Verbindlich und vertraulich übers Internet

Im Mai 2011 ist - mit Verzögerung - das so genannte De-Mail-Gesetz in Kraft getreten. Die Paragraphen regeln die Anforderungen an die organisatorische und technische Sicherheit der angebotenen Dienste. De-Mail, heißt es dazu bei Wikipedia, "ist ein vom deutschen Bundesministerium des Innern koordiniertes Projekt, das das verbindliche und vertrauliche Versenden von Dokumenten und Nachrichten über das Internet ermöglichen soll. Anbieter dieser elektronischen Post sind privatwirtschaftliche Unternehmen."

Jeder Anbieter, der die im De-Mail-Gesetz geforderten Anforderungen an die organisatorische und technische Sicherheit erfüllt, kann sich als De-Mail-Provider akkreditieren lassen. Bislang gibt es in Deutschland vier davon: United Internet (GMX, WEB.DE), Mentana Claimsoft, Telekom und Post. Als erstes Unternehmen wird wohl die Telekom im Frühjahr mit De-Mail starten - das zumindest hat Projektleiter Jens Mayer jüngst in der FAZ erklärt.

Dann wird es möglich sein, Dokumente und Nachrichten verbindlich und vertraulich über das Internet zu versenden. "Die Identität der Kommunikationspartner sowie die Zustellung der De-Mails können nachgewiesen werden", heißt es dazu beim Bundes-CIO lapidar. Zudem sei sichergestellt, dass Inhalte einer De-Mail auf ihrem Weg durch das Internet nicht von Unbefugten mitgelesen oder verändert werden können. "Abgesicherte Anmeldeverfahren und Verbindungen zu den Providern sowie verschlüsselte Transportwege zwischen den Providern sorgen für einen verbindlichen Versand und Empfang von De-Mails." Damit erhöhe De-Mail die Sicherheit der elektronischen Kommunikation im Vergleich zur herkömmlichen E-Mail und helfe zudem, Spam und Phishing zu vermeiden.

Das Angebot von De-Mail

Was genau aber bietet De-Mail für Endverbraucher und Unternehmenskunden?

• Hauptaufgabe der elektronischen Post ist das nachweisliche Übermitteln von Dokumenten an einen Empfänger - vergleichbar mit einem Einschreiben der normalen Briefpost. Diese Nachweisbarkeit ist im De-Mail-Gesetz rechtlich verbindlich abgesichert.

• Trotz dieser Rechtsverbindlichkeit soll es mit De-Mail möglich sein, Dokumente von jedem Ort so einfach zu verschicken, wie bisher schon E-Mails mit Anhängen. Ein PC mit Internetzugang oder ein internetfähiges Smartphone reichen dafür aus.

• Die Übermittlung von Dokumenten via De-Mail ist sicher, betonen die Anbieter: Mit dem Dienst erreichen Nachrichten und Dokumente genau den Empfänger, den der Absender vorgesehen hat. Jeder Absender und Empfänger ist eindeutig durch seine De-Mail-Adresse identifiziert. Darüber hinaus bietet die SSL-Verbindung einen hohen Sicherheitsstandard und verhindert das Abfangen, Verfälschen oder Ausspionieren von Daten.

• Neben diesen hohen Sicherheitsstandards versprechen die Anbieter auch größere Wirtschaftlichkeit und Nachhaltigkeit mit De-Mail: Geringere Druck- oder Portokosten zählen genauso dazu wie Einsparungen bei Papier und Verbrauchsmaterialien. Solche Effekte senken den CO²-Footprint eines Unternehmens. Das Öko-Institut hat errechnet, dass durch den Versand von De-Mail nur 32 Prozent der CO²-Emissionen entstehen, die sonst durch den Briefversand verursacht werden.

Kritik an De-Mail

Die größere Wirtschaftlichkeit und Nachhaltigkeit der elektronischen Post wird von niemandem bestritten. Kritisch gehen Datenschützer dagegen mit dem Sicherheitsversprechen der elektronischen Post um. So bemängelte der Chaos Computer Club (CCC) noch vor der Verabschiedung des De-Mail-Gesetzes im Februar 2011 den Verzicht auf eine verpflichtende Ende-zu-Ende-Verschlüsselung der Dokumente. Damit lasse sich weder Datenschutz noch eine Vertrauenswürdigkeit der Daten garantieren. "Gerade vor dem Hintergrund, dass De-Mail für sensible Kommunikation mit Behörden genutzt werden soll, wäre aber die Ende-zu-Ende-Verschlüsselung eine zwingende Voraussetzung", fordert der CCC.

Tatsächlich schreibt das nun verabschiedete Gesetz nur die Transportverschlüsselung der Nachrichten vor. Ob es zusätzlich eine Ende-zu-Ende-Verschlüsselung gibt, überlässt der Gesetzgeber den Providern und den Endanwendern. Der Branchenverband Bitkom ist damit zufrieden, wie sein ehemaliger Präsident August-Wilhelm Scheer zu Protokoll gab: "Für die meisten Mails wäre eine Ende-zu-Ende-Verschlüsselung überdimensioniert." Zudem, argumentieren die Anbieter, gehe es bei De-Mail um eine möglichst einfache Nutzbarkeit für Endanwender, die elektronische Post so leicht verschicken können sollen wie bisher ihre E-Mails. Die Ende-zu-Ende-Verschlüsselung mache den Versand aber komplizierter als gewünscht. Im Sinne eines abgestuften Sicherheitskonzeptes sei es dennoch problemlos möglich, Dokumente zwischen Sender und Empfänger zu verschlüsseln oder mit einer qualifizierten elektronischen Signatur zu versehen.

Dem Wunsch nach Einfachheit folgend, verzichten die De-Mail-Anbieter bewusst darauf, vom Anwender zusätzliche Installationen auf dem Computer zu verlagern. Im einfachsten Fall nutzt man De-Mail über ein Web-Portal. Größere Unternehmen und Behörden, die über eine eigene Infrastruktur für E-Mail inklusive Servern (Domino, Exchange...) und Clients (Outlook, Notes...) für die Mitarbeiter verfügen, werden ihre vorhandene Infrastruktur über Gateways mit dem De-Mail-System verbinden können. Über dieses Relais fließen De-Mails dann genauso wie herkömmliche E-Mails in die elektronischen Posteingänge der Mitarbeiter.

Allerdings ist hier Vorsicht bei den Mail-Prozessen angebracht: De-Mail-Adressen sind nicht so eindeutig zu erkennen, wie von manchen Kritikern gefordert. "Die Form der De-Mail "vorname.nachname [.nummer] @ dienstanbieter.de-mail.de" ... ist einer normalen E-Mail so ähnlich, dass Verwechslungen kaum zu vermeiden sein werden", kritisiert beispielsweise der Chaos Computer Club. Das könnte besonders beim Versand und Empfang von terminkritischen Dokumenten zu Problemen führen, wenn die nicht eindeutig und rechtzeitig als Terminsachen erkannt würden. Hier sind die IT-Abteilungen gefordert, Schutz- und Warnmechanismen zu entwickeln, die solche Missverständnisse verhindern.

De-Mail in Unternehmen

"Die Realisierung einer vertraulichen und verbindlichen elektronischen Kommunikation stößt auch in der Wirtschaft auf großes Interesse", konstatiert das BSI zur De-Mail. Das werde unter anderem durch die zahlreichen kleinen und mittelständischen Unternehmen (KMUs) sowie Banken und Versicherungen deutlich, die sich schon am Pilotprojekt beteiligt haben und sich auch in den weitergeführten Branchenprojekten engagieren.

In Zahlen ausgedrückt heißt das: Bis 2018 soll De-Mail ein Prozent der 18 Milliarden anfallenden E-Mails, 50 Prozent der 8,75 Milliarden Postbriefe und 39 Prozent der 2,1 Milliarden Geschäftsfaxe ablösen, hofft zumindest Jens Mayer, Projektleiter De-Mail bei der Telekom. Damit werde De-Mail zu einem wichtigen Angebot mit hohem Einsparpotenzial für große Unternehmen, Behörden und dem modernen Mittelstand.

Sven Gelzhäuser vom Telekom-Mitbewerber 1&1 verweist darauf, dass sich bereits 850.000 Kunden seines Unternehmens den Namen für ein De-Mail-Postfach reserviert haben. Im ersten Jahr werden sich nach seiner Einschätzung 2,2 Millionen Kunden bereit erklären, die Kommunikation mit Behörden und Unternehmen über De-Mail abzuwickeln.

Und in der Tat scheint De-Mail vor allem für Kunden interessant zu sein, die regelmäßig und in größerem Umfang rechtsverbindliche Briefe wie Verträge, Rechnungen oder Mahnungen verschicken. Mit De-Mail ist diese Kommunikation so einfach wie der Versand einer E-Mail, aber so sicher wie der Schriftverkehr mit Einschreiben.

De-Mail hilft auch bei der Kommunikation mit den Mitarbeitern: Arbeitsverträge oder Gehaltsmitteilungen lassen sich mit qualifizierten elektronischen Signaturen versehen und ebenfalls rechtsverbindlich versenden. Schließlich lässt sich über De-Mail fast der komplette Schriftverkehr mit Behörden digitalisieren: Steuerangelegenheiten, Statistikmeldungen, Visa-Gesuche oder Anträge.

Wer De-Mail zum Versand wichtiger Dokumente verwendet, spart Zeit und minimiert Transaktionskosten, argumentiert die Telekom. Ob das auch für das eigene Unternehmen zutrifft, dürfte ein Blick in die Excel-Listen mit den Overhead-Kosten verraten, denn der Versand von papiergebundenen Angeboten, Verträgen und Rechnungen verursacht in nahezu jedem Unternehmen erhebliche Porto-, Bearbeitungs- und Aufbewahrungskosten.

Erleichterungen in den Unternehmensprozessen verspricht De-Mail durch das Vermeiden teurer Medienbrüche: Obwohl die Mitarbeiter Dokumente in aller Regel am PC erstellen und nach der Verwendung im Dokumenten-Management-System ablegen, werden sie in den allermeisten Fällen noch immer ausgedruckt und per Briefpost versandt. Mit De-Mail werden die meisten Dokumente dagegen rein digital be- und verarbeitet.

Auswirkungen auf die IT-Infrastruktur

Abhängig von der Größe und der IT-Infrastruktur eines Unternehmens gibt es unterschiedliche Möglichkeiten, De-Mail zu nutzen: Im einfachsten Falle reichen ein Internet-Zugang und ein Browser für den Versand rechtssicherer Dokumente. In diesem Fall, so das Innenministerium in einer Information zu De-Mail, sei die Nutzung den heute bekannten Web-basierten E-Mail-Diensten sehr ähnlich.

Unternehmen mit einer eigenen serverbasierten E-Mail-Infrastruktur werden von ihrem Provider die bereits erwähnten Gateways zu De-Mail zur Verfügung gestellt bekommen, die das Anbinden an die Kommunikationsinfrastruktur erleichtert. Für die Mitarbeiter heißt das: Sie können De-Mail aus ihren Mail-Anwendungen wie Outlook oder Notes, aber auch aus Fachanwendungen wie der Buchhaltungssoftware heraus bedienen. Zudem seien die Anbieter der De-Mail "frei im Angebot weiterer Client-Anwendungen für ihre Kunden (iPhone-Apps, Plug-ins für E-Mail-Clients, etc.)", wie das Innenministerium schreibt.

Durch die Reduktion auf Standardtechnologien werde der Aufwand für das Anbinden der IT an De-Mail auf ein Mindestmaß reduziert, argumentiert das Ministerium. Damit ließen sich hohe Integrationsaufwendungen vermeiden und zudem vorhandene Schnittstellen und Technologien für De-Mail nutzen.

Für die Teilnahme am elektronischen Briefverkehr müssen Unternehmen wie Privatpersonen bei einem De-Mail-Anbieter ihrer Wahl ein Konto eröffnen und sich dafür sicher identifizieren. Anschließend kann das Unternehmen so genannte Unter-Konten für Mitarbeiter oder Abteilungen mit eigenen Adressen eröffnen, so dass auch Gruppen- oder Organisationspostfächer möglich sind. Antragsteller für Unternehmen sind dabei die im Rahmen der gesetzlichen oder auch rechtsgeschäftlicher Vollmachten befugten natürlichen Personen (wie Geschäftsführer, Prokuristen). Die Identifikation erfolgt über Personaldokumente (Personalausweis, Pass). Zudem müssen die Firmenvertreter ihre Vertretungsberechtigung - etwa durch die Vorlage eines Auszugs aus dem Handelsregister - nachweisen.