CAST-Forum diskutiert Detailfragen rund um De-Mail

Die gesetzlichen Grundlagen der De-Mail sind nach der Verabschiedung durch den Bundesrat festgeschrieben, der Alltag der rechtsverbindlich verschickten E-Mail kann beginnen. Ob das System von den Internet-Nutzern akzeptiert wird, ist völlig offen. Für das erste Jahr wird mit zwei Millionen Postfächern gerechnet. Auf dem Darmstädter CAST-Forum Recht und IT-Sicherheit wurde diskutiert, was die Nutzer erwartet.

Wer De-Mail mit dem neuen Personalausweis (nPA) benutzt, loggt sich mit Nutzernamen und Passwort ein und identifiziert sich zusätzlich mit dem Ausweis über die AusweisApp mit PIN. Dann ist der Nutzer mit der Sicherheitsstufe "hoch" dem System bekannt und die "Abholbestätigung" für alle Mails mit Quittungsfunktion kann ausgelöst werden – auch wenn der Nutzer die einzelnen Mails gar nicht gelesen hat. Das von Astrid Schumacher, Projektleiterin De-Mail beim Bundesamt für Sicherheit in der Informationstechnik vorgestellte Verfahren sorgte unter den Teilnehmern des CAST-Forums für einigen Diskussionsstoff. Tagungsleiter Alexander Roßnagel verglich die Situation mit einem Briefkasten, in den ein Böller geworfen wird: Auch dann wäre die Post rechtsverbindlich zugestellt, obwohl sie niemand gelesen hat.

Rund um die De-Mail kommen einige Detailfragen auf, die Juristen beschäftigen können. Projektleiterin Schumacher verdeutlichte dies anhand der Alters- oder Adressverifikation, die mit De-Mail möglich ist. Dabei unterschreibt der De-Mail-Provider mit seiner qualifizierten Signatur, dass die Adresse seines Kunden oder sein Alter korrekt ist. Untersucht werden soll auch, ob De-Mail die einzelnen Funktionen der Schriftform alternativ zur qualifizierten elektronischen Signatur ersetzen kann. Innerhalb eines halben Jahres nach Einführung der De-Mail müssen BSI und Bundesregierung laut Schumacher darüber einen Bericht vorlegen. Die Projektleiterin wies außerdem darauf hin, dass in der vielfach diskutierten Frage der Ende-zu-Ende Verschlüsselung De-Mail echte Vorteile habe: De-Mail-Nutzer können ihre öffentlichen Schlüssel im Verzeichnisdienst von De-Mail speichern lassen und dort ebenso einfach die Schlüssel ihrer Kommunikationspartner abfragen.

Im De-Mail-System wird ein Brief an einen anderen Teilnehmer verschlüsselt zum Provider übertragen, der ihn im Bruchteil einer Sekunde entschlüsselt und auf Schadsoftware überprüft, ehe er zum De-Mail-Provider des Empfängers weitergeleitet wird. In diesem System könne eine Ende-zu-Ende-Verschlüsselung auch nachteilig sein, erklärte Sven Gelzhäuser, Produkt-Manager De-Mail bei 1&1. Bei durchgängiger Verschlüsselung kann nicht geprüft werden, ob eine Mail frei von Schadsoftware ist.

650.000 Nutzer haben sich laut Gelzhäuser vorab bei den von 1&1 über Web.de und GMX.de angebotenen De-Mail-Fächern registriert. Keine Angaben konnte er zu den voraussichtlichen Kosten des Dienstes machen, außer dass nach dem Verursacherprinzip abgerechnet werde. Gelzhäuser rechnete die Zahlen aus dem Pilottest in Friedrichshafen hoch, an dem 2,75 Prozent der Bevölkerung teilnahmen. Auf ganz Deutschland umgesetzt seien dies mindestens 2,2 Millionen Nutzer mit steigender Tendenz, weil einer Umfrage zufolge bereits 12 Prozent aller Deutschen De-Mail kennen.

Der baden-württembergische Datenschutz-Referent Daniel Wilke machte darauf aufmerksam, dass De-Mail als Telekommunikationsdienst die Strafverfolgungs- und Sicherheitsbehörden berechtige, Name und Anschrift der Postfachinhaber sowie Zugangsdaten wie PIN und PUK zu erhalten. Auf die Inhalte der Kommunikation könne bei besonders schweren Straftaten und Berücksichtigung des Richtervorbehaltes dann zugegriffen werden, wenn die Mails beim De-Mail-Provider gespeichert sind. In Verbindung mit den ermittelten Zugangsdaten sah Wilke eine Missbrauchsgefahr des Systems. Insgesamt sei auch die Gefahr eines faktischen Zwangs zur De-Mail-Nutzung gegeben, wenn Behörden im Briefverkehr mit dem Bürger die Nutzung von De-Mail verpflichtend vorraussetzten.

Dagegen betonte Tagungsleiter Alexander Roßnagel das vorherrschende Interesse am De-Mail-Versand bei den Berufsgruppen wie Ärzten, Rechtsanwälten und Steuerberatern, die gesetzlich verpflichtet sind, mit Mandanten und Patienten vertaulich zu kommunizieren und damit einen sicheren Dienst benötigen. De-Mail sei hier ein gesellschaftlicher Vorteil und ein sehr sicheres System: "Der einzige, der hier Missbrauch treiben kann, ist der Anbieter und der hat dafür nur eine Sekunde Zeit." (anw)