Das Problem erscheint jeden Tag auf's Neue. Zehnfach, hundertfach - jeden Tag, auf jedem PC. Mit jeder neuen E-Mail steht der Computernutzer vor der Frage:
Ist die echt oder nicht?
Und mit jeder E-Mail kommt auch Ungewissheit auf:
Ist die gefährlich oder nicht?
95 Prozent aller verschickten E-Mails sind laut Branchenverband Bitkom Spam-Mails, Müll-Nachrichten: Werbung für Potenzpillen oder der Brief eines angeblichen nigerianischen Bankdirektors, der Geld verschieben will. Bei diesen Mails geht es oft weniger ums Verkaufen. Es geht vielmehr ums Täuschen.
Denn in Wahrheit steckt fast immer ein Computerschädling dahinter oder eine sogenannte Phishing-Falle, bei der die Betrüger an die Daten des Nutzers kommen wollen. Sobald man der E-Mail Beachtung schenkt, ist man verloren. Die Frankfurter Allgemeine Sonntagszeitung berichtete am 14. November, dass allein in diesem Jahr rund 30.000 Mail-Konten argloser Internet-Nutzer von gut organisierten Kriminellen ausgespäht und missbraucht wurden. Der dadurch entstandene Schaden liegt im zweistelligen Millionenbereich.
Im Kampf gegen den Mail-Müll ist bislang kein gutes Ende absehbar. Seit Jahren schon versuchen die Internet-Provider weltweit das Problem in den Griff zu bekommen. Bislang erfolglos. Und so steht das Thema auch seit Jahren immer wieder auf der Agenda, wenn die Bundesregierung zu ihrem alljährlichen so genannten IT-Gipfel ruft. Dort diskutieren Mitglieder der Bundesregierung mit Internet-Experten und Wirtschaftsfachleuten Chancen und Risiken der Online-Entwicklung in Deutschland.
Ein Arbeitskreis wird sich dabei diese Woche in Dresden mit dem Thema digitale Identität und Sicherheit auseinandersetzen. Denn die fehlende digitale Identität ist die Achillesferse des E-Mail-Verkehrs. Wie kann man sicher sein, dass der Absender auch wirklich echt ist? Niemand eine fremde Mail-Adresse nutzt? E-Mails werden in der Regel weder verschlüsselt, also gegen unerlaubtes Mitlesen geschützt, noch werden sie signiert, also digital unterschrieben.
Dabei wäre das eine gute Methode, um sowohl den Absender zu schützen als auch die Unversehrtheit einer Nachricht zu garantieren. Denn mit der digitalen Unterschrift wird auch ein Echtheitszertifikat erzeugt. Der Empfänger kann sicher sein, dass die Mail nicht auf dem Internet-Postweg verändert wurde. Sonst wäre das Zertifikat zerbrochen wie früher das auf wichtigen Schreiben angebrachte Siegel.
Hier setzt die die Idee der DE-Mail an. Ab dem kommenden Jahr soll per Gesetz geregelt werden, wie E-Mails geschützt werden sollen. Dr. Jens Dietrich ist der zuständige Projektleiter für DE-Mail im Bundesinnenministerium:
"Wir haben heute die Situation, dass weniger als fünf Prozent der E-Mails verschlüsselt sind. Und das ist auch der Hintergrund von DE-Mail. Man möchte damit erreichen, dass eben diese grundlegenden Sicherheitsfunktionen beim Austausch elektronischer Nachrichten in die Fläche kommen. Dass man also sicherstellen kann, dass elektronische Nachrichten verschlüsselt sind auf dem Weg zwischen Empfänger und Absender. Dass die Identität der Kommunikationspartner gesichert ist. Und dass der Empfang solcher DE-Mails nachweisbar ist. Das ist das Ziel. Und mit diesem Ziel richtet es sich an die Wirtschaft natürlich zum einen. Aber natürlich auch an die Kommunikation zwischen Bürgern und mit der Verwaltung."
Im so genannnten DE-Mail-Gesetz, das die Bundesregierung im Oktober verabschiedet hat und das im nächsten Jahr Bundestag und Bundesrat passieren soll, ist detailliert geregelt, wie die Infrastruktur für das neue E-Mail-System aussehen soll.
Im Zentrum des Konzepts stehen sichere Internetportale, über die kommuniziert werden kann, ohne dass Dritte den Mailwechsel verfolgen können. Die Internetprovider spielen dabei strategisch gesehen natürlich die wichtigste Rolle. Mit der Deutschen Telekom AG und 1&1 sind die beiden größten Internetanbieter in Deutschland mit im Boot. Die Deutsche Post AG tritt mit einem eigenen System namens E-Post an, dass aber in das DE-Mail-System vorläufig nicht integriert werden soll, also in Konkurrenz steht.
Die Provider sollen dafür sorgen, dass nur angemeldete und registrierte Mitglieder das System nutzen können und Nachrichten beim Empfänger unversehrt und vor allem ungelesen ankommen. Gert Metternich von T-Systems, der IT-Tochter der Deutschen Telekom, erklärt:
"Wir werden ein Angebot für Privatkunden machen, bei dem eine kostenlose Grundversorgung für DE-Mail gewährleistet ist. Dies bedeutet, dass der Account, Accounteinrichtung kostenfrei ist. Und auch eine gewisse Anzahl pro Monat wird kostenfrei sein. Wir wollen damit erwirken, dass die Privatkunden an dieser Stelle von dem System sehr leicht partizipieren können. Und dass die Nutzung erst dann kostenpflichtig werden könnte, wenn ein sehr intensiver Gebrauch tatsächlich stattfindet. Und damit auch tatsächlich ein Nutzen erwirkt wird."
Wenn etwas im Internet gekauft wird etwa, oder beim Mailwechsel mit einer Behörde. Gerade wenn es um vertrauliche Daten gehe, sei man heute noch auf den Postweg angewiesen, erklärt Gert Metternich:
"Sie können sich vorstellen, heute ein Versicherungsunternehmen erhält beispielsweise eine E-Mail von einem Kunden, der eine Anfrage zum Vertrag hat. Das Versicherungsunternehmen darf aber diese Vertragsdaten, eventuell sogar persönliche Daten des Kunden damit enthalten, überhaupt nicht per E-Mail übermitteln. Er muss einen Brief schreiben, diesen ausdrucken, kuvertieren, Porto aufbringen und diesen über den physischen Kanal übermitteln. Die meisten Kunden verstehen überhaupt nicht, warum bekomme ich nicht einfach eine elektronische Kommunikation zurück, sondern muss jetzt warten. Dieser Vorteil dieser Prozessoptimierung ist ein sehr großer Vorteil für Unternehmen, direkt einen besseren Service bieten zu können. Und natürlich fällt eine Reihe von Kosten weg für das Unternehmen, das diese natürlich hier auch bald zum Einsatz bringen möchte."
DE-Mail ist also nicht dafür gedacht, Alltags-E-Mails an Kollegen, Freunde oder Geschäftspartner zu senden oder von ihnen zu erhalten. Sondern DE-Mail soll immer dann zum Einsatz kommen, wenn im echten Leben eine echte Unterschrift fällig wäre. Also, wenn es um sogenannte Rechtsgeschäfte geht, um Anträge bei Behörden, Kaufverträge oder verbindliche Bestätigungen. Bisher werden solche Briefe mit Verträgen oder Bescheiden von Behörden per Briefpost und einer Zustellurkunde verschickt.
Demnächst soll das alles auch digital möglich sein. Deshalb sieht das Gesetz auch vor, eine E-Mail mit Einschreiben-Qualität versenden zu können. Die Zustellurkunde wird dabei verschlüsselt und mit einem Echtheitszertifikat versehen mit verschickt.
Damit das funktioniert, müssen ein paar Voraussetzungen erfüllt sein. Wer per DE-Mail kommunizieren will, muss zunächst einmal einen Mail-Account einrichten, um einen Zugang zum System und eine DE-Mail-Adresse zu bekommen. Die lautet dann in der Regel vorname.nachname@provider.de-mail.de.
Und damit hinter der Adresse auch wirklich die angemeldete Person steckt, muss sich der Nutzer ausweisen, wenn er die Adresse beantragt. Zum Beispiel durch das bewährte Postident-Verfahren, beim Briefträger oder am Schalter.
Sobald der Zugang frei geschaltet ist, kann man über ein speziell gesichertes Internet-Portal auf seine DE-Mails zugreifen. Der Austausch zwischen den DE-Mail-Providern darf nur über speziell gesicherte Verbindungen erfolgen. Dazu müssen sich die Provider zertifizieren lassen.
Wann das Gesetz genau in Kraft tritt, ist allerdings unklar. Das Bundesinnenministerium geht davon aus, dass sich der Bundestag im kommenden Januar und der Bundesrat im Februar abschließend damit beschäftigen wird. Deshalb schätzen nun einige Experten in Medienberichten, dass DE-Mail frühestens zur CeBIT Anfang März startklar sein wird.
Doch schon im Vorfeld gab es sowohl technische als auch rechtliche Kritik an den Buchstaben des Gesetzes und damit am DE-Mail-System selbst. So wendet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, ein:
"Also das sind nicht grundsätzliche Einwände gegen das Verfahren De-Mail als solches, sondern es geht mehr um die Ausgestaltung. Mir ist beispielsweise nicht einsichtig, dass hier keine durchgängige Verschlüsselung vorgesehen ist. Es bleibt also dem Betroffenen selber immer überlassen, auch bei diesem angeblich so besonders sicheren Dienst, selbst für den Schutz seiner Daten zu sorgen. Genau das sollte eben aber ihm erspart bleiben. Technisch ist das heute überhaupt gar kein Problem."
Statt aber eine E-Mail am einen Ende des Weges beim Absender zu verschlüsseln und zu signieren und sie erst am anderen Ende beim Empfänger wieder zu entschlüsseln und zu überprüfen, werde sie von den DE-Mail-Servern unter Umständen mehrfach zwischen-, ver-, um- und entschlüsselt, bemängeln die Kritiker. Auch der Kryptologe und Informatiker Stefan Köpsell von der Technischen Universität Dresden:
"Das bedeutet letztlich, dass wenn ich eine DE-Mail abschicke, man zwar zunächst den Eindruck hat, als wäre diese Mail tatsächlich vertraulich und nur der Empfänger könnte sie lesen. Stattdessen ist es aber so, dass sie nur so verschlüsselt ist, dass mein Dienste-Anbieter sie letztlich lesen kann, sie entschlüsseln kann, sie umverschlüsselt und an den nächsten Dienste-Anbieter weiter sendet, nämlich den Dienste-Anbieter des eigentlichen Empfängers. Das heißt, in der Mitte, sozusagen auf dem Übertragungsweg, können die jeweiligen Dienste-Anbieter den Inhalt der Mail mitlesen. Während Ende-zu-Ende eben wirklich bedeutet: Nur ich und mein Empfänger können den Inhalt lesen. Niemand sonst auf dem gesamten Übertragungsweg."
Dieser grundsätzlichen Einschätzung widersprechen die Projektverantwortlichen von DE-Mail gar nicht. Sie verweisen aber darauf, wie kompliziert es für den Nutzer ist, eine E-Mail tatsächlich mit Ende-zu-Ende-Verschlüsselung zu versehen.
Denn soll das ganze auch noch rechtssicher sein, sind sogenannte qualifizierte elektronische Signaturen vonnöten. Die aber hat kaum ein Bürger heute. Dafür braucht man nämlich ein spezielles Lesegerät für eine Chipkarte, auf der die eigene Signatur gespeichert ist. Seit dem 1. November kann dafür auch die Signaturfunktion des neuen Personalausweises verwendet werden. Die aber funktioniert nicht mit dem bisher genutzten einfachen Lesegerät. Dazu benötigt man ein Lesegerät der sogenannten Komfortklasse. Mit eigener Tastatur, eigenem Display und einer eigenen Verschlüsselungsfunktion. Das alles führe dazu, dass Ende-zu-Ende-Verschlüsselung nur wenig genutzt werde, meint Dr. Jens Dietrich vom Bundesinnenministerium:
"Deshalb war es bei DE-Mail eine der Grundüberlegungen, dass die DE-Mail einfach zu nutzen sein muss für den Bürger. Also, das war eine ganz, ganz wichtige Anforderung. Und das erfordert es eben, dass DE-Mail so ist, wie es ist. Also, es war das Ziel eben, dass man diese grundlegenden Sicherheitsfunktionen bezogen auf Verschlüsselung, auf Identität der Kommunikationspartner und auf den Nachweis des Empfangs. Dass man das auch möglich macht, ohne jetzt zusätzliche Installationen beim Nutzer zu erfordern. Und das ist auch gelungen."
Und außerdem könne ja jeder Bürger, wenn er denn wolle, auch Ende-zu-Ende-Verschlüsselung betreiben, so Dietrich. Doch DE-Mail ist vor allem für die Kommunikation zwischen Bürger und Behörden und zwischen Bürger und Unternehmen gedacht. Ob Ämter und Firmen über DE-Mail hinaus noch Ende-zu-Ende-Verschlüsselung akzeptieren werden, ist fraglich. Denn der Mehraufwand bringt ihnen in der Kommunikation mit dem Bürger nichts. Und DE-Mail wäre außerdem dadurch gänzlich überflüssig.
Experten wie der Informatiker und Sicherheitsexperte Stefan Köpsell stellen sich dennoch die Frage, warum ein so aufwendiges und gleichzeitig zentrales System wie DE-Mail geschaffen wird, wenn gleichzeitig mit dem neuen elektronischen Personalausweis auch die digitale Signatur angeboten wird, die für die Ende-zu-Ende-Verschlüsselung nötig ist. Stefan Köpsell von der TU-Dresden:
"Weil man sich natürlich schon fragt, es wird jetzt beispielsweise der neue elektronische Personalausweis eingeführt. Wo man ja die Möglichkeit gehabt hätte, jedem Bürger, der so einen neuen Ausweis bekommt, auch ein entsprechendes Verschlüsselungszertifikat mitzugeben. Dass man wirklich sicher Ende-zu-Ende kommunizieren kann. Ohne dass da natürlich der Staat mitlesen kann. Während hier bei der DE-Mail es eben so ist, dass er nur ins Rechenzentrum zu gehen braucht, und dann im Prinzip ja sämtliche Kommunikation aller DE-Mail-Teilnehmer bequem zentral mitlesen und überwachen kann."
Diese rhetorisch-provokante Frage stellt sich nicht nur Köpsell. Denn spätestens seit der Diskussion um die so genannte Vorratsdatenspeicherung steht der Staat in Datenschutz-kritischen Kreisen unter Generalverdacht als Schnüffler. Und selbst der Bundesbeauftragte für den Datenschutz, Peter Schaar, will nicht ausschließen, dass solche Erwägungen eine Rolle bei der Planung des DE-Mail-Gesetzes gespielt haben könnten:
"Das würde sicher das Bundesinnenministerium leugnen und, sage ich mal, abstreiten. Aber klar ist, dass das Bundesinnenministerium ja auch das Ministerium für Sicherheit ist im Sinne von öffentlicher Sicherheit, von Kriminalitätsbekämpfung, von Gefahrenabwehr, alles legitime Ziele. Und dass solche Erwägungen auch in einem Gesetzgebungsverfahren dann entsprechend Eingang finden, ist eigentlich das Natürlichste von der Welt."
Doch auch wenn gar nicht die Absicht besteht, mit DE-Mail ein Kontroll- oder gar Überwachungsinstrument zu schaffen - die elektronische Kommunikation wird streng reglementiert. Denn jeder Teilnehmer wird registriert, die Kommunikation wird dokumentiert. Deshalb begrüßt auch der Bundesverband der deutschen Kriminalbeamten grundsätzlich das DE-Mail-System.
Dabei schwebt den Kriminalbeamten eine Kennzeichnungspflicht vor, die man mit dem Autokennzeichen im Straßenverkehr vergleichen könnte. Eine eindeutige Kennung, die zwar für die anderen Internet-Nutzer nichtssagend ist, den Strafverfolgungsbehörden jedoch wichtige Hinweise geben kann. Aber nur ...
Bernd Carstensen:
"... wenn Rechtsgrundlagen dafür da sind, dass man seine Identifikation hergeben muss. Also: Wenn Strafverfolgung stattfinden muss oder Gefahrenabwehr. Erst dann bin ich auch verpflichtet, diese Identifikation, die ich vorher habe stattfinden lassen, dazu auch verpflichtet bin, die weiterzugeben."
Kein Sicherheitsexperte hat etwas dagegen, wenn die Polizei Straftäter durch die digitale Identität schneller ermitteln kann. Doch daran entzündet sich die Kritik am DE-Mail-System auch gar nicht. Bundesdatenschützer Peter Schaar geht es eher darum, dass bei DE-Mail im Behördenverkehr die Beweislast umgekehrt wird:
"Es wird ja dann davon ausgegangen, dass derjenige, der so ein DE-Mailkonto hat, dort auch genauso wie auf anderen Wegen, ein Einschreiben zum Beispiel oder einer Postniederlegungsurkunde, dann in die Pflicht genommen werden kann. Er kann dann gegebenenfalls nicht mehr nachweisen, dass er die E-Mail oder die DE-Mail in dem Falle nicht erhalten hat."
Wer einwilligt, über DE-Mail mit Behörden zu kommunizieren, der muss sich darauf gefasst machen, auch Bescheide und Beschlüsse als E-Mail zugeschickt zu bekommen. Und dabei kommt es dann gar nicht darauf an, dass man die Mail mit dem Steuerbescheid oder dem Strafbefehl auch wirklich gelesen hat. Den der Gesetzesentwurf sieht vor, Zitat:
"Ein elektronisches Dokument gilt (...) am dritten Tag nach der Absendung an den vom Empfänger hierfür eröffneten Zugang als zugestellt, wenn der Behörde nicht spätestens an diesem Tag ein Empfangsbekenntnis (...) zugeht."
Peter Schaar:
"Das heißt derjenige, der sicher kommunizieren will, muss dann in Kauf nehmen, dass ihm da irgendwelche Bescheide zugestellt werden. Und wenn er sie dann mal übersieht, weil er im Urlaub ist oder eben nicht täglich das Postfach leert, dann hat er einen Nachteil. Also da würde ich den Gesetzgeber schon mal auffordern, noch einmal sehr kritisch hinzuschauen. Und das sozusagen dem Betroffenen zu überlassen, ob er sein DE-Mail-Postfach entsprechend frei schaltet. Dann ist es ihm unbenommen, das auch für solche Zwecke zu verwenden. Oder eben nicht."
Diese Forderung sei umgesetzt, entgegnet Dr. Jens Dietrich vom Bundesinnenministerium. Denn bevor auch nur ein Amt sich per E-Mail melden könne, müsse der Nutzer das Startsignal geben. Der Besitzer eines DE-Mail-Postfachs kann also in jedem Einzelfall entscheiden, ob er einer Behörde erlauben will, Mails mit Einschreibefunktion in seinem elektronischen Postfach abzulegen.
Einen Bußgeldbescheid oder einen Strafbefehl per DE-Mail kann man also verhindern, doch eine elektronische Mahnung vom Online-Shop schon nicht mehr. Unternehmen und Privatleute können auch ohne Zustimmung des digitalen Postfach-Besitzers ein Einschreiben in sein Mailfach ablegen. Was als DE-Mail in die Welt geschickt wird, das hat Gültigkeit. Wenn zum Beispiel ein Online-Shop eine Rechnung ins elektronische DE-Mail-Postfach schickt, gilt diese nach drei Tagen als zugestellt. Michael Bobrowsky von Bundesverband der Verbraucherzentralen kritisiert diese einseitige Verlagerung von Haftungsfragen auf den DE-Mail-Nutzer.
Michael Bobrowsky:
"Falls mal etwas schief geht, habe ich in der Regel bei DE-Mail zu beweisen, dass das bei mir nicht eingetroffen ist, und das ist sehr schwierig, insofern würde ich im Zweifel doch dem Bürger raten, entweder den herkömmlichen Schriftweg beizubehalten oder sich eben auf andere Art und Weise eine entsprechende Sicherheit zu verschaffen."
Das würde bedeuten, dass er jeden an sein DE-Mail-Postfach zugestellten Brief extra beurkunden lässt, zum Beispiel durch eine extra abgesicherte Zustellbestätigung an den Empfänger. Technisch gesehen wäre das möglich, ist aber im Konzept von DE-Mail bisher eben nicht vorgesehen.
Bislang begnügen sich die meisten Online-Shops mit Treu und Glauben in die Zuverlässigkeit der Netzkundschaft. Doch was ist, wenn sie in Zukunft nur noch auf Bestellungen per DE-Mail reagieren? Dr. Jens Dietrich vom Bundesinnenministerium:
"Ich denke, das muss einfach die Entwicklung zeigen. Also für die Rechtsgeschäfte, wo eben die E-Mail von den Vertragspartnern als hinreichend angesehen wird, da wird das weiter so bleiben. Und dort, wo eben die Vertragspartner der Meinung sind, man brauche ein höheres Sicherheitsniveau, weil man es dann nachweisen kann, dass etwas angekommen ist oder dass auch keiner reinguckt oder verändern konnte. Für diese Fälle wird sich DE-Mail durchsetzen. Es wird ja keiner gezwungen, DE-Mail einzusetzen.Es ist eine Marktlösung."
Am Markt durchsetzen wird sich aber nur eine komfortable, leicht zu bedienende Lösung, die größtmögliche Sicherheit bietet. Es muss also noch Nachbesserungen am Gesetzentwurf geben.
Ist die echt oder nicht?
Und mit jeder E-Mail kommt auch Ungewissheit auf:
Ist die gefährlich oder nicht?
95 Prozent aller verschickten E-Mails sind laut Branchenverband Bitkom Spam-Mails, Müll-Nachrichten: Werbung für Potenzpillen oder der Brief eines angeblichen nigerianischen Bankdirektors, der Geld verschieben will. Bei diesen Mails geht es oft weniger ums Verkaufen. Es geht vielmehr ums Täuschen.
Denn in Wahrheit steckt fast immer ein Computerschädling dahinter oder eine sogenannte Phishing-Falle, bei der die Betrüger an die Daten des Nutzers kommen wollen. Sobald man der E-Mail Beachtung schenkt, ist man verloren. Die Frankfurter Allgemeine Sonntagszeitung berichtete am 14. November, dass allein in diesem Jahr rund 30.000 Mail-Konten argloser Internet-Nutzer von gut organisierten Kriminellen ausgespäht und missbraucht wurden. Der dadurch entstandene Schaden liegt im zweistelligen Millionenbereich.
Im Kampf gegen den Mail-Müll ist bislang kein gutes Ende absehbar. Seit Jahren schon versuchen die Internet-Provider weltweit das Problem in den Griff zu bekommen. Bislang erfolglos. Und so steht das Thema auch seit Jahren immer wieder auf der Agenda, wenn die Bundesregierung zu ihrem alljährlichen so genannten IT-Gipfel ruft. Dort diskutieren Mitglieder der Bundesregierung mit Internet-Experten und Wirtschaftsfachleuten Chancen und Risiken der Online-Entwicklung in Deutschland.
Ein Arbeitskreis wird sich dabei diese Woche in Dresden mit dem Thema digitale Identität und Sicherheit auseinandersetzen. Denn die fehlende digitale Identität ist die Achillesferse des E-Mail-Verkehrs. Wie kann man sicher sein, dass der Absender auch wirklich echt ist? Niemand eine fremde Mail-Adresse nutzt? E-Mails werden in der Regel weder verschlüsselt, also gegen unerlaubtes Mitlesen geschützt, noch werden sie signiert, also digital unterschrieben.
Dabei wäre das eine gute Methode, um sowohl den Absender zu schützen als auch die Unversehrtheit einer Nachricht zu garantieren. Denn mit der digitalen Unterschrift wird auch ein Echtheitszertifikat erzeugt. Der Empfänger kann sicher sein, dass die Mail nicht auf dem Internet-Postweg verändert wurde. Sonst wäre das Zertifikat zerbrochen wie früher das auf wichtigen Schreiben angebrachte Siegel.
Hier setzt die die Idee der DE-Mail an. Ab dem kommenden Jahr soll per Gesetz geregelt werden, wie E-Mails geschützt werden sollen. Dr. Jens Dietrich ist der zuständige Projektleiter für DE-Mail im Bundesinnenministerium:
"Wir haben heute die Situation, dass weniger als fünf Prozent der E-Mails verschlüsselt sind. Und das ist auch der Hintergrund von DE-Mail. Man möchte damit erreichen, dass eben diese grundlegenden Sicherheitsfunktionen beim Austausch elektronischer Nachrichten in die Fläche kommen. Dass man also sicherstellen kann, dass elektronische Nachrichten verschlüsselt sind auf dem Weg zwischen Empfänger und Absender. Dass die Identität der Kommunikationspartner gesichert ist. Und dass der Empfang solcher DE-Mails nachweisbar ist. Das ist das Ziel. Und mit diesem Ziel richtet es sich an die Wirtschaft natürlich zum einen. Aber natürlich auch an die Kommunikation zwischen Bürgern und mit der Verwaltung."
Im so genannnten DE-Mail-Gesetz, das die Bundesregierung im Oktober verabschiedet hat und das im nächsten Jahr Bundestag und Bundesrat passieren soll, ist detailliert geregelt, wie die Infrastruktur für das neue E-Mail-System aussehen soll.
Im Zentrum des Konzepts stehen sichere Internetportale, über die kommuniziert werden kann, ohne dass Dritte den Mailwechsel verfolgen können. Die Internetprovider spielen dabei strategisch gesehen natürlich die wichtigste Rolle. Mit der Deutschen Telekom AG und 1&1 sind die beiden größten Internetanbieter in Deutschland mit im Boot. Die Deutsche Post AG tritt mit einem eigenen System namens E-Post an, dass aber in das DE-Mail-System vorläufig nicht integriert werden soll, also in Konkurrenz steht.
Die Provider sollen dafür sorgen, dass nur angemeldete und registrierte Mitglieder das System nutzen können und Nachrichten beim Empfänger unversehrt und vor allem ungelesen ankommen. Gert Metternich von T-Systems, der IT-Tochter der Deutschen Telekom, erklärt:
"Wir werden ein Angebot für Privatkunden machen, bei dem eine kostenlose Grundversorgung für DE-Mail gewährleistet ist. Dies bedeutet, dass der Account, Accounteinrichtung kostenfrei ist. Und auch eine gewisse Anzahl pro Monat wird kostenfrei sein. Wir wollen damit erwirken, dass die Privatkunden an dieser Stelle von dem System sehr leicht partizipieren können. Und dass die Nutzung erst dann kostenpflichtig werden könnte, wenn ein sehr intensiver Gebrauch tatsächlich stattfindet. Und damit auch tatsächlich ein Nutzen erwirkt wird."
Wenn etwas im Internet gekauft wird etwa, oder beim Mailwechsel mit einer Behörde. Gerade wenn es um vertrauliche Daten gehe, sei man heute noch auf den Postweg angewiesen, erklärt Gert Metternich:
"Sie können sich vorstellen, heute ein Versicherungsunternehmen erhält beispielsweise eine E-Mail von einem Kunden, der eine Anfrage zum Vertrag hat. Das Versicherungsunternehmen darf aber diese Vertragsdaten, eventuell sogar persönliche Daten des Kunden damit enthalten, überhaupt nicht per E-Mail übermitteln. Er muss einen Brief schreiben, diesen ausdrucken, kuvertieren, Porto aufbringen und diesen über den physischen Kanal übermitteln. Die meisten Kunden verstehen überhaupt nicht, warum bekomme ich nicht einfach eine elektronische Kommunikation zurück, sondern muss jetzt warten. Dieser Vorteil dieser Prozessoptimierung ist ein sehr großer Vorteil für Unternehmen, direkt einen besseren Service bieten zu können. Und natürlich fällt eine Reihe von Kosten weg für das Unternehmen, das diese natürlich hier auch bald zum Einsatz bringen möchte."
DE-Mail ist also nicht dafür gedacht, Alltags-E-Mails an Kollegen, Freunde oder Geschäftspartner zu senden oder von ihnen zu erhalten. Sondern DE-Mail soll immer dann zum Einsatz kommen, wenn im echten Leben eine echte Unterschrift fällig wäre. Also, wenn es um sogenannte Rechtsgeschäfte geht, um Anträge bei Behörden, Kaufverträge oder verbindliche Bestätigungen. Bisher werden solche Briefe mit Verträgen oder Bescheiden von Behörden per Briefpost und einer Zustellurkunde verschickt.
Demnächst soll das alles auch digital möglich sein. Deshalb sieht das Gesetz auch vor, eine E-Mail mit Einschreiben-Qualität versenden zu können. Die Zustellurkunde wird dabei verschlüsselt und mit einem Echtheitszertifikat versehen mit verschickt.
Damit das funktioniert, müssen ein paar Voraussetzungen erfüllt sein. Wer per DE-Mail kommunizieren will, muss zunächst einmal einen Mail-Account einrichten, um einen Zugang zum System und eine DE-Mail-Adresse zu bekommen. Die lautet dann in der Regel vorname.nachname@provider.de-mail.de.
Und damit hinter der Adresse auch wirklich die angemeldete Person steckt, muss sich der Nutzer ausweisen, wenn er die Adresse beantragt. Zum Beispiel durch das bewährte Postident-Verfahren, beim Briefträger oder am Schalter.
Sobald der Zugang frei geschaltet ist, kann man über ein speziell gesichertes Internet-Portal auf seine DE-Mails zugreifen. Der Austausch zwischen den DE-Mail-Providern darf nur über speziell gesicherte Verbindungen erfolgen. Dazu müssen sich die Provider zertifizieren lassen.
Wann das Gesetz genau in Kraft tritt, ist allerdings unklar. Das Bundesinnenministerium geht davon aus, dass sich der Bundestag im kommenden Januar und der Bundesrat im Februar abschließend damit beschäftigen wird. Deshalb schätzen nun einige Experten in Medienberichten, dass DE-Mail frühestens zur CeBIT Anfang März startklar sein wird.
Doch schon im Vorfeld gab es sowohl technische als auch rechtliche Kritik an den Buchstaben des Gesetzes und damit am DE-Mail-System selbst. So wendet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, ein:
"Also das sind nicht grundsätzliche Einwände gegen das Verfahren De-Mail als solches, sondern es geht mehr um die Ausgestaltung. Mir ist beispielsweise nicht einsichtig, dass hier keine durchgängige Verschlüsselung vorgesehen ist. Es bleibt also dem Betroffenen selber immer überlassen, auch bei diesem angeblich so besonders sicheren Dienst, selbst für den Schutz seiner Daten zu sorgen. Genau das sollte eben aber ihm erspart bleiben. Technisch ist das heute überhaupt gar kein Problem."
Statt aber eine E-Mail am einen Ende des Weges beim Absender zu verschlüsseln und zu signieren und sie erst am anderen Ende beim Empfänger wieder zu entschlüsseln und zu überprüfen, werde sie von den DE-Mail-Servern unter Umständen mehrfach zwischen-, ver-, um- und entschlüsselt, bemängeln die Kritiker. Auch der Kryptologe und Informatiker Stefan Köpsell von der Technischen Universität Dresden:
"Das bedeutet letztlich, dass wenn ich eine DE-Mail abschicke, man zwar zunächst den Eindruck hat, als wäre diese Mail tatsächlich vertraulich und nur der Empfänger könnte sie lesen. Stattdessen ist es aber so, dass sie nur so verschlüsselt ist, dass mein Dienste-Anbieter sie letztlich lesen kann, sie entschlüsseln kann, sie umverschlüsselt und an den nächsten Dienste-Anbieter weiter sendet, nämlich den Dienste-Anbieter des eigentlichen Empfängers. Das heißt, in der Mitte, sozusagen auf dem Übertragungsweg, können die jeweiligen Dienste-Anbieter den Inhalt der Mail mitlesen. Während Ende-zu-Ende eben wirklich bedeutet: Nur ich und mein Empfänger können den Inhalt lesen. Niemand sonst auf dem gesamten Übertragungsweg."
Dieser grundsätzlichen Einschätzung widersprechen die Projektverantwortlichen von DE-Mail gar nicht. Sie verweisen aber darauf, wie kompliziert es für den Nutzer ist, eine E-Mail tatsächlich mit Ende-zu-Ende-Verschlüsselung zu versehen.
Denn soll das ganze auch noch rechtssicher sein, sind sogenannte qualifizierte elektronische Signaturen vonnöten. Die aber hat kaum ein Bürger heute. Dafür braucht man nämlich ein spezielles Lesegerät für eine Chipkarte, auf der die eigene Signatur gespeichert ist. Seit dem 1. November kann dafür auch die Signaturfunktion des neuen Personalausweises verwendet werden. Die aber funktioniert nicht mit dem bisher genutzten einfachen Lesegerät. Dazu benötigt man ein Lesegerät der sogenannten Komfortklasse. Mit eigener Tastatur, eigenem Display und einer eigenen Verschlüsselungsfunktion. Das alles führe dazu, dass Ende-zu-Ende-Verschlüsselung nur wenig genutzt werde, meint Dr. Jens Dietrich vom Bundesinnenministerium:
"Deshalb war es bei DE-Mail eine der Grundüberlegungen, dass die DE-Mail einfach zu nutzen sein muss für den Bürger. Also, das war eine ganz, ganz wichtige Anforderung. Und das erfordert es eben, dass DE-Mail so ist, wie es ist. Also, es war das Ziel eben, dass man diese grundlegenden Sicherheitsfunktionen bezogen auf Verschlüsselung, auf Identität der Kommunikationspartner und auf den Nachweis des Empfangs. Dass man das auch möglich macht, ohne jetzt zusätzliche Installationen beim Nutzer zu erfordern. Und das ist auch gelungen."
Und außerdem könne ja jeder Bürger, wenn er denn wolle, auch Ende-zu-Ende-Verschlüsselung betreiben, so Dietrich. Doch DE-Mail ist vor allem für die Kommunikation zwischen Bürger und Behörden und zwischen Bürger und Unternehmen gedacht. Ob Ämter und Firmen über DE-Mail hinaus noch Ende-zu-Ende-Verschlüsselung akzeptieren werden, ist fraglich. Denn der Mehraufwand bringt ihnen in der Kommunikation mit dem Bürger nichts. Und DE-Mail wäre außerdem dadurch gänzlich überflüssig.
Experten wie der Informatiker und Sicherheitsexperte Stefan Köpsell stellen sich dennoch die Frage, warum ein so aufwendiges und gleichzeitig zentrales System wie DE-Mail geschaffen wird, wenn gleichzeitig mit dem neuen elektronischen Personalausweis auch die digitale Signatur angeboten wird, die für die Ende-zu-Ende-Verschlüsselung nötig ist. Stefan Köpsell von der TU-Dresden:
"Weil man sich natürlich schon fragt, es wird jetzt beispielsweise der neue elektronische Personalausweis eingeführt. Wo man ja die Möglichkeit gehabt hätte, jedem Bürger, der so einen neuen Ausweis bekommt, auch ein entsprechendes Verschlüsselungszertifikat mitzugeben. Dass man wirklich sicher Ende-zu-Ende kommunizieren kann. Ohne dass da natürlich der Staat mitlesen kann. Während hier bei der DE-Mail es eben so ist, dass er nur ins Rechenzentrum zu gehen braucht, und dann im Prinzip ja sämtliche Kommunikation aller DE-Mail-Teilnehmer bequem zentral mitlesen und überwachen kann."
Diese rhetorisch-provokante Frage stellt sich nicht nur Köpsell. Denn spätestens seit der Diskussion um die so genannte Vorratsdatenspeicherung steht der Staat in Datenschutz-kritischen Kreisen unter Generalverdacht als Schnüffler. Und selbst der Bundesbeauftragte für den Datenschutz, Peter Schaar, will nicht ausschließen, dass solche Erwägungen eine Rolle bei der Planung des DE-Mail-Gesetzes gespielt haben könnten:
"Das würde sicher das Bundesinnenministerium leugnen und, sage ich mal, abstreiten. Aber klar ist, dass das Bundesinnenministerium ja auch das Ministerium für Sicherheit ist im Sinne von öffentlicher Sicherheit, von Kriminalitätsbekämpfung, von Gefahrenabwehr, alles legitime Ziele. Und dass solche Erwägungen auch in einem Gesetzgebungsverfahren dann entsprechend Eingang finden, ist eigentlich das Natürlichste von der Welt."
Doch auch wenn gar nicht die Absicht besteht, mit DE-Mail ein Kontroll- oder gar Überwachungsinstrument zu schaffen - die elektronische Kommunikation wird streng reglementiert. Denn jeder Teilnehmer wird registriert, die Kommunikation wird dokumentiert. Deshalb begrüßt auch der Bundesverband der deutschen Kriminalbeamten grundsätzlich das DE-Mail-System.
Dabei schwebt den Kriminalbeamten eine Kennzeichnungspflicht vor, die man mit dem Autokennzeichen im Straßenverkehr vergleichen könnte. Eine eindeutige Kennung, die zwar für die anderen Internet-Nutzer nichtssagend ist, den Strafverfolgungsbehörden jedoch wichtige Hinweise geben kann. Aber nur ...
Bernd Carstensen:
"... wenn Rechtsgrundlagen dafür da sind, dass man seine Identifikation hergeben muss. Also: Wenn Strafverfolgung stattfinden muss oder Gefahrenabwehr. Erst dann bin ich auch verpflichtet, diese Identifikation, die ich vorher habe stattfinden lassen, dazu auch verpflichtet bin, die weiterzugeben."
Kein Sicherheitsexperte hat etwas dagegen, wenn die Polizei Straftäter durch die digitale Identität schneller ermitteln kann. Doch daran entzündet sich die Kritik am DE-Mail-System auch gar nicht. Bundesdatenschützer Peter Schaar geht es eher darum, dass bei DE-Mail im Behördenverkehr die Beweislast umgekehrt wird:
"Es wird ja dann davon ausgegangen, dass derjenige, der so ein DE-Mailkonto hat, dort auch genauso wie auf anderen Wegen, ein Einschreiben zum Beispiel oder einer Postniederlegungsurkunde, dann in die Pflicht genommen werden kann. Er kann dann gegebenenfalls nicht mehr nachweisen, dass er die E-Mail oder die DE-Mail in dem Falle nicht erhalten hat."
Wer einwilligt, über DE-Mail mit Behörden zu kommunizieren, der muss sich darauf gefasst machen, auch Bescheide und Beschlüsse als E-Mail zugeschickt zu bekommen. Und dabei kommt es dann gar nicht darauf an, dass man die Mail mit dem Steuerbescheid oder dem Strafbefehl auch wirklich gelesen hat. Den der Gesetzesentwurf sieht vor, Zitat:
"Ein elektronisches Dokument gilt (...) am dritten Tag nach der Absendung an den vom Empfänger hierfür eröffneten Zugang als zugestellt, wenn der Behörde nicht spätestens an diesem Tag ein Empfangsbekenntnis (...) zugeht."
Peter Schaar:
"Das heißt derjenige, der sicher kommunizieren will, muss dann in Kauf nehmen, dass ihm da irgendwelche Bescheide zugestellt werden. Und wenn er sie dann mal übersieht, weil er im Urlaub ist oder eben nicht täglich das Postfach leert, dann hat er einen Nachteil. Also da würde ich den Gesetzgeber schon mal auffordern, noch einmal sehr kritisch hinzuschauen. Und das sozusagen dem Betroffenen zu überlassen, ob er sein DE-Mail-Postfach entsprechend frei schaltet. Dann ist es ihm unbenommen, das auch für solche Zwecke zu verwenden. Oder eben nicht."
Diese Forderung sei umgesetzt, entgegnet Dr. Jens Dietrich vom Bundesinnenministerium. Denn bevor auch nur ein Amt sich per E-Mail melden könne, müsse der Nutzer das Startsignal geben. Der Besitzer eines DE-Mail-Postfachs kann also in jedem Einzelfall entscheiden, ob er einer Behörde erlauben will, Mails mit Einschreibefunktion in seinem elektronischen Postfach abzulegen.
Einen Bußgeldbescheid oder einen Strafbefehl per DE-Mail kann man also verhindern, doch eine elektronische Mahnung vom Online-Shop schon nicht mehr. Unternehmen und Privatleute können auch ohne Zustimmung des digitalen Postfach-Besitzers ein Einschreiben in sein Mailfach ablegen. Was als DE-Mail in die Welt geschickt wird, das hat Gültigkeit. Wenn zum Beispiel ein Online-Shop eine Rechnung ins elektronische DE-Mail-Postfach schickt, gilt diese nach drei Tagen als zugestellt. Michael Bobrowsky von Bundesverband der Verbraucherzentralen kritisiert diese einseitige Verlagerung von Haftungsfragen auf den DE-Mail-Nutzer.
Michael Bobrowsky:
"Falls mal etwas schief geht, habe ich in der Regel bei DE-Mail zu beweisen, dass das bei mir nicht eingetroffen ist, und das ist sehr schwierig, insofern würde ich im Zweifel doch dem Bürger raten, entweder den herkömmlichen Schriftweg beizubehalten oder sich eben auf andere Art und Weise eine entsprechende Sicherheit zu verschaffen."
Das würde bedeuten, dass er jeden an sein DE-Mail-Postfach zugestellten Brief extra beurkunden lässt, zum Beispiel durch eine extra abgesicherte Zustellbestätigung an den Empfänger. Technisch gesehen wäre das möglich, ist aber im Konzept von DE-Mail bisher eben nicht vorgesehen.
Bislang begnügen sich die meisten Online-Shops mit Treu und Glauben in die Zuverlässigkeit der Netzkundschaft. Doch was ist, wenn sie in Zukunft nur noch auf Bestellungen per DE-Mail reagieren? Dr. Jens Dietrich vom Bundesinnenministerium:
"Ich denke, das muss einfach die Entwicklung zeigen. Also für die Rechtsgeschäfte, wo eben die E-Mail von den Vertragspartnern als hinreichend angesehen wird, da wird das weiter so bleiben. Und dort, wo eben die Vertragspartner der Meinung sind, man brauche ein höheres Sicherheitsniveau, weil man es dann nachweisen kann, dass etwas angekommen ist oder dass auch keiner reinguckt oder verändern konnte. Für diese Fälle wird sich DE-Mail durchsetzen. Es wird ja keiner gezwungen, DE-Mail einzusetzen.Es ist eine Marktlösung."
Am Markt durchsetzen wird sich aber nur eine komfortable, leicht zu bedienende Lösung, die größtmögliche Sicherheit bietet. Es muss also noch Nachbesserungen am Gesetzentwurf geben.
