"De-Mail soll E-Mail geschäftsfähig machen"

2010 soll die De-Mail als neues rechtssicheres Internet-Kommunikationsmittel in Deutschland eingeführt werden. Am Mittwoch, 03.12.2008 beantwortete Dr. Heike Stach, Leiterin des Projekts Bürgerportale im Bundesinnenministerium, in einem Chat organisiert von Zebralog e.V. in Zusammenarbeit mit politik-digital.de, Fragen zur konkreten Umsetzung und ging auf Bedenken zur Sicherheit und zum Datenschutz ein.

Moderator: Können Sie zum Einstieg das Projekt De-Mail in wenigen Sätzen beschreiben, damit alle Chatterinnen und Chatter auf einem einheitlichen Stand sind?
Dazu passt auch diese Frage:

Maik Friedrich: Gibt es schon konkrete Vorstellungen, wann De-Mail starten soll?

Heike Stach: Also, bei De-Mail geht es darum, die E-Mail geschäftsfähig zu machen. Dabei soll De-Mail so einfach sein wie E-Mail und so sicher wie die Papier-Post.
Ziel ist, dass künftig Rechnungen, Kündigungen, Verträge, Bescheide und verbindliche und vertrauliche Kommunikation allgemein elektronisch und rechtssicher versendet werden können.
Dabei bauen wir keine staatliche Infrastruktur auf, sondern zertifizieren Provider aus der Privatwirtschaft bezüglich Sicherheit, Daten- und Verbraucherschutz. Nur zertifizierte Provider können De-Mail anbieten. Wir hoffen, dass erste De-Mail-Anbieter 2010 online gehen.

Robert Helling: Wenn mir auf diesem Weg Nachrichten rechtsverbindlich zugestellt werden können, muss ich konsequenter Weise regelmäßig in kurzen Abständen meine Nachrichten auch abrufen? Dies scheint mir, mich sehr unter Druck zu setzen. Kann ich nicht eine rechtsverbindliche Zustellung über das Portal an mich ausschließen oder nur bestimmte Absender zulassen?

Heike Stach: Mit De-Mail muss ein Bürger einer Behörde den Zugang eröffnen. Das bedeutet, bevor eine Behörde mich per De-Mail anschreibt, muss ich ihr dieses gestatten und ihr meine De-Mail-Adresse bekannt geben. Ich kann mir also aussuchen, ob und mit welcher Behörde ich auf diesem Weg kommunizieren möchte.

Wenn ich den Zugang für alle Behörden eröffnen möchte, also der gesamten deutschen Verwaltung meine De-Mail-Adresse bekannt geben möchte, sieht der derzeitige Gesetzesentwurf vor, dass ich meine De-Mail-Adresse in einem Melderegister veröffentlichen kann. Das ist freiwillig!

Bei der Kommunikation mit Unternehmen ist es im Grunde ähnlich. Auch dort muss ich meine De-Mail-Adresse bekannt geben, bevor sie verwendet werden kann.
Zur Frist: Die Zustellfiktion tritt wie bei der Papierpost drei Tage nach Versand ein. Man muss also nicht minütlich in sein De-Mail-Postfach schauen, genau wie beim Briefkasten.

NIco: Bei De-Mail wird immer von der rechtssicheren Kommunikation gesprochen. So sollen Anträge in Zukunft per De-Mail übermittelt werden. Nach dem Verwaltungsverfahrensgesetz ist hierfür die qualifizierte Signatur erforderlich. Ist die Kommunikation über De-Mail auf Bürger-seite/Behördenseite mit der qualifizierten elektronischen Signatur möglich ?

Heike Stach: De-Mail ersetzt nicht die qualifizierte elektronische Signatur. Letztere ersetzt im Kern die persönliche Unterschrift. Wenn die persönliche Unterschrift, also die Schriftform, erforderlich ist, muss ich nach wie vor qualifiziert elektronisch signieren und kann das Dokument dann per De-Mail versenden.
Die qualifizierte elektronische Signatur löst ein anderes Problem als De-Mail. Bei ersterer geht es um dauerhafte Nachweisbarkeit der Unterschrift unter einem Dokument. Bei De-Mail geht es um die Sicherheit, Vertraulichkeit und Nachweisbarkeit eines Kommunikationsaktes, also eben der Zusendung.

Wieland Ravenstein: Wie bitte ist der Stand heute: Gibt es schon Interessenten wie die Telekom, ab wann ist eine Registrierung möglich, wo wird ein Test stattfinden? Hat man nicht die Sorge, dass es eine ähnliche Übererwartung wie bei der digitalen Signatur gibt?

Heike Stach: Auf dem IT-Gipfel wurde eine Pilotierungsvereinbarung unterzeichnet, in der eine Reihe von Firmen und Institutionen die Absicht erklären, im kommenden Jahr einen Piloten zu De-Mail zu starten. Diese Firmen sind unter anderen die United Internet AG (Web.de, Gmx, 1&1), T-Home und T-Systems, Mentana-Claimsoft sowie auch Anwender-Unternehmen aus der Versicherungsbranche, den Banken und Sparkassen und Großunternehmen aus Friedrichshafen und Handwerker ...

Gast: Wie wird garantiert, dass die Verschlüsselung keine Backdoor enthält, die der Regierung erlaubt, meine E-Mails zu lesen?

Heike Stach: De-Mail unterliegt den gesetzlichen Rahmenbedingungen der elektronischen Kommunikation. Das heißt, das Mitlesen von Inhalten ist grundsätzlich nur nach entsprechender richterlicher Anordnung möglich, wie es auch bei Papierpost der Fall ist.
Ansonsten wird die gesamte Kommunikation und Datenablage standardmäßig vom Provider verschlüsselt. Zudem sind alle Provider verpflichtet, die „Ende-zu-Ende-Verschlüsselung" zu unterstützen. Die Provider werden zertifiziert und müssen dabei nachweisen, dass der Zugriff auf die von ihnen verwendeten Schlüssel nur in berechtigten Fällen erfolgen kann.

Gast: Wieso werden denn die bereits vorhandenen Lösungen wie Truecrypt und PGP nicht genutzt? Das wäre billiger, die Programme sind quelloffen und werden von vielen Bürgern bereits verwendet.

Heike Stach: Erst einmal kann man sagen: Diese Technologien können weiter verwendet werden.
Dadurch, dass es möglich wird, seine Verschlüsselungszertifikate in den Verzeichnisdienst seines Providers zusammen mit der De-Mail-Adresse zu veröffentlichen, wird „Ende-zu-Ende-Verschlüsselung" sogar erleichtert.
Die Erfahrung zeigt, dass sich solche „Ende-zu-Ende-Verschlüsselungstechnologien" in der Breite nicht durchgesetzt haben, da das Schlüssel-Handling und der Umgang mit der erforderlichen Software für die meisten Menschen zu unkomfortabel oder zu schwierig ist.
Deshalb sollen die Provider die Aufgabe der Verschlüsselung und den Umgang mit Sicherheitstechnologien dem Bürger soweit wie möglich abnehmen. „Ende-zu-Ende-Verschlüsselung" gewährleistet zudem, anders als De-Mail, nicht die Nachweisbarkeit der Zustellung und auch nicht die Authentizität des Absenders und des Empfängers.

Datenreisender: Wie kann ich einer Verschlüsselung vertrauen, bei der nicht ich, sondern der Provider im Besitz der hierfür notwendigen Keys ist? Eine Verschlüsselung ist grundsätzlich immer nur dann sicher, wenn der geheime private Schlüssel niemandem außer mir bekannt ist!

Heike Stach: Wie gesagt, Sie können auch mit De-Mail „Ende-zu-Ende" verschlüsseln. Damit Sie Ihren Providern vertrauen können, werden die beim Provider vorgenommenen Maßnahmen vorgeschrieben und eben auch geprüft.
Die Anforderungen an den Umgang mit den Schlüsseln beim Provider sind vergleichbar mit Verfahren, die Banken einsetzen, um die Vertraulichkeit der Konten - auch gegenüber eigenen Mitarbeitern - zu gewährleisten.

Gast: Wieso sollten Nutzer angesichts der aktuellen Vorfälle vor allem in den Bereichen IT-Sicherheit und Datenschutz ausgerechnet dem Bundesinnenministerium (heimliche Online Durchsuchung) und der Deutschen Telekom (Bespitzelungsaffäre, Kundendatenverlust) vertrauen?

Heike Stach: Das Erste ist: Der Provider, den Sie wählen, ist ein Provider IHRER Wahl.
Sie müssen also nicht zur Telekom gehen, wenn Sie dies nicht wollen, siehe oben.
Zum Bundesministerium des Innern: Zuständig für die Zertifizierung bzw. Akkreditierung ist das BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI ist eine präventive Sicherheitsbehörde und hat eine starke Kompetenz in Fragen der IT-Sicherheit.
Das Zertifizierungsverfahen selbst, also die geprüften Kriterien, werden veröffentlicht und Sie können sich selbst ein Bild machen, ob Sie die Prüfung ausreichend finden.
Sie müssen also nicht vertrauen, sondern können selbst prüfen.

Stefan Salz2: Ich frage mich, wie man verhindert, dass zukünftige De-Mail Anbieter den Ansatz gefährden oder stark beeinträchtigen könnten, indem sie einen zu hohen Preis pro De-Mail verlangen - also das „e-Porto" zu hoch ist? Denn wir sehen ja immer wieder, dass eine neue Technik erst dann richtig boomt, wenn sie auch sehr preiswert wird.

Heike Stach: Die Verantwortung für die Ausarbeitung von Geschäftsmodellen und Preisen liegt bei der Wirtschaft. Der Staat sollte hier nur regulierend eingreifen, wenn das wirklich erforderlich ist.

Da es den Providern darum gehen wird, viele Kunden zu akquirieren, ist es auch in ihrem Interesse, vernünftige und akzeptierte Angebote zu machen.

Peter Cornelius: Es gibt jetzt schon web-basierte E-Mail-Systeme von Mobilfunk-Anbietern. Wären die auch potentielle Teilnehmer am Pilotbetrieb ?

Heike Stach: Mobilfunkanbieter? Bisher hat sich noch keiner gemeldet. Wenn vernünftige Vorschläge kommen, kann man das natürlich diskutieren.

Moderator: De-Mail soll ja auch aus dem Ausland nutzbar sein:

Wieland Ravenstein: Wie ist die Sicherheit beim Grenzübergang? Wenn ich aus Guatemala teilnehme, gibt es dann größere Risiken, als wenn ich in der Godesberger Allee neben dem BSI wohne und maile?

Heike Stach: Die Verbindung zwischen Ihnen und Ihrem Provider läuft über einen gegenseitig verschlüsselten und authentisierten Kanal, auch wenn Sie im Ausland sind. Grundsätzlich ist damit eine vergleichbare Sicherheit gegeben.

Moderator: Zum Thema Datentresor und Speicherung der über De-Mail versandten Mails:

Gast: Werden die Dokumente zwischen Privat und Behörde auf einem zentralen Server gespeichert? Es besteht immer die Möglichkeit, dass ein Privat-PC abstürzt oder ein kompletten Blackout hat. Somit sind die Daten und Dokumente bei Privat verloren. Kann er diese von der Behörde wieder einfordern?

Heike Stach: Jeder Provider kann einen Dokumentensafe (De-Safe) anbieten. In diesem werden die Daten sicher aufbewahrt. Auch wenn Sie Schwierigkeiten mit Ihrem PC bekommen. Zum nochmaligen Einfordern bei der Behörde: Dies ist bei De-Mail nicht anders als bei der Papier-Post.

CID-PM2010: Auf welche Weise authentisiert sich der Nutzer von De-Mail gegenüber seinem Dienste-Anbieter?

Heike Stach: Wenn ich ein De-Mail-Postfach eröffnen möchte, muss ich mich bei meinem Provider identifizieren, ähnlich wie bei der Eröffnung eines Online-Bankkontos. Wenn ich mich dann später bei meinem Account anmelden möchte, kann ich das auf zwei Sicherheitsniveaus tun: Zum einen auf dem Niveau "normal", zum Beispiel mit Username und Password. Zum anderen auf dem Niveau "hoch", das durch Besitz und Wissen gekennzeichnet ist. Zum Beispiel mit modernen Bankkarten, dem künftigen elektronischen Personalausweis und gegebenenfalls aber auch geeigneten USB-Token.

Gast: Ist das mit dem Grundsatz der Datensparsamkeit aus dem Datenschutzgesetz irgendwie zu vereinen? Für einen E-Mail-Dienst sind fast alle dieser Daten nicht erforderlich und dürfen von daher nicht erfasst werden.

Heike Stach: Damit man über De-Mail rechtssicher kommunizieren kann, ist es zumindest im Streitfalle erforderlich zu wissen, wer mit wem redet. Dazu werden bei der Erstregistrierung die Daten erhoben, die auf dem Personalausweis stehen. Das ist das Minimum, das man dazu benötigt.

Moderator: Noch einmal zum Thema De-Safe:

Robert Helling: Die große Preisfrage dabei ist natürlich, in welchem Umfang man dort Daten ablegen kann. Mehrere GB sollten da schon eingeplant werden, sonst stößt es zu schnell an die Grenzen. (Gerade wenn auch E-Mail und zum Beispiel gescannte Dokumente aufbewahrt werden.)

Heike Stach: Vorgeschrieben sind mindestens 100 MB, die Provider ihrem Kunden anbieten müssen, nach oben hin gibt es jedoch keine Beschränkung.

Datenreisender: Kann ich bei De-Mail auch selbst mein eigener Provider sein, also zum Beispiel zu Hause einen eigenen Mailserver betreiben?

Heike Stach: Dann müssten Sie sich zertifizieren lassen.

Moderator: Ist das Verfahren aufwändig?

Heike Stach: Das hängt davon ab, wie Ihre Infrastruktur heute schon aussieht.
Wenn Sie Ihrem Kunden bereits ein hohes Sicherheits- und Datenschutzniveau bieten und das nachweisen können (auf technischer und organisatorischer Ebene), ist der Aufwand geringer, als wenn das nicht der Fall ist.

Gast: Kann ich Dateien in meinem Safe legen, die ich vorher mit Truecrypt gegen staatliches Mitlesen geschützt habe?

Heike Stach: Ja.

Peter Cornelius: Es sollte auch Systeme geben, die vernünftiges Arbeiten ohne Anonymisierung als Grundlage haben. Ich finde die Überlegungen für De-Mail gut.

Heike Stach: Danke.

BRichter: Wie teuer wird so eine Zertifizierung in etwa?

Heike Stach: Das ist schwer zu sagen und hängt von den Voraussetzungen ab, die ein Provider heute schon erfüllt.

yoyo: Gibt es vergleichbare Projekte schon in anderen Ländern?

Heike Stach: In anderen Ländern gibt es - wie in Deutschland auch - eine Reihe von Ansätzen, die elektronische Kommunikation mit z.B. nur den Behörden oder nur einer Stadt, nur einem Unternehmen, sicher und verbindlich zu machen. Einen übergreifenden Ansatz wie bei De-Mail, bei dem es um die Kommunikation aller mit allen geht, gibt es so meines Wissens nicht.

pomox: Wie kann Interoperabilität und Plattformneutralität sichergestellt werden?

Heike Stach: Interoperabilität sichern wir durch die Zertifizierung, in deren Rahmen die Provider nachweisen müssen, dass sie untereinander gemäß einer definierten Interoperabilitätsspezifikation kommunizieren. Die Plattformunabhängigkeit beim Nutzer wird dadurch sichergestellt, dass die Provider alle gängigen Web-Browser unterstützen müssen.

mal sehen: Welche E-Government-Anwendungen (Umzug, KFZ-Ummeldung, Rentenbescheid, Steuer usw.) werden beim Start von De-Mail eine funktionierende Schnittstelle über De-Mail anbieten? Werde ich das überhaupt können - von Geburtsurkunde ausstellen und ähnlichem abgesehen.

Heike Stach: Bei De-Mail geht es eher um die Bescheiderteilung als um die Antragsstellung. Letztere läuft im Idealfall über Online-Formulare der zuständigen Behörden. Damit die Behörden Bescheide und sonstigen Schriftverkehr per De-Mail zusenden können, müssen sie sich an den De-Mail-Verbund anschließen. Das ist nicht sehr aufwändig. Ich gehe davon aus, dass deshalb eine ganze Reihe von Behörden und Verfahren in 2010 an dem Verfahren teilnehmen.

Moderator: Das war der Chat mit Dr. Heike Stach, Leiterin des Projekts Bürgerportale im Bundesministerium des Innern, zum Thema De-Mail und sichere Kommunikation im Internet. Vielen Dank an Frau Dr. Stach für Ihre Teilnahme und vielen Dank an die Chatterinnen und Chatter für die Fragen. Das Transkript dieses Chats gibt es in Kürze auf www.e-konsultation.de zum Nachlesen. Das Chatteam wünscht allen Beteiligten noch einen schönen Tag.