Donnerstag, 22.04.2021
 
Seit 21:05 Uhr JazzFacts
StartseiteComputer und Kommunikation "Natürlich ist der Internetbrief der E-Post sicherer als eine normale E-Mail"17.07.2010

"Natürlich ist der Internetbrief der E-Post sicherer als eine normale E-Mail"

Der Streit um das DE-Mail-Gesetz macht Sicherheitslücken bei geschützten Maildiensten deutlich

Kommunikation.- Der sogenannte E-Brief oder auch die DE-Mail sollen vollkommen rechtssicher sein und einen echten Brief vollständig ersetzen können. Welche Risiken das System vor allem für private Nutzer bergen kann, erklärt Wissenschaftsjournalist Peter Welchering im Interview mit Manfred Kloiber.

Der Internetbrief wird – egal ob er per E-Post oder DE-Mail zugestellt wird – immer noch über die Infrastruktur des Internets transportiert.     (Stock.XCHNG / Matthias Pahl)
Der Internetbrief wird – egal ob er per E-Post oder DE-Mail zugestellt wird – immer noch über die Infrastruktur des Internets transportiert. (Stock.XCHNG / Matthias Pahl)

Manfred Kloiber: Mit mehr Sicherheit und der garantierten Rechtsverbindlichkeit wirbt ja auch e-Post-Konkurrent DE-Mail, der aus dem Projekt "Bürgerportal" der Bundesregierung mit Partnern wie der Telekom oder GMX beziehungsweise United Internet entwickelt wird. Das Pilotprojekt in Friedrichshafen ist ja vor einigen Wochen abgeschlossen worden. Wie wird denn der Sicherheitsstandard solcher Internet-Postdienste beurteilt, Peter Welchering?

Peter Welchering: Da gibt es ausgesprochen unterschiedliche Bewertungen und Beurteilungen. Und diese Bewertungen haben damit zu tun, dass Betreiber und Kritiker dieser Projekte eben mit sehr unterschiedlichen Modellen an genau diese Sicherheitsfragen heran gehen und deshalb auch ein wenig für Verwirrung sorgen – vor allen Dingen die Betreiber. Natürlich ist der Internetbrief der E-Post sicherer als eine normale E-Mail, die ich losschicke. Und das wird auch bei DE-Mail so sein, wenn das Projekt dann im nächsten Jahr so richtig flächendeckend eingeführt wird. Allerdings: Der Internetbrief wird – egal ob er per E-Post oder DE-Mail zugestellt wird – immer noch über die Infrastruktur des Internets transportiert, mit allen Knotenrechnern, mit allen Zugriffsmöglichkeiten auf Knotenrechnern. Also er wird so transportiert, wie normale E-Mails auch transportiert werden. Dieselben Datenpäckchen laufen eben über dieselben Knotenrechner. Und dann muss ich zeigen, wie robust beispielsweise die Verschlüsselung ist, mit der die Nutzdaten der Datenpäckchen bei E-Post und DE-Mail geschützt werden. Das kann man im Augenblick noch kaum abschätzen. Und über die Frage der qualifizierten Signatur für den geschützten Postversand werden wir dann 2011 auch noch zu sprechen haben. Denn die ist im Augenblick eben auch noch nicht vollständig beantwortet.

Kloiber: Als E-Post-Kunde oder DE-Mail-Nutzer werde ich auch ein extra gesichertes elektronisches Postfach auf diesen Servern des jeweiligen Providers nutzen können. Da wird ja damit geworben, dass das viel sicherer sei als die Mails auf dem eigenen privaten PC, der von außen angegriffen werden kann. Wie gut sind denn die Server mit diesen elektronischen Postfächern überhaupt abgesichert?

Welchering: Da zeigt sich mal wieder: In Hochglanzwerbung kann man viel versprechen, denn diese Sicherung hängt unter anderem davon ab, ob die gesicherten Postfächer auf separaten Servern liegen oder ob die auf den normalen Mail-Servern liegen. Bei DE-Mail werden die nach dem bisherigen Planungsstand auf den normalen Mailservern liegen und da kritisiert beispielsweise die Arbeitsgruppe Identitätsschutz im Internet zu Recht, das sei ja mit diesen Servern so konzipiert, als würde man einen Banktresor auf die offene Straße stellen. Die deutsche Post AG sagt nicht so genau, wo diese gesicherten Postfächer bei der E-Post angesiedelt sind und mit welchen Maßnahmen die denn da abgesichert werden.

Kloiber: In dieser Woche ist ja ein Entwurf für ein DE-Mail gesetzt bekannt geworden. Wie wird denn dort die Frage der Serverabsicherung geregelt?

Welchering: Sehr allgemein, sehr abstrakt, wenig verbindlich. Denn in dem 65 Seiten umfassenden Entwurf, der dem Politikblog netzpolitik.org zugespielt wurde, ist lediglich zu lesen, dass solche Postablagen Vertraulichkeit, Integrität und ständige Verfügbarkeit bieten müssen. So steht das zumindest wörtlich in Paragraph acht dieses Entwurfes. Es werden da eben überhaupt keine technischen Mindeststandards verbindlich definiert. Und der Entwurf liest sich in technischer Hinsicht deshalb auch seltsam vage und allgemein. Da kann man nur sagen: Da hat jemand seine Hausaufgaben einfach nicht gemacht. Generell wird an diesem Entwurf kritisiert, dass eine einseitige Verlagerung von Haftungsfragen und Risiken von den Behörden weg auf den Bürger, mit dem DE-Mail-Gesetz stattfinden würde ... wenn das so beschlossen würde. Das ist ja noch längst nicht durch. Das sind ja alles nur Entwürfe, was wir da haben. Da wird mit einer sogenannten Zustellungsfiktion gearbeitet. Die gibt’s auch jetzt schon im Verwaltungsbetrieb. Wenn also eine Behörde, einem Bürger, einen Brief oder einen Bescheid ins elektronische Postfach schickt, dann gilt der Bescheid drei Tage nachdem er abgeschickt wurde, als zugestellt. Sagt der Bürger nun: Diesen Brief habe ich aber nie bekommen, dann hat er mit beiden Papierbescheiden einfach nur glaubhaft machen müssen – also beispielsweise durch eine eidesstattliche Versicherung, dass er den Brief nicht bekommen hat. Bei einem DE-Mail-Dienst muss der Bürger den sogenannten Vollbeweis dafür antreten, dass der Internetbrief der Behörde ihn nicht erreicht hat. Und das ist eben nahezu unmöglich für ihn.

Kloiber: Und wie sieht es mit Briefen aus, die man als Bürger an eine Behörde schickt? Müssen die dann auch einen Vollbeweis führen, dass sie den Brief tatsächlich geschickt haben, beziehungsweise müssen die Behörden beweisen, dass sie ihn nicht bekommen haben?

Welchering: Das sollte man eigentlich aus Gründen der Waffengleichheit ja so annehmen. Nein, nach den bisherigen Überlegungen müssen sie genau das gerade nicht. Da muss der Bürger auch bei Briefen, die er an eine Behörde schickt, die volle Beweislast tragen. Er muss nachweisen, dass der Brief abgeschickt wurde. Rein technisch geht das so: Er kann gegen eine Zusatzgebühr eine digital signierte Versandbestätigung anfordern. Dann hat er sozusagen die Bestätigung in den Händen, dass tatsächlich dieser Brief auch abgeschickt wurde und er kann noch einmal eine Art Empfangsbestätigung anfordern. Also wenn der Brief dann tatsächlich im Postfach der Behörde ist, bekommt er nochmal eine Mail, digital signiert. Und in dieser Mail steht dann: Dein Brief ist auch angekommen. Das wäre dann Gerichtsverwertbarkeit und das wäre dann auch ausreichend sicher. Allerdings: Der Bürger hat eben die Beweispflicht und vor allen Dingen hat er gegenüber der Behörde zusätzliche Kosten für diesen Nachweis und da zeigt sich einfach: Da wird tatsächlich mit sehr ungleichen Mitteln gearbeitet. Haftungsrisiken und überhaupt Risiken der Zustellbarkeit werden einseitig auf den Bürger verlagert, von den Behörden weggenommen.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk