informationstechnik prüft die IT-Sicherheit und gewährleistet die Einhaltung festgelegter Kriterien aus dem Datenschutz. Die Kriterien werden regelmäßig angepasst, und die Zertifizierung wird spätestens alle drei Jahre wiederholt.
CW: De-Mail soll Nutzer auch vor Spam schützen. Aber wie?
BEUS: Dafür gibt es zwei wesentliche Ansatzpunkte: Spam ist strafbar und wird deshalb anonym versendet. Bei De-Mail jedoch sind die Kommunikationspartner eindeutig nachvollziehbar, das heißt auch im Streitfall greifbar. Im De-Mail-Verbund wird deshalb Spam in der Regel nicht vorkommen. Der Missbrauch von De-Mail-Accounts wird durch technische Vorkehrungen erheblich erschwert.
Fragen an das Bundesinnenministerium (BMI)
CW: Bei De-Mail ist von einem rechtlichen Rahmen die Rede. Gibt es den nicht schon in Form des Signaturgesetzes?
BUNDESINNENMINISTERIUM: Das Bürgerportal-Gesetz schafft einen Rechtsrahmen für sichere und datenschutzfreundliche Kommunikation im Internet. Auch die Post ist heute kein staatliches Unternehmen mehr. Deshalb entwickelt und betreibt der Staat die neue Infrastruktur nicht selbst. Stattdessen akkreditiert das BSI (Bundesamt für Sicherheit in der Informationstechnik) Dienstleister aus der Wirtschaft. Nachzuweisen sind von den Unternehmen dabei Einheitlichkeit, Sicherheit und Datenschutz der angebotenen Postfach-, Versand- und Speicherdienste. Zudem werden im Bürgerportal-Gesetz die Aufsicht sowie Aufklärungs-, Dokumentations- und sonstige Pflichten des akkreditierten Diensteanbieters festgelegt.
Das Signaturgesetz schafft einen rechtlichen Rahmen für elektronische Signaturen mit dem Ziel, ein elektronisches Äquivalent zur Unterschrift zu haben. Daher führt im Allgemeinen der Einsatz qualifizierter elektronischer Signaturen zur Erfüllung gesetzlicher Schriftformerfordernisse. Bei der qualifizierten elektronischen Signatur geht es somit um die Integrität und Authentizität eines elektronischen Dokuments und darum, diese über einen sehr langen Zeitraum zu gewährleisten.
De-Mail bezweckt die Authentizität und Verlässlichkeit eines Kommunikationsaktes. Ziel sind die Sicherheit des Kommunikationskanals sowie des Zugangs zu diesem. Natürlich können per De-Mail auch signierte Dokumente versendet werden, genauso wie unterschriebene Dokumente mit der Papierpost.
CW: Wird die technische Lösung für Unternehmen und private Nutzer auf Smartcards basieren?
BUNDESINNENMINISTERIUM: Für die Teilnahme an De-Mail ist weder ein Smartcard-Reader noch ein softwaregestütztes Zertifikat unbedingt erforderlich. Die Nutzer können sich an ihrem De-Mail-Konto mit unterschiedlichen Sicherheitsniveaus anmelden. Zum einen ist das bekannte Benutzername/Passwort-Verfahren vorgesehen. Für das Passwort ist hierbei ein gewisses Komplexitätsniveau vorgeschrieben.
Für bestimmte Versandoptionen wie "persönlich" oder "absenderbestätigt" ist ein höheres Authentisierungsniveau notwendig, das die Anmeldung mit "Besitz" und "Wissen" erfordert. Für diese sichere Anmeldung sind unterschiedliche Verfahren möglich. Der elektronische Personalausweis muss bei allen De-Mail-Anbietern für eine Anmeldung am Konto zugelassen sein, die Auswahl weiterer verwendeter Mechanismen obliegt dem Diensteanbieter. Das BSI erarbeitet derzeit Kriterien, die für eine Anmeldung am De-Mail-Konto auf dem Niveau "hoch" erfüllt sein müssen.
Fragen an den De-Mail-Pilotprojektpartner T-Systems
CW: Wie lässt sich De-Mail in Geschäftsabläufe von Unternehmen integrieren?
T-SYSTEMS: Um eine Anbindung an einen De-Mail-Provider so einfach wie möglich zu gestalten, wird aktuell an einem Unternehmens-Gateway gearbeitet. Das Gateway soll bereits in der Pilotierung zum Einsatz kommen und weiterentwickelt werden. Eine Option ist die direkte Integration in die Software von Drittanbietern, hierzu laufen bereits erste Gespräche.
CW: Wer kann sich an dem Pilotprojekt beteiligen und auf welche Weise?
T-SYSTEMS: In Friedrichshafen läuft das besagte Pilotprojekt. Firmen aus dieser Stadt, die an der Pilotierung teilnehmen möchten, können sich an das Bundesinnenministerium unter der E-Mail-Adresse demail@bmi.bund.de wenden.
Kritische Stimmen zu De-Mail
Grundsätzlich ist die De-Mail-Initiative zu begrüßen, meinen Kritiker und verweisen auf mögliche Probleme bei der Umsetzung. Andere lehnen vom Staat erdachte Kommunikationssysteme für jedermann ab.
So schreibt beispielsweise das TK-Magazin Teltarif.de aus Berlin in einem Kommentar: "Sich einen freien Namen zu wählen oder gar einen bestehenden E-Mail-Account auf De-Mail upzugraden scheint nicht vorgesehen zu sein. Für einen Brief eines Bürgers an eine Behörde mögen diese Maßnahmen sinnvoll sein, für private oder unternehmensinterne Kommunikation eher weniger."
Chaos Computer Club
Zu den "Begrüßern der Initiative zählt der Chaos Computer Club (CCC) aus Hamburg indes nicht. "Vertrauliche E-Mails können Personen schon seit Jahren über Verfahren wie Pretty Good Privacy (PGP) verwenden, ohne dafür einen Schlüssel beim Staat hinterlegen zu müssen", so Dirk Engling, Sprecher des Chaos Computer Club, auf Anfrage der COMPUTERWOCHE. Und da sich gerade die Deutsche Telekom in ihren Datenskandalen nicht eben rühmlich verhalten hat, sei es fraglich, wieso Bürger und Firmen der Konzerntochter T-Systems nun ihre E-Mails anvertrauen sollten. Zudem fürchtet der CCC, dass Anwender von De-Mail es dem Staat leicht machen würden, ihre elektronische Post zu durchsuchen - quasi eine Fortsetzung der Vorratsdatenspeicherung.
"Riesige Datenmengen an einer zentralen Stelle zu sammeln ist eine blöde Idee", meint der CCC-Sprecher. Niemand könne ausschließen, dass Missbrauch betrieben wird. Dem Computerclub behagt ferner nicht, dass möglicherweise die behördliche Kommunikation künftig nur noch über De-Mail zulässig sein könnte.