2010 soll die De-Mail als neues rechtssicheres Internet-Kommunikationsmittel in Deutschland eingeführt werden. Am Mittwoch, 03.12.2008 beantwortete Dr. Heike Stach, Leiterin des Projekts Bürgerportale im Bundesinnenministerium, in einem Chat organisiert von Zebralog e.V. in Zusammenarbeit mit politik-digital.de, Fragen zur konkreten Umsetzung und ging auf Bedenken zur Sicherheit und zum Datenschutz ein.

 

Moderator:
Können Sie zum Einstieg das Projekt De-Mail in wenigen Sätzen
beschreiben, damit alle Chatterinnen und Chatter auf einem
einheitlichen Stand sind?
Dazu passt
auch diese Frage:

Maik
Friedrich:
Gibt es schon konkrete
Vorstellungen, wann De-Mail starten soll?

Heike Stach:
Also, bei De-Mail geht es darum, die E-Mail geschäftsfähig zu
machen. Dabei soll De-Mail so einfach sein wie E-Mail und so sicher
wie die Papier-Post.
Ziel ist, dass
künftig Rechnungen, Kündigungen, Verträge, Bescheide und
verbindliche und vertrauliche Kommunikation allgemein elektronisch
und rechtssicher versendet werden können.
Dabei
bauen wir keine staatliche Infrastruktur auf, sondern zertifizieren
Provider aus der Privatwirtschaft bezüglich Sicherheit, Daten- und
Verbraucherschutz. Nur zertifizierte Provider können De-Mail
anbieten. Wir hoffen, dass erste De-Mail-Anbieter 2010 online gehen.

Robert
Helling:
Wenn mir auf diesem Weg
Nachrichten rechtsverbindlich zugestellt werden können, muss ich
konsequenter Weise regelmäßig in kurzen Abständen meine
Nachrichten auch abrufen? Dies scheint mir, mich sehr unter Druck zu
setzen. Kann ich nicht eine rechtsverbindliche Zustellung über das
Portal an mich ausschließen oder nur bestimmte Absender zulassen?

Heike Stach:
Mit De-Mail muss ein Bürger einer Behörde den Zugang eröffnen. Das
bedeutet, bevor eine Behörde mich per De-Mail anschreibt, muss ich
ihr dieses gestatten und ihr meine De-Mail-Adresse bekannt geben. Ich
kann mir also aussuchen, ob und mit welcher Behörde ich auf diesem
Weg kommunizieren möchte.

Wenn ich den
Zugang für alle Behörden eröffnen möchte, also der gesamten
deutschen Verwaltung meine De-Mail-Adresse bekannt geben möchte,
sieht der derzeitige Gesetzesentwurf vor, dass ich meine
De-Mail-Adresse in einem Melderegister veröffentlichen kann. Das ist
freiwillig!

Bei der
Kommunikation mit Unternehmen ist es im Grunde ähnlich. Auch dort
muss ich meine De-Mail-Adresse bekannt geben, bevor sie verwendet
werden kann.
Zur Frist: Die
Zustellfiktion tritt wie bei der Papierpost drei Tage nach Versand
ein. Man muss also nicht minütlich in sein De-Mail-Postfach schauen,
genau wie beim Briefkasten.

NIco:
Bei De-Mail wird immer von der rechtssicheren Kommunikation
gesprochen. So sollen Anträge in Zukunft per De-Mail übermittelt
werden. Nach dem Verwaltungsverfahrensgesetz ist hierfür die
qualifizierte Signatur erforderlich. Ist die Kommunikation über
De-Mail auf Bürger-seite/Behördenseite mit der qualifizierten
elektronischen Signatur möglich ?

Heike Stach:
De-Mail ersetzt nicht die qualifizierte elektronische Signatur.
Letztere ersetzt im Kern die persönliche Unterschrift. Wenn die
persönliche Unterschrift, also die Schriftform, erforderlich ist,
muss ich nach wie vor qualifiziert elektronisch signieren und kann
das Dokument dann per De-Mail versenden.
Die
qualifizierte elektronische Signatur löst ein anderes Problem als
De-Mail. Bei ersterer geht es um dauerhafte Nachweisbarkeit der
Unterschrift unter einem Dokument. Bei De-Mail geht es um die
Sicherheit, Vertraulichkeit und Nachweisbarkeit eines
Kommunikationsaktes, also eben der Zusendung.

Wieland
Ravenstein:
Wie bitte ist der Stand
heute: Gibt es schon Interessenten wie die Telekom, ab wann ist eine
Registrierung möglich, wo wird ein Test stattfinden? Hat man nicht
die Sorge, dass es eine ähnliche Übererwartung wie bei der
digitalen Signatur gibt?

Heike Stach:
Auf dem IT-Gipfel wurde eine Pilotierungsvereinbarung unterzeichnet,
in der eine Reihe von Firmen und Institutionen die Absicht erklären,
im kommenden Jahr einen Piloten zu De-Mail zu starten. Diese Firmen
sind unter anderen die United Internet AG (Web.de, Gmx, 1&1),
T-Home und T-Systems, Mentana-Claimsoft sowie auch
Anwender-Unternehmen aus der Versicherungsbranche, den Banken und
Sparkassen und Großunternehmen aus Friedrichshafen und Handwerker …

Gast:
Wie wird garantiert, dass die Verschlüsselung keine Backdoor
enthält, die der Regierung erlaubt, meine E-Mails zu lesen?

Heike Stach:
De-Mail unterliegt den gesetzlichen Rahmenbedingungen der
elektronischen Kommunikation. Das heißt, das Mitlesen von Inhalten
ist grundsätzlich nur nach entsprechender richterlicher Anordnung
möglich, wie es auch bei Papierpost der Fall ist.
Ansonsten
wird die gesamte Kommunikation und Datenablage standardmäßig vom
Provider verschlüsselt. Zudem sind alle Provider verpflichtet, die
„Ende-zu-Ende-Verschlüsselung" zu unterstützen. Die Provider
werden zertifiziert und müssen dabei nachweisen, dass der Zugriff
auf die von ihnen verwendeten Schlüssel nur in berechtigten Fällen
erfolgen kann.

Gast:
Wieso werden denn die bereits vorhandenen Lösungen wie Truecrypt und
PGP nicht genutzt? Das wäre billiger, die Programme sind quelloffen
und werden von vielen Bürgern bereits verwendet.

Heike Stach:
Erst einmal kann man sagen: Diese Technologien können weiter
verwendet werden.
Dadurch, dass es
möglich wird, seine Verschlüsselungszertifikate in den
Verzeichnisdienst seines Providers zusammen mit der De-Mail-Adresse
zu veröffentlichen, wird „Ende-zu-Ende-Verschlüsselung" sogar
erleichtert.
Die Erfahrung zeigt,
dass sich solche „Ende-zu-Ende-Verschlüsselungstechnologien" in
der Breite nicht durchgesetzt haben, da das Schlüssel-Handling und
der Umgang mit der erforderlichen Software für die meisten Menschen
zu unkomfortabel oder zu schwierig ist.
Deshalb
sollen die Provider die Aufgabe der Verschlüsselung und den Umgang
mit Sicherheitstechnologien dem Bürger soweit wie möglich abnehmen.
„Ende-zu-Ende-Verschlüsselung"
gewährleistet zudem, anders als De-Mail, nicht die Nachweisbarkeit
der Zustellung und auch nicht die Authentizität des Absenders und
des Empfängers.

Datenreisender:
Wie kann ich einer Verschlüsselung vertrauen, bei der nicht ich,
sondern der Provider im Besitz der hierfür notwendigen Keys ist?
Eine Verschlüsselung ist grundsätzlich immer nur dann sicher, wenn
der geheime private Schlüssel niemandem außer mir bekannt ist!

Heike Stach:
Wie gesagt, Sie können auch mit De-Mail „Ende-zu-Ende"
verschlüsseln. Damit Sie Ihren Providern vertrauen können, werden
die beim Provider vorgenommenen Maßnahmen vorgeschrieben und eben
auch geprüft.
Die Anforderungen an
den Umgang mit den Schlüsseln beim Provider sind vergleichbar mit
Verfahren, die Banken einsetzen, um die Vertraulichkeit der Konten –
auch gegenüber eigenen Mitarbeitern – zu gewährleisten.

Gast:
Wieso sollten Nutzer angesichts der aktuellen Vorfälle vor allem in
den Bereichen IT-Sicherheit und Datenschutz ausgerechnet dem
Bundesinnenministerium (heimliche Online Durchsuchung) und der
Deutschen Telekom (Bespitzelungsaffäre, Kundendatenverlust)
vertrauen?

Heike Stach:
Das Erste ist: Der Provider, den Sie wählen, ist ein Provider IHRER
Wahl.
Sie müssen also nicht zur
Telekom gehen, wenn Sie dies nicht wollen, siehe oben.
Zum
Bundesministerium des Innern: Zuständig für die Zertifizierung bzw.
Akkreditierung ist das BSI (Bundesamt für Sicherheit in der
Informationstechnik). Das BSI ist eine präventive Sicherheitsbehörde
und hat eine starke Kompetenz in Fragen der IT-Sicherheit.
Das
Zertifizierungsverfahen selbst, also die geprüften Kriterien, werden
veröffentlicht und Sie können sich selbst ein Bild machen, ob Sie
die Prüfung ausreichend finden.
Sie
müssen also nicht vertrauen, sondern können selbst prüfen.

Stefan
Salz2:
Ich frage mich, wie man
verhindert, dass zukünftige De-Mail Anbieter den Ansatz gefährden
oder stark beeinträchtigen könnten, indem sie einen zu hohen Preis
pro De-Mail verlangen – also das „e-Porto" zu hoch ist? Denn wir
sehen ja immer wieder, dass eine neue Technik erst dann richtig
boomt, wenn sie auch sehr preiswert wird.

Heike Stach:
Die Verantwortung für die Ausarbeitung von Geschäftsmodellen und
Preisen liegt bei der Wirtschaft. Der Staat sollte hier nur
regulierend eingreifen, wenn das wirklich erforderlich ist.

Da es den
Providern darum gehen wird, viele Kunden zu akquirieren, ist es auch
in ihrem Interesse, vernünftige und akzeptierte Angebote zu
machen.

Peter
Cornelius:
Es gibt jetzt schon
web-basierte E-Mail-Systeme von Mobilfunk-Anbietern. Wären die auch
potentielle Teilnehmer am Pilotbetrieb ?

Heike
Stach
: Mobilfunkanbieter? Bisher hat
sich noch keiner gemeldet. Wenn vernünftige Vorschläge kommen, kann
man das natürlich diskutieren.

Moderator:
De-Mail soll ja auch aus dem Ausland nutzbar sein:

Wieland
Ravenstein:
Wie ist die Sicherheit
beim Grenzübergang? Wenn ich aus Guatemala teilnehme, gibt es dann
größere Risiken, als wenn ich in der Godesberger Allee neben dem
BSI wohne und maile?

Heike Stach:
Die Verbindung zwischen Ihnen und Ihrem Provider läuft über einen
gegenseitig verschlüsselten und authentisierten Kanal, auch wenn Sie
im Ausland sind. Grundsätzlich ist damit eine vergleichbare
Sicherheit gegeben.

Moderator:
Zum Thema Datentresor und Speicherung der über De-Mail versandten
Mails:

Gast:
Werden die Dokumente zwischen Privat und Behörde auf einem zentralen
Server gespeichert? Es besteht immer die Möglichkeit, dass ein
Privat-PC abstürzt oder ein kompletten Blackout hat. Somit sind die
Daten und Dokumente bei Privat verloren. Kann er diese von der
Behörde wieder einfordern?

Heike
Stach
: Jeder Provider kann einen
Dokumentensafe (De-Safe) anbieten. In diesem werden die Daten sicher
aufbewahrt. Auch wenn Sie Schwierigkeiten mit Ihrem PC bekommen. Zum
nochmaligen Einfordern bei der Behörde: Dies ist bei De-Mail nicht
anders als bei der Papier-Post.

CID-PM2010:
Auf welche Weise authentisiert sich der Nutzer von De-Mail gegenüber
seinem Dienste-Anbieter?

Heike Stach:
Wenn ich ein De-Mail-Postfach eröffnen möchte, muss ich mich bei
meinem Provider identifizieren, ähnlich wie bei der Eröffnung eines
Online-Bankkontos. Wenn ich mich dann später bei meinem Account
anmelden möchte, kann ich das auf zwei Sicherheitsniveaus tun: Zum
einen auf dem Niveau "normal", zum Beispiel mit Username
und Password. Zum anderen auf dem Niveau "hoch", das
durch Besitz und Wissen gekennzeichnet ist. Zum Beispiel mit
modernen Bankkarten, dem künftigen elektronischen Personalausweis
und gegebenenfalls aber auch geeigneten USB-Token.

Gast:
Ist das mit dem Grundsatz der Datensparsamkeit aus dem
Datenschutzgesetz irgendwie zu vereinen? Für einen E-Mail-Dienst
sind fast alle dieser Daten nicht erforderlich und dürfen von daher
nicht erfasst werden.

Heike Stach:
Damit man über De-Mail rechtssicher kommunizieren kann, ist es
zumindest im Streitfalle erforderlich zu wissen, wer mit wem redet.
Dazu werden bei der Erstregistrierung die Daten erhoben, die auf dem
Personalausweis stehen. Das ist das Minimum, das man dazu
benötigt.

Moderator:
Noch einmal zum Thema De-Safe:

Robert
Helling:
Die große Preisfrage dabei
ist natürlich, in welchem Umfang man dort Daten ablegen kann.
Mehrere GB sollten da schon eingeplant werden, sonst stößt es zu
schnell an die Grenzen. (Gerade wenn auch E-Mail und zum Beispiel
gescannte Dokumente aufbewahrt werden.)

Heike Stach:
Vorgeschrieben sind mindestens 100 MB, die Provider ihrem Kunden
anbieten müssen, nach oben hin gibt es jedoch keine
Beschränkung.

Datenreisender:
Kann ich bei De-Mail auch selbst mein eigener Provider sein, also zum
Beispiel zu Hause einen eigenen Mailserver betreiben?

Heike
Stach
: Dann müssten Sie sich
zertifizieren lassen.

Moderator:
Ist das Verfahren aufwändig?

Heike
Stach
: Das hängt davon ab, wie Ihre
Infrastruktur heute schon aussieht.
Wenn
Sie Ihrem Kunden bereits ein hohes Sicherheits- und Datenschutzniveau
bieten und das nachweisen können (auf technischer und
organisatorischer Ebene), ist der Aufwand geringer, als wenn das
nicht der Fall ist.

Gast:
Kann ich Dateien in meinem Safe legen, die ich vorher mit Truecrypt
gegen staatliches Mitlesen geschützt habe?

Heike
Stach
: Ja.

Peter
Cornelius:
Es sollte auch Systeme
geben, die vernünftiges Arbeiten ohne Anonymisierung als Grundlage
haben. Ich finde die Überlegungen für De-Mail gut.

Heike Stach:
Danke.

BRichter:
Wie teuer wird so eine Zertifizierung in etwa?

Heike
Stach
: Das ist schwer zu sagen und
hängt von den Voraussetzungen ab, die ein Provider heute schon
erfüllt.

yoyo:
Gibt es vergleichbare Projekte schon in anderen Ländern?

Heike Stach:
In anderen Ländern gibt es – wie in Deutschland auch – eine Reihe
von Ansätzen, die elektronische Kommunikation mit z.B. nur den
Behörden oder nur einer Stadt, nur einem Unternehmen, sicher und
verbindlich zu machen. Einen übergreifenden Ansatz wie bei De-Mail,
bei dem es um die Kommunikation aller mit allen geht, gibt es so
meines Wissens nicht.

pomox:
Wie kann Interoperabilität und Plattformneutralität sichergestellt
werden?

Heike Stach:
Interoperabilität sichern wir durch die Zertifizierung, in deren
Rahmen die Provider nachweisen müssen, dass sie untereinander gemäß
einer definierten Interoperabilitätsspezifikation kommunizieren. Die
Plattformunabhängigkeit beim Nutzer wird dadurch sichergestellt,
dass die Provider alle gängigen Web-Browser unterstützen müssen.

mal sehen:
Welche E-Government-Anwendungen (Umzug, KFZ-Ummeldung,
Rentenbescheid, Steuer usw.) werden beim Start von De-Mail eine
funktionierende Schnittstelle über De-Mail anbieten? Werde ich das
überhaupt können – von Geburtsurkunde ausstellen und ähnlichem
abgesehen.

Heike Stach:
Bei De-Mail geht es eher um die Bescheiderteilung als um die
Antragsstellung. Letztere läuft im Idealfall über Online-Formulare
der zuständigen Behörden. Damit die Behörden Bescheide und
sonstigen Schriftverkehr per De-Mail zusenden können, müssen sie
sich an den De-Mail-Verbund anschließen. Das ist nicht sehr
aufwändig. Ich gehe davon aus, dass deshalb eine ganze Reihe von
Behörden und Verfahren in 2010 an dem Verfahren
teilnehmen.

Moderator:
Das war der Chat mit Dr. Heike Stach, Leiterin des Projekts
Bürgerportale im Bundesministerium des Innern, zum Thema De-Mail und
sichere Kommunikation im Internet. Vielen Dank an Frau Dr. Stach für
Ihre Teilnahme und vielen Dank an die Chatterinnen und Chatter für
die Fragen. Das Transkript dieses Chats gibt es in Kürze auf
www.e-konsultation.de zum Nachlesen. Das Chatteam wünscht allen
Beteiligten noch einen schönen Tag.

Privacy Preference Center