Heute konkurrieren eine Vielzahl von Produkten und einige E-Mail-Standards um Marktanteile und Verbreitung. Die wesentlichen internationalen Standards sind Internet Mail und X.400, sogenannte Industriestandards werden von Lotus oder Microsoft geprägt. Zwischen diesen heute existierenden E-Mail-Inseln gibt es mehr oder weniger leistungsfähige Übergänge. Die Lösungen reichen von simplen Adreßumsetzern für Textnachrichten bis zu Gateways beispielsweise zwischen Internet Mail und X.400.

Bei der Entscheidung für eine der Formen der elektronischen Kommunikation sollte zunächst das Anforderungsprofil definiert werden. Drei Beispiele verdeutlichen dies. Als erstes Exempel dient ein Unternehmen mit Niederlassungen im europäischen Ausland. Der E-Mail-Dienst soll hauptsächlich unternehmensintern genutzt werden eine unternehmensweit einheitliche proprietäre Lösung mit Verknüpfung über bereits bestehende Standleitungen könnte die beste Lösung sein.

Ein Beispiel für externe Kommunikation mit wenigen, gleichbleibenden Partnern sind die europäischen Sozialversicherungsträger. Die Unternehmen bauen derzeit für den Austausch von Versicherungsdaten eine europaweite E-Mail- und EDI-Infrastruktur auf. Wegen der höheren Sicherheitsanforderungen hat man sich für die Anwendung des X.400-Standards und Direktverbindungen zwischen allen beteiligten Organisationen entschieden.

Anders ist die Situation eines internationalen Softwarehauses. Hier wird ein E-Mail-Dienst benötigt, der für möglichst viele zukünftige Projektpartner und Kunden erreichbar ist die Verbreitung des zu wählenden E-Mail-Dienstes ist ein wesentliches Kriterium und Internet Mail deshalb die beste Lösung.

Große Unterschiede im Werdegang

Der Austausch von informellen Botschaften zwischen Menschen stellt nur eine mögliche Anwendung eines E-Mail-Dienstes dar. Gerade für Unternehmen sind weitere Merkmale etwa der Austausch von Dokumenten, Tabellen, Präsentationen, Software und anderen Binärdaten zwischen den Mitarbeitern oder die Übermittlung strukturierter Daten zwischen DV-Anwendungssystemen.

Im Hinblick auf diese Anforderungen unterscheiden sich Internet- und X.400-Mail. Außerdem könnte die Leistungsfähigkeit eines Gateways zwischen unterschiedlichen Lösungen zum entscheidenden Kriterium werden.

OSI und Internet unterscheiden sich von ihrem Werdegang und der Art der Standardisierung her grundlegend. Während das Internet kontinuierlich ausgebaut und durch Hinzufügen weiterer Dienstemerkmale weiterentwickelt wurde, war das Ziel von OSI, quasi aus dem Stand Standards bereitzustellen, die mächtig und allumfassend sein sollten. Grob ausgedrückt: Im Internet wird erst entwickelt und dann standardisiert, bei OSI werden zunächst ausgefeilte Standards erarbeitet, veröffentlicht und anschließend in Produkte umgesetzt.

Der 1988 erstmals definierte X.400-Standard ist sehr umfangreich und enthält im wesentlichen Empfehlungen für die Komponenten des Nachrichtenübertragungssystems (siehe Abbildung). In diesen Empfehlungen sind Funktionalitäten enthalten, die bei Internet Mail erst später oder noch nicht realisiert wurden. Dazu gehören beispielsweise Security, Verzeichnisintegration, Zustell- und Empfangsbestätigung, Weiterleiten von Nachrichten, Wahl des Zustellungszeitpunktes oder Prioritätsstufen.

Das achte Bit ist Overhead

In Vorläufern des Internet übernahm das Unix-to-Unix Copy Protocol (UUCP) die E-Mail-Übertragung. Nach Einführung der TCP/IP-Suite wurde mit dem Simple Mail Transfer Protocol (SMTP) ein darauf aufsetzendes Anwendungsprotokoll zur Nachrichtenübermittlung entwickelt. Es beschränkt sich auf den ASCII-Zeichensatz. Zur Informationscodierung stehen nur 7 Bit zur Verfügung. Das achte Bit wird zwar mit übertragen, aber ignoriert, ist somit Overhead.

Diese beiden Standards sind heute die Basis für Internet Mail mit all seinen genormten Erweiterungen. Dies ist der Grund für die evolutionär fortschreitende Entwicklung im Internet. Neuerungen sind etwa das Interactive Mail Access Protocol (Imap) oder die Multipurpose Internet Mail Extensions (Mime).

Im geschäftlichen Umfeld gewinnt der elektronische Austausch von Daten an Bedeutung. Die wichtigsten Standards für Electronic Data Interchange (EDI) sind Edifact und ANSI X.12. Edifact wurde in den achtziger Jahren von den Vereinten Nationen entwickelt und ist heute der wichtigste EDI-Standard in Europa und weltweit. Das US-Standardisierungsinstitut ANSI entwickelte in den 70er Jahren den Standard ANSI X.12, der überwiegend von amerikanischen Unternehmen genutzt wird.

Während die Integration von EDI im Internet heute noch diskutiert wird, ist der X.400-Standard schon seit 1988 um entsprechende Funktionen erweitert worden. Durch die Definition X.435 erkennt X.400 eine EDI-Nachricht und kopiert die relevanten Angaben in den Header. Der empfangende User Agent (UA) kann anhand dieser Information die Nachricht korrekt bearbeiten. Außerdem wurde eine spezielle EDI-Notification eingeführt, die dem Absender Information über den Status der Bearbeitung des Interchange liefert. Damit wird die Integration von EDI und X.400 unterstützt und Implementierung und Administration wesentlich vereinfacht.

Ein weiteres Problem, dem sich Anwender bei der Installation von E-Mail-Systemen gegenübersehen, ist die Integration in bestehende Infrastrukturen. Viele Unternehmen setzen heute intern meist proprietäre E-Mail-Lösungen kombiniert mit Groupware-Funktionen ein. Getrieben durch den Internet-Boom, soll die elektronische Post als Produktivitätswerkzeug auch bei der externen Kommunikation zum Tragen kommen.

Mit Hilfe von Gateway-Funktionen lassen sich Übergänge zum Internet oder X.400 herstellen. Zwar gibt es für fast alle angebotenen E-Mail-Produkte entsprechende Gateways, entscheidend bei der Auswahl ist aber, ob die Ende-zu-Ende-Funktionalität auch transparent vom Gateway umgesetzt werden kann. Für Gateways zwischen X.400 und Internet sind darüber hinaus Standards vorhanden, die etwa Adreßumsetzung oder die Übertragung von Binärdaten regeln eine X.435 entsprechende EDI-Unterstützung existiert im Internet und in den intern eingesetzten E-Mail-Systemen jedoch häufig nicht. Für Anwender, die interne Zusatzfunktionen und externen EDI-Austausch benötigen, bleibt oft nur der Weg, die kommunizierenden Anwendungen direkt an X.400 beziehungsweise X.435 und die Mitarbeiter über Gateways anzubinden.

Das Thema Sicherheit wurde weltweit über Nacht populär, als der "Internet-Worm" 1988 über Mail-Systeme schlagartig Netze und Rechner lahmlegte. Der Virus sammelte in den befallenen Systemen Informationen über Rechner, Netzwerk und Anwender, um sie für weitere Einbrüche zu verwenden. Der Worm nützte dazu Schwachstellen in den Unix-Programmen "sendmail" und "fingerd" aus.

Sicherheitsanforderungen an E-Mail-Systeme

Wesentliche Anforderungen an ein sicheres E-Mail-System sind die Integrität, die Authentisierung, die Nachweisbarkeit und die Vertraulichkeit. Integrität bedeutet, daß die Nachricht unverfälscht beim Empfänger angekommen ist. Bei der Authentisierung wird der Ursprung der Nachricht verifiziert. In verschärften Formen muß nicht nur der Empfänger von der Authentizität überzeugt werden, der Beweis muß zudem einem Dritten gegenüber angetreten werden. Ebenso läßt sich vereinbaren, daß der Empfang der Nachricht durch den Adressaten belegbar ist. Man spricht dann von Nachweisbarkeit (Non-Repudiation). Eine Anforderung bei Übermittlung von sensitiven oder privaten Informationen ist die Vertraulichkeit des Nachrichteninhalts. Sie läßt sich heute nur durch Verschlüsselung der Informationen erreichen.

Diese Sicherheitsdienste werden mit Hilfe von kryptografischen Verfahren realisiert, von denen es zwei Arten gibt. Symmetrische Verfahren setzen den Besitz desselben Schlüssels beim Absender und beim Empfänger voraus und werden vorwiegend zum Schutz der Vertraulichkeit von Informationen verwendet. Asymmetrische Verfahren benötigen einen privaten Schlüssel, den nur der Eigentümer kennt, und einen öffentlichen, zertifizierten Schlüssel, der jedermann bekannt ist. Sie werden zur Generierung und Überprüfung elektronischer Unterschriften verwendet.

Systeme, die dem Standard X.400 (1988) und neueren Ausgaben entsprechen, bieten Sicherheitsdienste und -mechanismen an. Verfügbar sind derzeit die Sicherheitsdienste Vertraulichkeit (Content Confidentiality, Message Flow Confidentiality), Authentisierung (Authentication of Origin), Integrität des Inhaltes (Integrity of Content), Nachweisbarkeit (Non-Repudiation of Origin, Submission and Receipt) und Zugriffsschutz (Message Security Labelling).

Ferner sind die Sicherheitsdienste Authentisierung (Peer Entity Authentication), Zugriffsschutz (Security Context, Register) und Schlüsselverwaltung (Change Credentials) zwischen MHS-Instanzen vorgesehen. Die empfohlene Schlüsselverwaltung in X.400 basiert auf dem in CCITT X.509 definierten asymmetrischen Verfahren unter Verwendung von Zertifikaten. Es sind jedoch Erweiterungen für andere Verfahren möglich.

Die für die Sicherheitsdienste erforderlichen Elemente befinden sich im Umschlag (Envelope) einer Nachricht. Hier werden die Elemente, die für die Nachricht insgesamt von Bedeutung sind (Per Message Fields) von denjenigen Elementen unterschieden, die empfängerspezifisch sind (Per Recipient Fields). Die Definition und Codierung dieser Elemente erfolgt in OSI-konformen Systemen in der Abstract Syntax Notation One (ASN.1).

Im Internet gibt es diverse Konzepte und Standards für die Sicherheit von E-Mail. Ein umfassendes Konzept ist Privacy En- hanced Mail (PEM).

Der grundsätzliche Ansatz dieses Verfahrens ist, Sicherheitsdienste nicht wie X.400 im Transfersystem, sondern im Benutzerdienst zu implementieren. Dies bedeutet, daß Sender und Empfänger sich auf Ende-zu-Ende-Sicherheit verlassen können, auch wenn das darunterliegende Transportmedium unsicher ist. Dies ist beispielsweise im Internet der Fall, wo heute das SMTP- und teilweise noch das UUCP-Protokoll verwendet werden.

PEM bietet die Sicherheitsdienste, Vertraulichkeit, Authentisierung, Integrität des Inhaltes und Nachweisbarkeit. Ferner lassen sich Verbindlichkeit und Nachweisbarkeit des Empfangs erreichen, indem Empfangsbestätigungen mit PEM generiert werden. Außerdem bietet PEM Schlüsselverwaltung (Key-Management) auf Basis asymmetrischer Verfahren.

Wer verwendet heute welches E-Mail-System zur globalen Kommunikation? Diese Frage ist nicht eindeutig zu beantworten, da viele Benutzer über Gateways an beide Welten angeschlossen sind und auch aus der Zahl der Domänen die Benutzeranzahl nicht direkt abgeleitet werden kann. Im September 1996 gab es rund 13 Millionen Hosts auf dem Internet und 130 Millionen Benutzer weltweit (Quelle: ftp://nic.merit.edu/ nsfnet/statistics).

Behörden sollten OSI nutzen

Ein Großteil dieser Benutzer wird vermutlich Internet Mail verwenden. Die Anzahl der X.400-Benutzer ist sehr viel geringer, gesicherte Zahlen sind nicht bekannt. X.400-konforme Systeme sind oft in Großunternehmen und öffentlichen Behörden zu finden. Diese sind durch Beschaffungsrichtlinien der EU angehalten, OSI-konforme Systeme zu kaufen und zu betreiben.

Im Bereich der Internet-Anbindung bieten viele Service-Provider sowohl Gateways zu anderen offiziellen und proprietären Standards (IBM Network zu X.400 British Telecom zu MS-Mail etc.) oder sogar native Zugänge für die proprietären Kundensysteme an, so daß die Anwender extern wie intern mit demselben System kommunizieren können. Der Provider übernimmt die Konvertierung in den verwendeten Standard. Bei der externen Kommunikation sind somit keine Kenntnisse über das Format des E-Mail-Systems des Partners erforderlich. Dieser Service hat seinen Preis, wobei unterschiedliche Gebührenstrukturen den Vergleich erschweren, gleichzeitig aber für fast jeden Bedarf auch einen passenden Tarif bieten.

E-Mail-Kosten teilen sich in zwei Komponenten auf:

-Kosten für die Netzanbindung (OSI-Schichten 1 bis 3) und

-Kosten für den E-Mail-Service (OSI-Schichten 4 bis 7).

Die Tatsache, daß im Internet unterschiedliche Betreiber mit vielerlei Interessen aktiv sind (Wissenschaft, private Nutzer und Unternehmen), führt zu der unbefriedigenden Situation, daß einige kommerzielle Provider dem Kunden nicht nur abgehende, sondern auch eingehende Nachrichten in Rechnung stellen - ein recht grober Verstoß gegen das Verursacherprinzip.

Insgesamt sind die Preisunterschiede zwischen den Providern teilweise dramatisch. Auch in ungünstigsten Fällen liegen die Ausgaben wohl nicht über den im Tagesgeschäft verursachten Telefonkosten. So kostet ein Unternehmen mit 200 E-Mail-Nutzern der Zugang zwischen 10000 und 100000 Mark per annum, also rund 50 Mark pro Anwender und Monat.

Böse Zungen behaupten, OSI und X.400 seien tot. Dieser Beitrag hat gezeigt, daß diese Aussage so nicht stimmt, denn X.400

-ist nach wie vor das technisch umfassendere Konzept,

-ist in wichtigen Marktsegmenten bereits etabliert,

-wird von führenden DV-Herstellern unterstützt und

-die Konnektivität ist problemlos.

Auf der anderen Seite boomt das Internet und damit auch die Erreichbarkeit via Internet Mail. Doch die elektronische Post im Netz der Netze wird sich weiterentwickeln müssen, um an die Funktionalität von X.400 heranreichen zu können. Zu den Bereichen, in denen Verbesserungen notwendig sind, zählen insbesondere Multimedia, Sicherheit und EDI. Die Kernfrage ist, ob es gelingt, sich von den "Altlasten" des Internet, wie der Beschränkung auf 7 Bit und dem damit verbundenen Overhead zu befreien.

Zwei Welten wachsen zusammen

Voraussichtlich werden beide Mail-Welten zusammenwachsen und voneinander profitieren. Ein deutliches Indiz ist die Weiterentwicklung und Verbreitung von Mail-Gateways zwischen beiden Welten und die Verfügbarkeit von transparenten Benutzer-Schnittstellen. Die Adressierungsprobleme und Transparenz aus Sicht des Benutzers können durch Die Verwendung von Verzeichnisdiensten gelöst werden. Konverter werden Dokumente und Nachrichten automatisch so umsetzen, daß Sender und Empfänger sie gleichermaßen verarbeiten können.

In Zukunft wird niemand mehr danach fragen, welches Mail-System der Partner verwendet, über welchen Weg er erreichbar ist oder welche Dokumententypen er empfangen und verarbeiten kann. Die globale Erreichbarkeit wird durch gemeinsame Nutzung von X.400 und Internet Mail zur Realität werden.

Angeklickt

Internet Mail und X.400 haben zwei völlig unterschiedliche Entstehungsgeschichten. Das eine System wurde erst entwickelt und dann standardisiert, beim anderen war es genau umgekehrt. Daher ist X.400 in technischer Hinsicht, etwa bei der Sicherheit und EDI-Integration, dem elektronischen Postsystem des Internet teilweise überlegen. Erfolgreicher ist dennoch das letztere.

*Gunnar Jacobson und Harald Benter sind Berater im Bereich ITC-Kommunikation bei der Softlab GmbH in München.