Porto für rechtsverbindliche E-Mails

Das Bundesprojekt De-Mail soll ab 2010 einen vertraulichen und sicheren Geschäftsverkehr im Internet ermöglichen. Fragen zur Datensicherheit und den Kosten bleiben dennoch.

Mit dem vom Kabinett gebilligten und am 11.2.09 im Bundestag diskutierten Gesetzentwurf zum elektronischen Bürgerportal sind jetzt Sicherheits- und Datenschutzaspekte des Projektes umrissen.

Telekom und Deutsche Bahn zuständig für Daten

De-Mail soll nur von akkreditierten und staatlich geprüften Providern angeboten werden. In wie weit diese sicherer sind als andere, wird sich erst noch herausstellen müssen. Kritiker bemängelten, dass mit der Deutschen Telekom, T-Systems, der Deutschen Post oder der Deutschen Bahn mehrere ehemalige oder demnächst ehemalige Staatsbetriebe an der Umsetzung des Systems beteiligt wurden. Andere Konkurrenten wie zum Beispiel die Strato AG hatten hierbei das Nachsehen.

Zur Teilnahme soll der Bürger einen Account bei einem der jeweiligen Anbieter von De-Mail anlegen. Einrichten kann das Postfach nur, wer auch eindeutig identifizierbar ist. Dies geschieht zum Beispiel gegen Vorlage des Ausweises in einer Postfiliale oder später über den elektronischen Pass.

Allerdings war es gerade der Umgang mit den Kunden-oder Mitarbeiterdaten, der den staatsnahen Konzernen in den vergangen Monaten sehr viel negative Presse einbrachte. Das Vertrauen der Bevölkerung in diese Unternehmen dürfte nicht unbedingt gefördert worden sein. Aber genau mit der Akzeptanz beim Bürger steht und fällt das Projekt.

Die Finanzierung ist derzeit durch ein ePorto geplant. Die Frage, die sich dabei stellt: Warum sollte auf einen kostenpflichtigen Service (De-Mail) zurückgegriffen werden, der sich bereits kostenlos (E-Mail) etabliert hat? Ob die Frage nach Sicherheit bei der Mehrzahl der Bürger bereits angekommen ist, wird sich erst noch zeigen müssen.

Schutz gegen Spam und Diebstahl?

"Jeder soll in die Lage versetzt werden, sich gegen unerwünschtes Mitlesen, Diebstahl wichtiger Daten, Betrug im Internet und gegen Spam besser zu schützen", umriss Bundesinnenminister Wolfgang Schäuble in der Berliner Zeitung.

Dem setzte die Datenschutzexpertin der Grünen, Silke Stokar, ebenfalls in der Berliner Zeitung entgegen: "Ich bezweifle, dass Herr Schäuble, wenn er unerwünschtes Mitlesen verhindern will, auch sich selber meint." Das Projekt müsse auf jeden Fall von externen Datenschützern gründlich untersucht werden.

Des Weiteren fordert sie, dass für den Bürger eindeutig klar werden muss, welche Behörden Zugriff auf die De-Mails haben. Zuständig für De-Mail wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein, das wiederum direkt dem Innenministerium untersteht.

Das BSI selbst beschreibt auf seiner Seite zum Gesetz über die Errichtung der Institution in Paragraph 3 Aufgaben, Punkt 6, dass das Amt den Strafverfolgungs- und Verfassungsschutzbehörden bei der Auswertung und Bewertung von Informationen zuarbeitet. Wie weit der Begriff Information hierbei gefasst wird, ist nicht weiter definiert.  

Kritik an Datensicherheit

Aber auch die technischen Seite des Projektes wird durchaus kritisch gesehen. So z. B. von der Opposition im Bundestag oder dem Bundesdatenschutz-Beauftragten Peter Schaar. Letzterem reicht es nicht aus, dass die Dienstanbieter bei De-Mail untereinander verschlüsselt miteinander kommunizieren.

Schaar sieht die die Gefahr, dass Dritte die Nachrichten auslesen oder gar verändern könnten und bevorzugt eine End-End-Verschlüsselung. Bei dieser Technik können mit entsprechenden Schlüsseln nur Absender und Empfänger die Nachrichten lesen.

Trotz der vielen offenen Fragen läuft die Pilotphase des Projektes im Sommer diesen Jahres in Friedrichshafen an.

3 Antworten auf Porto für rechtsverbindliche E-Mails

  1. Ein schöner Artikel. Die DE-Mail könnte in der Tat den Durchbrcuh im eGovernment bringen, denn was bisher fehlt sind einfach zu handhabende, günstig und leicht zu erwerbende Identifikationsmöglichkeiten. Signaturlösungen sind heute hingegen teuer, aufwendig zu installieren und kompliziert zu bedienen. Wer würde schon für das Ummelden eines KFZ eine Signaturkarte mit Lesegerät (ca. 60 EUR) erwerben wollen (ganz zu Schweigen von der Installation), um dann für 25 EUR sein Fahrzeug anzumelden? Wenn hingegen lediglich ein “ePorto” fällig wird, könnten solche eGovernment-Services auf einen Schlag alltagstauglich werden. Eine große Chance, wie ich finde. Die typischen Sicherheitsbedenken sollten pragmatisch gelöst werden, immerhin nutzen eine Menge Menschen heute Online-Banking, obwohl auch dieses nie 100-prozentig sicher sein wird.

  2. Gast sagt:

    “Telekom und Deutsche Bahn zuständig für Daten” … nun ja … nach den Ereignissen der letzten Wochen … ob ich da als Bürger so einfach meine Daten anvertraue?
    Nur zur Erinnerung: mit Datenschutz und Datensicherheit, was den Respekt von Grundrechten angeht hatten gerade diese beiden Unternehmen nicht sonderlich viel Rühmliches zu vermelden.

  3. Korwisi sagt:

    Statt auf etablierte Signierungsverfahren wie PGP oder GPG zurückzugreifen, wird mal eben ein neues, kostspieliges Verfahren aus der Taufe gehoben…

    Es spricht ja nichts gegen ein kostenpflichtiges Ident-Verfahren durch Vorlage eines Ausweises z.B. beim Einwohnermeldeamt, welches dann den Public-Key in eine offizielle Datenbank einpflegt. Personalausweis und Reisepass kosten schließlich auch Geld. Allerdings ist ein Eintrag eines öffentlichen Schlüssels in der Datenbank auch mit einer einmaligen Gebührenerhebung zu realisieren. Hierfür benötigt es schlicht eine Datenbank, eine Zugangskontrolle mit einer Schnittstelle für angeschlossene Behörden und ein Info-Heft über die Verwendung von PGP/GPG und kein riesiges Projekt, welches von halbstaatlichen Betrieben realisiert werden soll, deren Vetrauenswürdigkeit in letzter Zeit immer mehr abnimmt… von der Zwangsfinazierung durch sogenanntes ePorto mal ganz abgesehen.

Kommentar verfassen