De-Mail: Uneinigkeit über Eignung fürs E-Government

Datenschützer und Sicherheitsberater forderten bei einer Anhörung im Innenausschuss des Bundestags am Mittwoch, im Rahmen des geplanten Gesetzes zur Förderung der elektronischen Verwaltung für De-Mail standardmäßig eine Ende-zu-Ende-Verschlüsselung vorzuschreiben. "Wir wollen ausschließlich dieses Verfahren", betonte der Reinhard Dankert, Datenschutzbeauftragter von Mecklenburg-Vorpommern, auch im Namen seiner Kollegen. Es werde Anbieter nicht übermäßig belasten und könne "sehr komfortabel" und anwenderfreundlich ausgestaltet werden. Vor allem bei Sozial- und Steuerdaten sei ein entsprechendes hohes Schutzniveau unerlässlich. Andernfalls würde die Politik "Unsicherheit per Gesetz" vorschreiben.

Linus Neumann vom Chaos Computer Club (CCC) hielt es ebenfalls für "absolut geboten", eine kryptographische Absicherung der De-Mail über alle Ebenen hinweg vorzuschreiben. Er warnte nachdrücklich davor, die Sicherheitsvorkehrungen für diese elektronische Kommunikationsform mit den Behörden gezielt zum Teil abzuschwächen, wie es der umstrittene Regierungsentwurf für das E-Government-Gesetz vorsehe. Einwände, dass das Verfahren mit der durchgehenden Verschlüsselung für den Privatnutzer zu kompliziert werde, ließ der Netzaktivist nicht gelten. Der Großteil der Unternehmen setze bei E-Mail heute schon den S/MIME-Standard ein, der über drei oder vier zusätzliche Klicks zu aktivieren sei. Bei De-Mail könne dieses Verfahren automatisch Teil des Einrichtungsprozesses werden.

Schwer bedienbare Zusatzsoftware sei dafür nicht nötig, führte Neumann aus. Bei Webanwendungen müsse allein ein Zertifikat auf dem Endgerät vorgehalten werden. Als selbstverständlich bezeichnete er die Empfehlung, E-Mails auf Rechnern etwa in einem Internet-Café, denen man nicht vertrauen könne, nicht zu entschlüsseln. Ohne die durchgängige Verschlüsselung sei das Risiko für Datenlecks größer, da die überschaubare Zahl der De-Mail-Server bei den Providern oder das Gateway der Verwaltung attraktive Angriffsziele darstellten.

Die Diskussion wegbringen von "absolut überzogenen Sicherheitsanforderungen", die es in der analogen Welt nie gegeben habe, wollte der Geschäftsführer des IT-Branchenverbands Bitkom. Der professionelle Nutzer könne schon heute bei De-Mail eine Ende-zu-Ende-Verschlüsselung einfach zusätzlich einsetzen, während eine entsprechende Vorschrift das System für den normalen Anwender in einen "Hindernisparcour" verwandle. Das wäre so, als ob man ein in Geheimschrift verfasstes Dokument in einen Hochsicherheitstresor lege. Im Schnitt habe ein Bürger 1,5 Behördenkontakte pro Jahr, von denen sich einer auf das Elster-Formular beziehe. Für das Übrige böte das Instrument eine 99,9 prozentige Sicherheit mit der implementierten Transportverschlüsselung. Insgesamt sei das Gesetz "längst überfällig", da die Verwaltung größtenteils "anachronistisch" arbeite.

Dirk Stocksmeier vom IT-Dienstleister Init bezeichnete das Sicherheitsniveau von De-Mail für eine große Zahl von Anwendungen als "geeignet und angemessen". Eine durchgehende Verschlüsselung sei bei "bestimmten Bereichen" angezeigt, wofür die akkreditierten Provider bereits die benötigten Infrastrukturen anböten. Sollten die Anforderungen allgemein hochgeschraubt werden, sehe er die Gefahr, dass ein Großteil der möglichen Nutzer das Verfahren nicht anwenden und sich von vornherein auf unsichere Kommunikationswege begeben werde. Helmut Fogt vom Deutschen Städtetag fürchtete ebenfalls, dass "das Ding" nicht abheben werde, wenn dafür zusätzliche Software auf dem eignen Rechner installiert werden müsse.

Die Regierungsinitiative soll es unter anderem Behörden vorschreiben, neben der qualifizierten elektronischen Signatur etwa auch De-Mail und die eID-Funktion des neuen Personalausweises als gleichwertig zur Unterschrift per Hand anzuerkennen. Der Datenschützer Dankert plädierte dafür, insbesondere die elektronische Gesundheitskarte als Identifizierungsmittel auszuschließen, da diese nicht als vergleichbar gesichert angesehen werden könne. Für den Passauer Rechtswissenschaftler Ralf Müller-Terpitz ist es nachvollziehbar, dass die Politik über alternative Wege zur qualifizierten Signatur nachdenke, da sich diese "als nicht sehr erfolgreich erwiesen hat". Der Gesetzgeber sollte dabei aber eine "technik-, zukunfts- und rechtsraumoffene" Regel treffen.

Ein höheres Maß an Datensicherheit hielt der Jurist vor allem bei der vorgesehenen elektronischen Aktenführung für wichtig. Das "Niveau der Vertraulichkeit, Integrität und Verfügbarkeit" sei hier "zumindest abstrakt" vorzugeben. Als unzureichend betrachtete Müller-Terpitz die Empfehlung, amtliche Bekanntmachungen parallel auch im Sinne von Open Data maschinenlesbar im Netz zu veröffentlichen. Diese sei zu verknüpfen mit einer Aufforderung an die Verwaltung, die Daten auch tatsächlich unter offenen Lizenzen bereitzustellen. Dankert verwies an diesem Punkt auf einen "eklatanten Widerspruch" zu den strengeren Vorgaben zur Aktenherausgabe im Informationsfreiheitsgesetz des Bundes.

Auf die Kommunen sieht der Städtetagvertreter Fogt keine Kostenlawine mit der vorgesehenen Umstellung zurollen. Diese investierten seit 15 Jahren in E-Government-Prozesse und setzten dabei auf mittelfristige Einsparungen, da die konventionelle Aktenführung viel teurer sei. Auch durch zusätzliche Anforderungen und Bestimmungen des Entwurfs würden die Gemeinden "so gut wie gar nicht belastet". Einzelne Bundesländer sehen dies anders. (jk)