Bundesdatenschützer: De-Mail braucht Ende-zu-Ende-Verschlüsselung
Mit der Unterschrift des Bundespräsidenten tritt am Dienstag das De-Mail-Gesetz in Kraft. De-Mail-Nutzer sollen künftig rechtsverbindlich mit Behörden und Unternehmen sowie untereinander kommunizieren können.
Mit der Unterschrift des Bundespräsidenten tritt am morgigen Dienstag das De-Mail-Gesetz in Kraft. De-Mail-Nutzer sollen künftig rechtsverbindlich mit Behörden und Unternehmen sowie untereinander kommunizieren können. Dabei soll der Komfort der herkömmlichen E-Mail mit dem Sicherheitsniveau des gedruckten Briefes verbunden werden. Mit der Deutschen Telekom, der Deutschen Post, United Internet (GMX und Web.de) sowie Francotyp-Postalia (Mentana Claimsoft) befinden sich derzeit vier Unternehmen in der Zertifizierungsphase. Im Spätsommer sollen erste De-Mail-Postfächer geöffnet werden. Dies nimmt der Bundesdatenschützer Peter Schaar zum Anlass, alle Beteiligten daran zu erinnern, einfach zu bedienende Lösungen für die Ende-zu-Ende-Verschlüsselung zu entwickeln.
Wenn die rechtsverbindliche De-Mail mit einem System zertifizierter De-Mail-Provider startet, soll der Versand von Bescheiden und Rechnungen einfach, aber sicher abgewickelt werden. Zu diesem Zweck sind die Konstrukteure des Gesamtsystems auf die Idee gekommen, die De-Mail auf Viren und Spam hin prüfen zu lassen. Kurzzeitig wird daher die De-Mail im Rechenzentrum des De-Mail-Providers entschlüsselt und geprüft. Für wirklich sicherheitskritische Nachrichten ist das ein unbefriedigender Zustand, meint Schaar. Die Datenverluste der letzten Tage hätten gezeigt, dass der Schutz persönlicher Daten im Internet verbessert werden müsse. Dies sei auch beim De-Mail-System erforderlich: "Bei der Übermittlung sensibler Inhalte –etwa von Gesundheitsdaten – müssen nun die verantwortlichen Stellen, etwa die Krankenkassen, für eine Ende-zu-Ende-Verschlüsselung sorgen. Ich setze auch darauf, dass die De-Mail-Anbieter entsprechende Lösungen entwickeln, die einfach zu bedienen sind," erklärte Schaar in einer Mitteilung.
Zum Start von De-Mail wird erwartet, dass rund 2 Millionen De-Mail-Postfächer für den Versand und den Empfang dieser rechtsverbindlichen Mail-Variante installiert werden. Eine Million Teilnehmer sollen dabei von der Deutschen Post kommen, die vorab mit ihrem e-Postbrief gestartet ist und sich nun nach dem De-Mail-Standard zertifizieren lässt. Auf 800.000 Vorabregistrierungen kommt United Internet, während die Telekom keine Zahlen nennen will. Mit einer "vierstelligen Zahl" bei den Vorabregistrierungen ist Mentana Claimsoft der kleinste Anbieter, aber hat dabei ausschließlich Versender im Blick, nicht empfangsbereite Bürger: Neben einigen Behörden haben sich nach Angaben der Firma vor allem Anwälte, Steuerberater und Wirtschaftsprüfer angemeldet. Auf die besonderen Belange dieser Klientel (zu denen man die Ärzte rechnen muss) zielen die Mahnungen des Bundesdatenschützers.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als oberste Aufsichtsbehörde über das De-Mail-System weist seit einiger Zeit darauf hin, dass eine Ende-zu-Ende-Verschlüsselung via De-Mail einfach zu realisieren sei. Die Verschlüsselung sei sogar komfortabler zu realisieren, weil die öffentlichen Schlüssel der Empfänger im De-Mail-Verzeichnisdienst abgelegt werden können – sofern Absender wie Empfänger ihr Einverständnis zum öffentlichen Speichern von Schlüsseln gegeben haben.
Zum Hintergrund sowie zu den Vorausetzungen und Kosten von De-Mail siehe in der kommenden Ausgabe von c't (ab Montag, den 9. Mai, im Handel):
- Mail offiziell, Die Anbieter von De-Mail stehen in den Startköchern, c't 11/11, S. 78
(jk)
