De-mail

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild: Logo De-Mail

Ziel von De-Mail ist das verbindliche und vertrauliche Versenden von Dokumenten und Nachrichten über das Internet zu ermöglichen. Durch vorherige Nutzer- Identifikation kann eine Authentifizierung von Nachrichten ermöglicht werden.

Auftrag

Mit Verabschiedung des De-Mail-Gesetzes hat der Deutsche Bundestag den Weg für die Einführung des rechtsverbindlichen E-Mail-Verkehrs frei gemacht. Bisherige Kritikpunkte an der E-Mail, den Status einer Postkarte in Punkto Sicherheit zu haben, sollen damit ausgeräumt werden.

De-Mail soll ein zuverlässiges Verfahren für die elektronische Kommunikation zwischen Bürgern, Unternehmen und Behörden sein. De-Mail darf nur von Providern betrieben werden, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und akkreditiert wurden. Außerdem überprüft das BSI die Sicherheit der eingesetzten Produkte sowie die Zuverlässigkeit der Organisation und der Prozesse bei den Providern.

De-Mail ist als Beispiel für eine staatlich zertifizierte Basissicherheitsfunktion in der Cyber-Sicherheitsstrategie der Bundesregierung explizit aufgeführt. Die eID-Funktion des neuen Personalausweises (ein weiterer Bestandteil dieser Strategie) kann genutzt werden, um das hohe Sicherheitsniveau bei De-Mail zu erreichen.


De-Mail-Anbieterkonkurrenz

Allerdings sind die De-Mail-Anbieter der IT-Wirtschaft in einem Konkurrenzkampf mit der Deutschen Post verstrickt. Während die Deutsche Post selbst bereits einen Vorläufer (E-Postbrief) auf den Markt gebracht hatte, versucht sie ihre Hauptkonkurrenten (Deutsche Telekom, United Internet mit den Marken 1&1, GMX, Web.de sowie Signaturenspezialist Mentana Claimsoft, der allerdings nur Versender bedient) zu behindern. Die Deutsche Post kündigte dazu ihren Konkurrenten den Vertrag zu der eigentlich vorgesehenen Erst-Identifikation mittels Post-Ident-Verfahren. Nach einer gerichtlichen Auseinandersetzung muss die Deutsche Post das Post-Ident-Verfahren auch für die Konkurrenz anbieten, allerdings ergaben sich dann praktische Probleme (z.B. Speicherung der Ausweisnummer, die im DE-Mail-Gesetz aus Gründen der "Datensparsamkeit" nicht vorgesehen ist). Die Post-Konkurrenten wichen daraufhin auf andere Identitikationsdienstleister aus (SignToday oder Hermes).

Auch in einem weiteren Punkt, der Domänenkennung, konnte die Deutsche Post zunächst einen Erfolg verbuchen. Demnach muss eine De-Mail-Nachricht keine entsprechende Domänenkennung (per @de-mail.de) beinhalten, die im E-Postbrief bereits verwendete Kennung (@epostbrief.de) wurde damit potentiell auch für die De-Mail gerettet. Allerdings wird es für Beteiligte am De-Mail-Verfahren schwieriger, eine Mail als solche (insbesondere auch automatisiert) überhaupt zu erkennen (SPAM-Problematik).

Zumindest die Telekom und United Internet haben sich zwischenzeitlich auf ein entsprechendes Standard-Mail-Format (z.B. xxx@t-online.de-mail.de oder xxx@gmx.de-mail.de) geeinigt.


Weitere Sicherheitskritik-Punkte

Weitere Kritikpunkte an De-Mail sind die fehlende Ende-zu-Ende-Verschlüsselung[1] und die sogenannte Abholbestätigung.

Eine Ende-zu-Ende-Verschlüsselung findet nicht statt, da die Mail-Provider auf einer Terminierung zur Filterung von Viren und Spam (Malware) bestanden. Die Verschlüsselung beschränkt sich nun auf eine reine Transportverschlüsselung per SSL, Nutzer mit entsprechenden weitergehenden Bedürfnissen sollen auf die kryptographischen Konzepte im Rahmen des Signaturgesetzes ausweichen. Dies bedeutet aber praktisch, dass solche Mails nicht durch die De-Mail-Provider entschlüsselt und damit sinnentstellend als ungeprüfte, potenziell gefährliche Mail gekennzeichnet werden.

Bei der Abholbestätigung geht es um den (behördlichen) Nachweis der Zustellung missliebiger Schreiben (z.B. Bußgeldbescheid). Die derzeitige Verfahrensweise, dass die Mails (bei Einwilligung des Postfachinhabers in das Verwaltungsverfahren) nach 3 Tagen (auch an Sonn- und Feiertagen) als zugestellt gelten, auch wenn der Postfachbesitzer die Mails nicht abgerufen hat, ist rechtlich umstritten. Zusätzlich ist De-Mail für Smartphones derzeit nur eingeschränkt nutzbar, da für die Empfangsvariante der Kategorie "hoch" eine zusätzliche Validierung vorgeschrieben ist; die notwendige Technik hierfür fehlt derzeit noch.

Die Datenschützer weisen weiterhin darauf hin, dass einige staatliche Behörden entsprechend dem Telekommunikations-Gesetz (bzw. der Telekommunikations-Überwachungsverordnung - TKÜV) mitlesen dürfen. Auch ohne richterlichen Beschluss können "bei Gefahr im Verzug" Staatsanwaltschaften, Polizei und Geheimdienste das Passwort der De-Mail-Konten erhalten, der Kunde muss davon nicht einmal informiert werden. Der im Normalfall eigentlich erforderliche Gerichtsbeschluss beim Zugriff auf Postfächer kann dann innerhalb von 3 Werktagen nachgeholt werden. In dem im Frühjahr 2013 beschlossenen Gesetz zur Reform der Bestandsdatenauskunft hat diese Zugriffsmöglichkeit, neben dem Zugriff auf Handynutzerdaten schon bei einfachen Ordnungswidrigkeiten wie Falschparken, zusätzlich legalisiert.

Insgesamt wird der neuerliche Strategiewechsel bemängelt, da De-Mail nicht kompatibel zu den bisherigen Verwaltungsverfahren auf OSCI-Basis (z.B. Elektronische Gerichts- und Verwaltungspostfach - EGVP) ist. Deshalb hat zwischenzeitlich der Justizbereich mit dem "Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten"[2] auch die De-Mail zur Kommunikation mit den Gerichten zugelassen. Damit Rechtsanwälte hierfür elektronisch erreichbar sind, soll ein "elektronisches Anwaltspostfach" bei der Bundesrechtsanwaltskammer eingeführt werden.


Startschuss auf der CeBIT 2012

Als erster Anbieter von De-Mail hat Mentana-Claimsoft vom Bundesamt für Sicherheit in der Informationtechnik (BSI) die Akkreditierungsurkunde erhalten [3]. Auch die Deutsche Telekom sowie die Provider Web.de, GMX sowie 1&1 gingen auf dieser Messe mit ihren De-Mail-Angeboten an den Start. Die Deutsche Post versuchte zunächst nach eigenen Angaben, bis Ende 2012 die entsprechende Zertifizierung zu erreichen, trat aber wenig später von diesem Ansinnen wieder zurück. Als Begründung wurden die fehlende internationale Einsetzbarkeit sowie der fehlende Übergang zur Briefpost angegeben.

Zudem sind nach einer entsprechenden Beschwerde zwei Untersuchungen der EU-Kommision hinsichtlich der Beschränkung des freien Wettbewerbs und der Dienstleistungsfreiheit anhängig[4]. Es ist daher nicht auszuschließen, dass noch Änderungen am Gesetz vorgenommen werden müssen.


Aktuelles

Kurz vor der CeBIT 2013 bemängelte der Bundesdatenschutzbeauftrage die fehlende Durchgängigkeit der Verschlüsselung bei De-Mail und empfahl den Einsatz einer Ende-zu-Ende-Verschlüsselung[5].

Weitere Kryptoexperten schlossen sich dieser Meinung an[6]. Allerdings wäre diese Lösung durch beteiligte Bürger in Eigenregie durchzuführen und deshalb kaum praktikabel, hierfür sollen die De-Mail-Diensteanbieter Lösungen schaffen. So hat der zunächst nicht für De-Mail zertifizierte Anbieter Deutsche Post zur CeBIT 2013 angekündigt, für seinen E-Postbrief eine Ende-zu-Ende-Verschlüsselung anzubieten. Diese Lösung ist allerdings auch nur zusätzlich aufgesetzt (z.B. für Berufsgeheimnisträger) und kein allgemeines Feature für alle E-Postbrief-Nutzer.

Mit dem Gesetzentwurf zur Förderung der elektronischen Venwaltung sowie zur Änderung weiterer Vorschriften will die Bundesregierung auch den elektronischen Versand von besonders sensiblen Daten, wie beispielsweise Sozial- und Steuerdaten, per De-Mail zulassen. Dies geschieht, in dem das Öffnen und Prüfen der De-Mails beim Diensteanbieter nunmehr per Gesetz als unkritisch einstuft wird. Im Steuerrecht soll das Entschlüsseln und Prüfen von De-Mails keine unbefugte Offenbarung sein; beim Sozialgesetzbuch soll das Übertragen einer De-Mail zum Diensteanbieter gar keine Übermittlung sein. Bisher ist der Einsatz nur bei der Online-KfZ-Abmeldung (neben dem postalischen Weg) gesetzlich legimitiert. Aktuell kommt noch der Einsatz zur Kommunikation mit Nutzern des geplanten Portalverbundes (siehe Onlinezugangsgesetz - OZG) hinzu.

Nach einem Zeitungsbericht will die Deutsche Post nun gegebenenfalls doch bei De-Mail einsteigen[7].

Im pflichtgemäß veröffentlichten Zwischenbericht zur Entwicklung der De-Mail schreibt die Bundesregierung Anfang 2015, dass die "kritische Masse" noch nicht erreicht worden sei[8]. Rund eine Million Bürger hätten zwischenzeitlich eine De-Mail-Adresse, bei Unternehmen und Verwaltung wird nur unspezifisch "eine hohe fünfstellige Zahl" angegeben. Allerdings geht die Bundesregierung von einer steigenden Akzeptanz für De-Mail aus; hierzu soll eine Anerkennung als offizieller Zustelldienst nach der eIDAS-Verordnung der EU erreicht und auf dieser Grundlage eine Interoperabilität mit elektronischen Zustelldiensten anderer Mitgliedstaaten erzielt werden.

Anfang 2015 kündigte die Arbeitsgemeinschaft De-Mail (Zusammenschluss der De-Mail-Anbieter) an, nun doch eine Ende-zu-Ende-Verschlüsselung auf Basis von PGP zu integrieren[9]. Ab Ende April 2015 können nun Kunden untereinander PGP-gesicherte Mails austauschen[10], sofern sie die Sicherheitsstufe "hoch" aktiviert haben. Dazu integrieren die De-Mail-Anbieter einfach das Plug-in Mailvelope (nur verfügbar für die Browser Firefox und Chrome) in die Web-Oberfläche. Die mobile Nutzung per Smartphone ist offensichtlich nicht vorgesehen. Eine moderne DANE/OPENPGPKEY-Integration ist wohl auch nicht geplant. Offen bleibt auch, ob sich auch die Behörden bei dieser zusätzlichen Verschlüsselungsoption beteiligen und dafür entsprechende öffentliche Schlüssel publizieren. Der SAGA-Standard in der Bundesverwaltung und in vielen Ländern ist derzeit S/MIME.


Weblinks

Einzelmeldungen

Einzelnachweis

  1. Neues Gesetz für De-Mail-DienstAlternative zur Briefpost mit Sicherheitslücken - von:Michael Marc Maisch 22.03.2011 Legal Tribune in Kooperation mit Spiegel Online
  2. Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten
  3. Datenschutz-Zertifikat für De-Mail-Lösung von Mentana-Claimsoft - in heise-online vom 06.Februar.2012
  4. Kippt die EU-Kommission das De-Mail-Gesetz? - in NET – Zeitschrift für Kommunikationsmanagement Heft 5/2011
  5. "Bundesdatenschützer gibt Handreichungen für De-Mail-Einsatz" in heise.de/Security vom 04.März.2013
  6. "Wertvolle Daten verdienen mehr Schutz, nicht weniger" in heise.de/Security vom 03.April.2013
  7. "Bericht: Deutsche Post will nun auch bei De-Mail einsteigen" in heise.de/Security vom 11.Dezember.2013
  8. "Bundesregierung: De-Mail noch ohne kritische Masse" in heise.de/Security vom 22.Februar.2015
  9. "De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP" in heise.de/Security vom 09.März.2015
  10. "De-Mail : Ende-zu-Ende-Verschlüsselung mit PGP gestartet" in heise.de/Security vom 22.April.2015


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 5. Juni 2017 um 20:31 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Markus Albert, Peter Hohl und M. Albert.

Anzeigen