Was bei De-Mail ist rechtssicher?

E-Mail gehört zu den am häufigsten genutzten Kommunikationsformen überhaupt. Im Jahr 2010 wurden weltweit rund 107 Billionen E-Mails verschickt, allerdings mit einem Spam-Anteil von fast 90 Prozent. Aber selbst, wenn man den Müll rausrechnet, bleiben noch rund 963 Milliarden "richtige" E-Mails übrig. Obwohl E-Mails keine Rechtsverbindlichkeit besitzen, schreibt der Gesetzgeber für den geschäftlichen Mail-Verkehr vor, dass der Absender eine Signatur benutzen muss. Diese elektronische Unterschrift muss unter anderem Angaben über die Firma und die Rechtsform des Unternehmens enthalten, Ort des Firmensitzes sowie die Namen der vertretungsberechtigten Geschäftsführer.

Mit dem Mitte 2011 verabschiedeten De-Mail-Gesetz haben diese Signaturen am Fußende von E-Mails aber nichts zu tun. Bei dem Gesetz geht es darum sicherzustellen, dass eine De-Mail von einem eindeutig bekannten und feststellbaren Absender stammt. Dafür ist es nötig, sich bei einem De-Mail-Anbieter als natürliche oder juristische Person zu registrieren und bei der Eröffnung eines Benutzerkontos seine Identität nachzuweisen. Dazu muss man sämtliche Ausweisdaten wie Vor- und Nachname, Meldeadresse und Geburtsdatum angeben. Bei juristischen Personen wie Unternehmen werden zusätzlich auch die Namen der vertretungsberechtigten Personen erfasst.

Mit dieser Registrierung steht und fällt De-Mail; wäre es möglich, hier Identitäten zu fälschen, würde das gesamte System zusammenbrechen. Daher greift man für das Verifizieren von Identitäten auf anerkannte Verfahren wie den elektronischen Personalausweis oder das Postident-Verfahren zurück.

Ebenso wichtig wie die sichere Identifizierung von Absender und Empfänger ist die Sicherung des Transportweges. Es ist nicht nur theoretisch denkbar, dass Mails auf dem Übertragungsweg abgefangen und umgeleitet und danach geändert an den ursprünglichen Adressaten weitergeleitet werden. Um das zu verhindern, setzt De-Mail auf die Verschlüsselung der Daten beim Transport. Dafür setzt De-Mail die so genannte Transport Layer Security (TLS) ein, früher unter dem Namen SSL bekannt. TLS sorgt dafür, dass Daten bei der Übertragung so verschlüsselt werden, dass sie von Dritten nicht gelesen und damit auch nicht verändert werden können.

Über dieses Verfahren ist zwar der Transportweg der Daten gesichert, nicht aber die Daten selber. Eine Ende-zu-Ende-Verschlüsselung von Dokumenten ist bei De-Mail nicht implementiert, so dass es auf Providerseite prinzipiell möglich ist, eine De-Mail unbefugterweise zu lesen. Bundesregierung und Provider argumentieren beim Verzicht auf die Verschlüsselung der Dokumente unter anderem damit, dass das De-Mail zu kompliziert machen würde, um von Endnutzern angenommen zu werden. Allerdings ist eine Ende-zu-Ende-Verschlüsselung durch die Anwender möglich, wenn sie dies wünschen.