computerwoche.de

Archiv

Wissenwertes rund um De-Mail

16.04.2009
Von 
Vice President Software & SaaS Markets PAC Germany
Alle Posts des Autors
Mit "De-Mail", einer Initiative der Bundesregierung, soll das Versenden vertraulicher Daten via Internet so sicher werden wie mit der Post.

Der für 2010 in Aussicht gestellte E-Mail-Dienst De-Mail soll deutschen Firmen und Privatpersonen den zuverlässigen und rechtssicheren Online-Versand von Nachrichten und Dokumenten ermöglichen. Entsprechende Mailboxen werden staatlich geprüfte Anbieter bereitstellen. Den dazu nötigen Rechtsrahmen soll ein Entwurf des Bundeskabinetts für ein "Bürgerportal"-Gesetz schaffen. Die COMPUTERWOCHE wollte vom Beauftragten der Bundesregierung für Informationstechnik, dem "Bundes-CIO" und Staatsekretär Dr. Hans Bernhard Beus, sowie dem Bundesinnenministerium (BMI) wissen, was der Dienst bieten und welcher rechtliche Rahmen für De-Mail gelten wird.

Fragen an den Bundes-CIO

CW: Warum kommt "De-Mail" erst jetzt?

BEUS: Sie haben Recht, das Thema vertrauliche Kommunikation steht schon länger auf der Tagesordnung. Wir haben uns intensiv damit beschäftigt, um jetzt ein schlüssiges Konzept vorlegen zu können. Uns war von Beginn an wichtig, De-Mail nicht nur auf die Kommunikation mit Behörden zu beschränken und keine staatliche Infrastruktur aufzubauen. Die Post ist ja schließlich auch nicht mehr staatlich. Mit dem Ansatz, privatwirtschaftliche Provider zu akkreditieren und ein Angebot für Privatpersonen, Behörden und Unternehmen gleichermaßen zu schaffen, nimmt Deutschland eine internationale Vorreiterrolle ein.

CW: Wer wird De-Mail anbieten?

BEUS: De-Mail soll von privaten Providern angeboten werden, die sich für den De-Mail-Betrieb akkreditieren lassen müssen. Die Akkreditierung steht nach Abschluss des Gesetzgebungsverfahrens jedem Unternehmen offen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft die IT-Sicherheit und gewährleistet die Einhaltung festgelegter Kriterien aus dem Datenschutz. Die Kriterien werden regelmäßig angepasst, und die Zertifizierung wird spätestens alle drei Jahre wiederholt.

CW: De-Mail soll Nutzer auch vor Spam schützen. Wie?

BEUS: Spam ist strafbar und wird deshalb anonym versendet. Bei De-Mail jedoch sind die Kommunikationspartner eindeutig nachvollziehbar, das heißt im Streitfall auch greifbar. Im De-Mail-Verbund wird deshalb Spam in der Regel nicht vorkommen. Der Missbrauch von De-Mail-Accounts wird durch technische Vorkehrungen erheblich erschwert.

Fragen an das BMI

CW: Bei De-Mail ist von einem rechtlichen Rahmen die Rede. Besteht der nicht schon mit dem Signaturgesetz?

BMI: Das Bürgerportal-Gesetz schafft einen Rechtsrahmen für sichere und datenschutzfreundliche Kommunikation im Internet. Auch die Post ist heute kein staatliches Unternehmen mehr. Deshalb entwickelt und betreibt der Staat die neue Infrastruktur nicht selbst. Stattdessen akkreditiert das BSI Dienstleister aus der Wirtschaft. Nachzuweisen sind von den Unternehmen Einheitlichkeit, Sicherheit und Datenschutz der angebotenen Postfach-, Versand- und Speicherdienste. Zudem werden im Bürgerportal-Gesetz die Aufsicht sowie Aufklärungs-, Dokumentations- und sonstige Pflichten des akkreditierten Diensteanbieters festgelegt.

Das Signaturgesetz schafft einen rechtlichen Rahmen für elektronische Signaturen mit dem Ziel, ein elektronisches Äquivalent zur Unterschrift zu haben. Daher führt im Allgemeinen der Einsatz qualifizierter elektronischer Signaturen zur Erfüllung gesetzlicher Schriftformerfordernisse. Bei der qualifizierten elektronischen Signatur geht es um Integrität und Authentizität eines elektronischen Dokuments und darum, diese über einen sehr langen Zeitraum zu gewährleisten.

De-Mail bezweckt die Authentizität und Verlässlichkeit eines Kommunikationsaktes. Ziel ist die Sicherheit des Kommunikationskanals sowie des Zugangs zu diesem. Natürlich können per De-Mail auch signierte Dokumente versendet werden, genauso wie unterschriebene Dokumente mit der Papierpost.

CW: Wird die technische Lösung auf Smartcards basieren?

BMI: Für die Teilnahme an De-Mail ist weder ein Smartcard-Reader noch ein softwaregestütztes Zertifikat unbedingt erforderlich. Die Nutzer können sich an ihrem De-Mail-Konto mit unterschiedlichen Sicherheitsniveaus anmelden. Zum einen ist das bekannte Benutzername/Passwort-Verfahren vorgesehen. Für das Passwort ist hierbei ein gewisses Komplexitätsniveau vorgeschrieben. Für bestimmte Versandoptionen wie "persönlich" oder "absenderbestätigt" ist ein höheres Authentisierungsniveau notwendig, das die Anmeldung mit "Besitz" und "Wissen" erfordert. Für diese sichere Anmeldung sind unterschiedliche Verfahren möglich. Der elektronische Personalausweis muss bei allen De-Mail-Anbietern für eine Anmeldung am Konto zugelassen sein, die Auswahl weiterer Mechanismen obliegt dem Diensteanbieter. Das BSI erarbeitet derzeit Kriterien, die für eine Anmeldung am De-Mail-Konto auf dem Niveau "hoch" erfüllt sein müssen. (kf)