Soziale Netze, Instant Messaging, Unified Communications, Social Business und Multimedia Messaging Service (MMS) - das Angebot an Kommunikationswegen ist heute reichhaltig wie nie zuvor. Vor diesem Hintergrund wird der klassischen E-Mail immer wieder das nahende Ende vorhergesagt, doch im kommerziellen Umfeld (B2B, B2C und E-Government) wird sie weiterhin ein wichtiges, kostengünstiges und vor allem schnelles Kommunikationsmedium bleiben. Allerdings muss die digitale Post vertraulich, vertrauenswürdig, (rechts)verbindlich, auditierbar, integer, authentisch und trotz alledem einfach zu bedienen sowie preiswert sein. Will die E-Mail ferner den klassischen Papierbrief mit all seinen datenschutzrechtlichen Attributen ersetzen, dann sollte sie idealerweise auch international anwendbar sein.
Sichere E-Mail durch Verschlüsselung
Es existieren verschiedene Methoden zur Verschlüsselung von E-Mails. Bekannt ist etwa die Public Key Infrastructure (PKI), die sich etwa als Gateway-Lösung von einem externen Provider oder intern mit einem PKI-Produkt betreiben lässt. Beide Verfahren erfordern die Bereitstellung von Zertifikaten, die in der Regel jährliche Kosten je Benutzer verursachen. Dazu kommen die Kosten für den Aufbau und Betrieb der PKI sowie das benötigte Trustcenter (TC). PKI gilt als technisch eleganter, aber aufwendiger Lösungsansatz. Bei den IT-Technikern und Kryptographie-Experten findet PKI Anklang, bei allen anderen nicht. Insbesondere ist der Markt nicht bereit, die hohen Betriebskosten zu bezahlen. Deshalb ist die Marktdurchdringung immer noch marginal. Gleiches gilt für die Ende-zu-Ende Verschlüsselung mit PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions).
Vor diesem Hintergrund erhoffen sich die Anbieter von gesamtheitlichen Lösungen (etwa e-Postbrief und De-Mail) einen besseren Zuspruch der Anwender. Um die Akzeptanz zu fördern, locken die Betreiber mit Funktionen wie Nachprüfung aller Transaktionen, Empfangs- und Lesebestätigung, Authentifizierung der Identitäten von Sender und Empfänger, Benachrichtigung über nicht abgeholte Mails und Kompatibilität zur "Digitalen Signatur". Um aber die Briefpost durch eine digitale Version abzulösen, ist der Datenschutz mit seinen vielen Regelungen zu gewährleisten. Eben hier sehen Kritiker insbesondere bei De-Mail und dem E-Postbrief Schwächen, weil die Provider während des Transfers nicht nur die E-Mail sondern auch den dazugehörigen Schlüssel besitzen.
Genossenschaft zur Wahrung von Nutzerinteressen
Eine Lösung für dieses Dilemma samt eines umfassenden Datenschutzes könnte eine Plattform gewährleisten, die unter der Selbstkontrolle und -verwaltung der Verbraucher steht und Zustimmungen, Auskunftsanfragen, Widerrufe sowie Löschaufforderungen strukturiert und digital an Unternehmen weitergeben kann. Die "Genossenschaft zur Wahrung von Nutzerinteressen eG in Gründung" www.nutzerinteressen.org und die internetPost AG www.postcube.de arbeiten derzeit an eine solche Anlaufstelle: Hier können Nutzer künftig festlegen, für wen sie digital oder physisch erreichbar sind und für wen nicht. Außerdem können sie bei Unternehmen Selbstauskünfte anfordern und die Löschung ihrer Daten veranlassen.
Standards gibt es, sie werden ignoriert
Auch der Weltpostverein UPU (Union Postale Universelle), Dachorganisation für den weltweiten Briefversand, befasst sich seit geraumer Zeit mit der Transformation des klassischen Briefs hin zur elektronischen Kommunikation und hat dazu seit 2003 bereits eine Reihe von Standards veröffentlicht. Zwar wurden sie als europäische und deutsche Norm übernommen, zudem hat sich die UPU die Top-Level-Domain .post für standardkonforme Dienste gesichert. Der Erfolg der Initiative ist indes bescheiden: Weder De-Mail und E-Postbrief haben diese Standards implementiert. Es ist nicht bekannt, ob es über Lösungen gibt, die der UPU-Definition entsprechen.
Um dennoch eine globale, sichere und vertrauenswürdige Plattform für postalische E-Dienste zu erproben, hat die UPU mit Poste Italiane im März 2012 eine Vereinbarung getroffen. Bis zum 25. UPU-Kongreß im kommenden Herbst steht italienische Post nun in der Pflicht, ein .post-Plattform zu realisieren. Die UPU stellt dafür 500.000 Euro bereit.
Der E-Postbrief der Deutschen Post
Bereits im Jahr 2000 hat die Deutsche Post AG den kostenlosen E-Mail-Dienst ePost gestartet. Fünf Jahre später wurde er mangels Interesse eingestellt, damals empfahl die Post den Benutzern, zu Lycos zu wechseln. Die seinerzeit verwendete Domäne epost.de blieb im Besitz des gelben Riesen, und konnte daher schnell und einfach reaktiviert werden. Im Juli 2010 hat die Post mit dem E-Postbrief den nächsten Versuch im Markt für die digitale, rechtsverbindliche Kommunikation gestartet.
Der E-Postbrief ist eine Hybridlösung. Eine Übertragung ohne Medienbruch gibt es nur zwischen E-Postbrief-Kunden, Empfänger, die über keine E-Mail-Konto bei der Post verfügen, erhalten die Nachricht als Briefpost. Dazu wird der Text ausgedruckt, kuvertiert und vom Postboten zugestellt. Für die Teilnahme ist eine Identifizierung per Post-Ident-Verfahren und eine neue E-Mail-Adresse erforderlich. Die Bedienung erfolgt entweder über ein Portal oder Gateway. Die Kosten für eine E-Mail mit elektronischer Zustellung sind mit 55 Cent identisch mit denen eines Standardbriefes. Für Zusatzleistungen wie Einschreiben als Einwurf oder mit Empfangsbestätigung verlangt der Betreiber jeweils 1,60 Euro extra.
Die Post hat den Dienst anfangs als "genauso verbindlich, vertraulich und verlässlich" wie die Briefpost beschrieben, das wurde ihr per Urteil des Oberlandesgerichts Köln verboten. Trotz enormer Werbung leidet der E-Postbrief nach wie vor an Akzeptanzproblemen. Die Zahl der aktiven Nutzer ist nicht bekannt, liegt aber angeblich weit hinter den Zielen der Deutschen Post zurück. Um die Akzeptanz des eigenen Produkts doch zu verbessern, will die Post weitere Anwendungen entwickeln.
In diese Strategie fügt sich beispielsweise auch eine Kooperation mit der Datev für die elektronische Rechnungsverarbeitung ein. In der bisherigen Form ist der E-Postbrief auch nicht kompatibel zu De-Mail, die Post kündigte daher an, bis Jahresende ein entsprechendes Gateway zu entwickeln. Ungeklärt bleibt auch die Frage der internationalen Verfügbarkeit. Bislang steht nur ein bilaterales Abkommen mit der italienischen Post zu Buche. Es ist schwer vorstellbar, dass die hiesige Post AG mit sämtlichen internationalen Postverwaltungen ähnliche Vereinbarungen treffen wird.
Julia Mailoffice & SDD
Julia Mailoffice
Als weiteres Beispiele für eine praktikable Lösungen zur sicheren E-Mail-Kommunikation gilt Julia Mailoffice von Allgeier IT Solutions GmbH. Julia Mailoffice ist eine vom BSI empfohlene, serverbasierende Lösung zum Ver- und Entschlüsseln von E-Mails sowie zur zentralen Signatur und Signaturprüfung. Sie repräsentiert eine Virtuelle Poststelle (VPS) und wird hier in Deutschland bei vielen Bundesbehörden eingesetzt. Sämtliche aufwändigen Prozeduren einer Client-Verschlüsselung sind auf ein zentrales Gateway verlagert und basieren auf den Standards SMTP, S/MIME und PGP.
Secure Document Delivery von Unisys
Auch der IT-Anbieter Unisys betreibt mit "Secure Document Delivery" eine sichere E-Mail-Lösung. Sie basiert auf der "Striata"-Applikationsplattform, die speziell für den Massenversand von E-Mails entwickelt wurde. Je nach Konfiguration des Kunden- oder Mandantensystems ist die Lösung in der Lage, über 500.000 Nachrichten in der Stunde zu senden und ein Reporting für diese Nachrichten zu erstellen. Die folgenden technisch-organisatorischen Anforderungen und Empfehlungen sind für den erfolgreichen Betrieb einer Dokumentenzustellungslösung erforderlich:
• Absenderidentifikation
• Sender Policy Framework (SPF) - Erschwert das Fälschen des Absenders
• Domain Keys sowie Domain Keys Identified Mail (DKIM) - Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern
• Identified Internet Mail (IIM) - Vorläufer der Domain Keys
• Whitelisting/Akkreditierung - umfasst eine Liste vertrauenswürdiger E-Mail-Versender
• Greylisting - die Methodik, um Spam zu identifizieren inklusive der Möglichkeit, den Absender aussortierter E-Mails zu benachrichtigen
• Tarpitting ("Verzögerte Verbindungen") - eine Methode, um die Verbindungen von nicht vertrauenswürdigen Quellen in ihrer Kommunikation zu verzögern und so die Kosten der Versendung von Spam zu erhöhen
• Blacklisting oder Real-Time Blackhole Lists (RBL) - Negativliste
• E-Mail-Content-Analyse
• Reporting.
Z1 & Regify
Z1 von Zertificon Solutions
Die Zertificon Solutions GmbH bietet mit dem "Z1 SecureMail Gateway" eine zentrale Server-Lösung für die E-Mail-Verschlüsselung und -Signatur an. Das Gateway arbeitet als SMTP-Proxy ohne weitere Software-Installation auf Clients und wird durch zentrale, flexibel konfigurierbare Regeln oder Client-Befehle gesteuert. Die Z1-Lösung ist für unterschiedliche Unternehmensgrößen skalierbar und in der Lizenzierung flexibel. Mögliche Konfigurationen reichen vom einfachen Stand-Alone-System zum Beispiel in einer Kanzlei bis zum voll mandantenfähigen, hoch verfügbaren Rechenzentrums-Cluster im Enterprise- beziehungsweise Provider-Umfeld mit PKI- und ERP-Integration sowie Anbindung von Krypto-Hardware. Zertificon bietet Lösungen für die folgenden Anwendungssituationen an:
• Für den Austausch mit anderen Unternehmen oder Behörden eignet sich die auf E-Mail-Zertifikaten (S/MIME oder PGP) basierende Verschlüsselung, die auch digitale Signaturen ermöglicht.
• Zu Partnerunternehmen gibt es Kommunikationswege, die mittels TLS (Transport Layer Security) gesicherte sind oder als VPN betrieben werden (Virtual Private Network).
• Der E-Mail-Austausch mit Kunden im B2C-Bereich kann an deren gewöhnliches Postfach erfolgen. Die Kommunikation sollte aber Passwort-geschützt sein und über einen sicheren Web-Mailer abgewickelt werden. Zudem bietet sich die Übertragung eines verschlüsselten PDF-Dokuments an.
Auf der CeBIT 2012 hat Zertificon eine vereinfachte Nutzung PKI-gebundener Applikationen vorgestellt und einen De-Mail-Connectors in Aussicht gestellt, um Geschäftskunden an die De-Mail-Infastruktur anzubinden.
Regify bewahrt vorhandene Mail-Adressen
Den elektronischen Brief "Regimail" von Regify können Anwender webbasiert oder integriert in ihre lokalen E-Mail-Clients wie Outlook, Notes oder Thunderbird nutzen. Für mobile Nutzer stehen für Apple iOS (iPhone, iPad und iPod touch), Android und Blackberry entsprechende Apps zur Verfügung. Nutzer erledigen ihre sichere, elektronische Post damit einfach mittels Klick in ihrer gewohnten E-Mail-Umgebung. Eine neue E-Mail-Adresse ist nicht erforderlich. regify-Nachrichten sind generell Ende-zu-Ende verschlüsselt.
Die E-Mail-basierte Lösung regimail wird von 25 Providern national und international angeboten. Nutzer melden sich an beim Provider ihrer Wahl. Die Kommunikation funktioniert providerübergreifend, d.h. ähnlich wie beim Mobilfunk können regify-Nutzer elektronische Briefe austauschen, selbst wenn sie bei verschiedenen Providern angemeldet sind. Den Dienstleistern stehen mit Regipay und Regibill zwei weitere Services zur Verfügung für die vertrauliche, papierlose Zustellung von elektronischen Lohn- und Gehaltsdokumenten beziehungsweise für die rechtskonforme, elektronische Übertragung von Rechnungen. Der Empfang von regify-Nachrichten ist immer kostenlos. Privatpersonen nutzen regify gänzlich kostenlos mit "Regimail Private" . (jha)