Sicherheitsunternehmen kritisieren De-Mail
Der Dachverband der deutschen IT-Sicherheitsfirmen TeleTrusT e.V. begrüßt zwar den Gesetzentwurf zur De-Mail, wünscht sich jedoch eine stärkere Einbeziehung der Trustcenter und ihrer Produkte.
- Christian Kirsch
In einer Mitteilung begrüßt der TeleTrusT e.V. den Gesetzentwurf (PDF) zur De-Mail, übt aber auch grundsätzliche Kritik. De-Mail soll als rechtsverbindlicher Service die Online-Kommunikation zwischen Bürgern und Behörden verbessern. Den Dienst dürfen nur zertifizierte Unternehmen anbieten, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft wurden. Sie müssen definierte Verschlüsselungs- und Speicherstandards einhalten und sind verpflichtet, die eindeutige Identifizierung der Inhaber von De-Mail-Konten nachzuweisen. Zur Vorregistrierung eines De-Mail-Accounts gehört daher, dass die interessierten Bürger mit einem Formular und dem Personalausweis oder Pass zu einer Behörde gehen. Diese muss die Identität bestätigen und das Formular zum De-Mail-Anbieter schicken. An dem geplanten Dienst, dessen gesetzliche Grundlage sich noch in der Entwurfsphase befindet, gibt es bereits einige Kritik.
Der Verein TeleTrusT wünscht sich nun eine stärkere Beteiligung von Trustcentern und eine Einbeziehung ihrer Technik: Mit dem neuen Gesetz werde "ein neues Mittel einfach neben die bestehende Lösung gesetzt, statt eine Initiative zur weiteren Verbreitung der qualifizierten elektronischen Signatur zu ergreifen." Einige der deutschen Trustcenter sind TeleTrusT-Mitglied.
Die im Signaturgesetz als "Zertifizierungsdiensteanbieter" bezeichneten Unternehmen hätten bereits eine Infrastruktur aufgebaut, die sowohl eine sichere Authentisierung als auch die Ende-zu-Ende-Verschlüsselung von Nachrichten ermögliche. Für beide Funktionen könnten die von den Trustcentern ausgegebenen Smartcards mit den darauf installierten Zertifikaten genutzt werden. Außerdem ließe sich die Erstregistrierung zumindest für diejenigen De-Mail-Interessenten vereinfachen, die bereits eine Signaturkarte besitzen: Stimmen sie zu, könnten sie sich ohne erneute Identitätsprüfung online bei dem Dienst registrieren. Die persönlichen Daten erhielte der De-Mail-Provider dann vom jeweiligen Trustcenter.
Außerdem fordert TeleTrusT eine stärkere Berücksichtigung von IT-Normen. So reiche es nicht, lediglich Web-Clients für De-Mail vorzusehen. Nötig sei auch eine sichere Anbindung klassischer Mail-Clients via POP3, IMAP und SMTP. Auch für die Absicherung dieser Dienste ließen sich die Smartcard-Zertifikate einsetzen, sagte ein TeleTrusT-Vertreter gegenüber heise online.
Kritik übt der Verein an einer Lücke im Gesetzentwurf. Sie ermögliche es, dass Behörden via De-Mail Bescheide und Verfügungen zustellten, die Bürger jedoch nicht per Antwort-Mail darauf Rechtsmittel einlegen könnten. Denn bislang sei nach Verwaltungsverfahrensgesetz und Verwaltungsgerichtsordnung eine qualifizierte elektronische Signatur dafür erforderlich. Es stelle sich für den Nutzer "die Frage, warum er De-Mail nutzen soll, wenn im Zweifel doch die qualifizierte elektronische Signatur erforderlich wird." (ck)
