Bundesregierung verteidigt Projekt für sichere Bürger-E-Mail

Martin Schallbruch, IT-Direktor im Bundesministerium des Innern, hat den geplanten De-Mail-Dienst als "massentaugliche", spamfreie Ergänzung zu bestehenden verschlüsselten E-Post-Verfahren der Verwaltung angepriesen. "Die virtuelle Poststelle für Behörden wird weiterhin gebraucht", erklärte der IT-Fachmann in Anspielung auf das bereits 2004 gestartete "Elektronische Gerichts- und Verwaltungspostfach" (EGVP) auf einem Workshop des Branchenverband Bitkom am heutigen Montag in Berlin. Dieses sei vor allem für E-Mails mit qualifizierter Signatur nötig.

Schallbruch teilte auch die Kritik aus dem Bereich der kommunalen Anwender des OSCI-Standards (Online Services Computer Interface) nicht, wonach auf dieser Basis bereits Möglichkeiten zum verschlüsselten E-Mail- und Dokumentenversand über gängige Mail-Adressen bestünden. Dafür bräuchte es bei allen Kommunikationspartnern komplizierte Verschlüsselungsarchitekturen. Beide Seiten müssten auf ihrem eigenen PC einen OSCI-Client installieren, wobei keiner für die Systemsicherheit bürgen könne. Die Bundesregierung wolle aber vom OSCI-Konzept nicht abrücken. Dieses werde etwa zum Abgleich von Daten der Meldebehörden, innerhalb der Verwaltung oder beim Kontakt mit Notaren weiter eingesetzt.

Generell möchte die Bundesregierung mit dem Abstecken eines Rechtsrahmens für De-Mail laut dem IT-Direktor eine Lücke "bei der Entwicklung Deutschlands zur Informationsgesellschaft" schließen. Dabei gehe es vor allem um die Schaffung eines sicheren und rechtsverbindlichen Kommunikationsraums im Netz. Jeder interessierte Nutzer erhalte auf freiwilliger Basis von einem privaten, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten und akkreditierten Provider eine besondere E-Mail-Adresse, die sich aus einer seiner bisherigen Anschriften für elektronische Post und dem Namensbestandteil "de-mail" zusammensetze. Voraussetzung sei eine einmalige Identifizierung etwa über das PostIdent-Verfahren oder den geplanten elektronischen Personalausweis. Darüber hinaus bestehe die Möglichkeit, sich freiwillig mit der De-Mail-Adresse ins Melderegister eintragen zu lassen. Dann könnten Behörden von sich aus elektronisch dort verzeichnete Bürger anschreiben.

Das Projekt soll einen Zustelldienst für De-Mail-Nutzer untereinander umfassen, über den digitale Einschreiben versendet und elektronische Zustellbestätigungen ausgestellt werden können. Weiter ist gemäß Schallbruch geplant, Nutzern einen Dokumentensafe auf einer virtuellen Festplatte beim Provider für die Archivierung etwa von Rechnungen anzubieten, die dann auch als Steuernachweis akzeptiert würden. Insgesamt hätten die anfänglichen Entwicklungspartner, zu denen laut einer Antwort des Innenministeriums auf eine Anfrage der Grünen im Bundestag die Firmen Secunet und Bearing Point, der Verein TeleTrusT, die Universität Kassel, die FHTW Berlin und das Bremer Forschungsinstitut ifib gehörten, Wert auf datenschutzfreundliche Bestimmungen gelegt. So gebe es etwa keine zentrale Datenhaltung, der gesamte Verkehr laufe verschlüsselt ab, und die Anbieter müssten auch Pseudonyme vorsehen.

Bedenken, dass der Maildienst für staatliche Überwachungszwecke wie den Versand des Bundestrojaners genutzt werden könnte, wies Schallbruch entschieden zurück: "Mit der Online-Durchsuchung hat das gar nichts zu tun." Vielmehr habe das zertifizierte Postfach den Vorteil, dass Spammen schon aufgrund technischer Restriktionen beim E-Mail-Versand erschwert werde. Zudem dürfte es sich jeder Verbreiter unerwünschter Werbemails angesichts der klaren Identifizierbarkeit des Absenders zweimal überlegen, ob er den Dienst für solche Ziele missbrauche. Zugleich verwies der IT-Direktor auf hohe Kostensenkungseffekte. Wenn allein acht Prozent des derzeitigen Postverkehrs über das neue Verfahren abgewickelt würden, könnten die Absender eine Milliarde Euro Porto sparen. Dieser Summe stünden Aufwendungen für den Aufbau der Kommunikationsinfrastrukturen gegenüber.

Ob das Dienstepaket für den Endnutzer etwas kostet oder Großinteressenten wie Versicherungen, Banken und Sparkassen oder die Datev die "Spesen" bezahlen, ist unklar. Zunächst sei auf das "Verursacherprinzip wie bei der Briefpost" abzustellen, erläuterte Gert Metternich von T-Systems. Es seien aber etwa Pauschaltarife denkbar. Schallbruch versicherte, dass auch die Deutsche Post bei dem Vorhaben mitarbeite und bislang "keine negativen Bekundungen" habe verlauten lassen.

Zum technischen Verfahren führte Heike Stach vom Innenministerium aus, dass ein spezifisches Protokoll nicht vorgeschrieben werde. Gewährleistet werden müsse nur, dass der Abruf über ein webbasiertes Verfahren per HTTP erfolgen könne. Dabei würden Kriterien für die gegenseitige Authentisierung und eine verschlüsselte Verbindung wie bei SSL vorgegeben. Der Einsatz gängiger E-Mail- oder OSCI-Clients sei auch denkbar. Die ganzen Sicherheitsmechanismen sollten beim Provider im Hintergrund ablaufen, um die Nutzung so einfach wie möglich zu machen. So sei dort etwa eine Kontrolle auf Schadsoftware und eine Versandberechtigung, die Integritätssicherung über eine Prüfsumme, die Verschlüsselung über S/MIME und eine Ergänzung von Metadaten durchzuführen. Der Nachrichteninhalt basiere auf dem Internet Message Format mit X-Header-Attributen für spezielle Versandoptionen wie Einschreiben oder qualifizierte elektronische Signaturen.

Lesebestätigungen werde es nicht geben, betonte Stach, da diese datenschutzrechtlich bedenklich wären. Andernfalls würde etwa ersichtlich, wann ein Empfänger am Rechner sitze und eine Mail abgerufen habe. Für die Anbindung größerer Organisationen, die über ein eigenes Intranet verfügen, sei eine Gateway-Lösung vorgesehen. An der Schnittstelle werde eine vom normalen Postfach aus versandte Mail in eine De-Mail-Adresse umgewandelt und über einen sicheren Kanal zum Provider weitergeleitet.

Bitkom-Präsidiumsmitglied Ulrich Dietz begrüßte die Initiative. Es handle sich um einen "weiteren wichtigen Service-Baustein im Rahmen der E-Government-Programme der Bundesregierung", der sich zum "Exportschlager" entwickeln könne. Das Projekt passe gut zu Deutschland, "weil es ein seriöses Produkt ist". Derzeit habe man hierzulande beim elektronischen Behördenverkehr aufgrund der föderalen Strukturen "viel verschenkt" und müsse nun "Gas geben". Einzelheiten zu Pilotprojekten will die Regierung am Donnerstag auf dem nationalen IT-Gipfel in Darmstadt bekannt geben. Schallbruch kündigte zudem die Veröffentlichung des Referentenentwurfs für das Rahmengesetz im Internet sowie eine Online-Konsultation an. Er rechne mit einem Beschluss des Vorhabens vor der Sommerpause und einem Inkrafttreten Anfang 2010. (Stefan Krempl) / (pmz)