Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 20. April 2017, Ausgabe Nr. 16

Donnerstag, 20. April 2017, Ausgabe Nr. 16

E-Mail

De-Mail: Der digitale Brief bleibt noch immer umstritten

Von Chr. Schulzki Haddouti | 25. November 2011 | Ausgabe 47

Ende des Jahres soll laut Bundesinnenministerium der rechtsverbindliche, digitale Brief (De-Mail) eingeführt werden, über den Inhalte bequem verschlüsselt verschickt werden können. Ein Sicherheitsfortschritt, sagen viele Experten. Kritikern ist das System jedoch noch nicht sicher genug.

Die De-Mail, die auch gerne als "digitaler Brief" bezeichnet wird, soll nach Auskunft des Bundesinnenministeriums (BMI) Ende 2011 an den Start gehen. Die De-Mail soll die Schwächen der E-Mail ausmerzen: Sie soll sicher sein, vertraulich, und die Identität der Kommunikationspartner soll gesichert sein.

Die Unternehmen T-Systems, T-Online, Deutsche Post, United Internet mit Web.de, GMX und die auf digitale Signaturen spezialistierte Mentana Claimsoft streben nach Auskunft des BMI eine Akkreditierung als De-Mail-Provider an. Künftige De-Mail-Provider müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene zertifizierte Prüfberichte zur IT-Sicherheit, Funktionalität, Interoperabilität und Datenschutz vorlegen, um eine Akkreditierung zu erhalten. So muss der Bundesdatenschutzbeauftragte den Prüfbericht zum Datenschutz zertifizieren.

Die Kommunikationspartner erhalten nur dann einen De-Mail-Account, wenn sie ihre Identität zuvor nachgewiesen haben. Das geht elektronisch über den neuen digitalen Personalausweis, über das Post-Ident-Verfahren oder auch über eine persönliche Vorlage der Papierdokumente direkt in einer Niederlassung des Anbieters. Kunden der Telekom können allerdings das Post-Ident-Verfahren nicht verwenden, da die Deutsche Post der Deutschen Telekom die Nutzung gekündigt hat – aus Wettbewerbsgründen. Die Deutsche Telekom bietet jedoch die Identitätsüberprüfung in den Telekom-Shops an. Kunden werden auch den neuen digitalen Personalausweis verwenden können, um sich online auszuweisen.

Die De-Mail soll gegen Ausspähung und Manipulation gesichert sein. Dafür wird die E-Mail sowohl zwischen Nutzer und Betreiber, als auch zwischen Betreiber und Betreiber mit dem SSL-Nachfolgestandard TLS verschlüsselt. Gert Metternich, De-Mail-Projektleiter bei T-Systems, sagt, dass die De-Mail "so fälschungssicher und rechtsverbindlich wie ein Einschreiben per Brief" sei. Das ist eine entscheidende Aussage, die die Deutsche Post für ihr Konkurrenzangebot, dem E-Postbrief, kürzlich zurücknehmen musste: Das Landgericht Bonn hatte auf Klage der Verbraucherzentralen erklärt, dass die Post nicht für den E-Postbrief werben dürfe, dass er "so sicher und verbindlich wie der Brief" sei. Grund: Bei der elektronischen Kommunikation kann die Erfordernis der Schriftform nur durch eine qualifizierte elektronische Signatur ersetzt werden, die aber der E-Postbrief nicht habe.

Die De-Mail wird hingegen qualifiziert elektronisch signieren können. Die so signierten De-Mails werden dann der Schriftform entsprechen, können also für Verträge verwendet werden. Der Versender kann außerdem eine Zugangsbestätigung anfordern, die mit einer qualifizierten elektronischen Signatur versehen wird.

Damit kann sie auch als Augenscheinsbeweis vor Gericht als Beweismittel vorgelegt werden. Voraussetzung ist jedoch, so sagt Internetexperte Thomas Hoeren, "dass das De-Mail-System des Providers des Empfängers zuverlässig arbeitet und Unregelmäßigkeiten nicht bekannt geworden sind".

Die De-Mail wird jedoch wie der E-Postbrief die Inhalte nicht lückenlos verschlüsseln. Es wird einen sehr kurzen Zeitraum geben, in dem die Inhalte der E-Mail unverschlüsselt beim De-Mail-Provider vorliegen. Die Mails seien aber dort nur für eine Tausendstel Sekunde unverschlüsselt, beteuert Ralf Sauerzapf, Sprecher der Telekom. Außerdem betreibe man für die De-Mail "keine normalen Rechenzentren, sondern geschützte Räume mit hohen Zutrittshürden." Nur zwei Mitarbeiter dürften gleichzeitig an derselben Sache arbeiten jeder Eingriffsschritt wird dokumentiert.

Es gibt zwei Gründe dafür, dass man sich für einen Bruch in der Verschlüsselung entschieden hat, erklärt Sauerzapf. Zum einen können Betreiber auf diese Weise Spams besser herausfiltern. Zum anderen kann der Kunde auf die Mail auch dann zugreifen, wenn sein eigener Rechner defekt ist. Bei einer Ende-zu-Ende-Verschlüsselung wäre das nicht mehr möglich.

Wer dennoch Wert auf lückenlose Sicherheit legt, kann selbst eine durchgehende Ende-zu-Ende-Verschlüsselung etwa mit dem Kryptoprogramm PGP verwenden. "De-Mail lässt das zu", versichert Sauerzapf. Tatsächlich wäre De-Mail trotz der kleinen Verschlüsselungslücke ein erheblicher Fortschritt, da nach Schätzungen des Bundesinnenministeriums 95 % des heutigen E-Mail-Verkehrs völlig unverschlüsselt verschickt werden.

"Für den Massenmarkt wäre das auf jeden Fall ein Riesenschritt hin Richtung Vertraulichkeit und Sicherheit", so Sauerzapf. Außerdem verfüge die De-Mail anders wie der E-Postbrief über ein akkreditiertes Verfahren.

Strafverteidiger beäugen das Projekt dennoch kritisch. Der Düsseldorfer Strafverteidiger Udo Vetter sagt: "Der Klartext ist auf dem Rechner der Anbieter vorhanden. Die Anpreisung von De-Mail und E-Post widerspricht damit der technischen Realität." Da aus seiner Sicht die De-Mail "ein öffentlichrechtliches System" ist, vertraue er als Strafverteidiger seine E-Mails eher einem anderen Provider an: "Wenn es einen Durchsuchungsbeschluss eines Gerichts gibt, ist der Zugriff viel einfacher."

Die De-Mail wird im Übrigen ein kostenpflichtiges Angebot sein. Allerdings nennen die Unternehmen noch keine Preise. Für Kunden der Deutschen Telekom ist bislang nur bekannt, dass die Anmeldung kostenlos sein wird, ein Einführungsangebot wird den kostenfreien Versand einer gewissen Zahl von De-Mails monatlich beinhalten.

 CHR. SCHULZKI HADDOUTI

stellenangebote

mehr