Kann die De-Mail halten, was sie verspricht?

Eine Stellungnahme der NIFIS e.V. zur neuen sicheren E-Post für jedermann

Wollten Unternehmen, Behörden und Bürger bislang vertrauliche oder rechtsverbindlich gültige E-Mails versenden, sahen sie sich mit einem Problem konfrontiert. Ein bisheriger Lösungsansatz, die Verschlüsselung der Nachrichten mittels qualifizierter elektronischer Signatur, hat jedoch bis dato keinen rechten Einzug in den deutschen Unternehmensalltag gehalten – viele beschreiben das Verfahren als zu aufwändig und kompliziert. Dieser Einschätzung liegt jedoch eher Unkenntnis als reale Erfahrung zugrunde.

Im Praxiseinsatz bewährt sich die elektronische Signatur beispielsweise seit 2007 bei allen deutschen Notaren, die ihre Korrespondenz mit den Registergerichten nur noch elektronisch abwickeln dürfen. Seit Ende 2008 sind viele Rechtsanwälte hinzugekommen, die Mahnverfahren elektronisch abwickeln. Qualifizierte elektronische Signaturen können vor unerwünschten Mitlesern schützen sowie die zweifelsfreie Identifikation der Kommunikationspartner als auch die unverfälschte Übermittlung garantieren. Für sich allein genommen können elektronische Signaturen allerdings keinen Beweis für den tatsächlichen Zugang einer E-Mail beim Empfänger liefern.

Die neue „De-Mail“, die das Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und von diesem zertifizierten Providern ab 2010 anbieten will, soll dieses Problem nun lösen. Das Verfahren sei denkbar einfach: Zunächst muss sich der interessierte Nutzer im Rahmen des Anmeldeverfahrens identifizieren lassen, z.B. mittels PostIdent. Die eigentliche elektronische Kommunikation soll dann unkompliziert über den Webbrowser oder E-Mail-Clients funktionieren. Das Aufspielen von Software sei nicht notwendig. Auch für die Sicherheit ist laut Bundesinnenministerium gesorgt. So ist das BSI damit beauftragt, diejenigen Unternehmen, die gerne zukünftig die De-Mail mit anbieten möchten, entsprechend einer Zertifizierung zu unterziehen. Die Einhaltung der strengen Sicherheits- und Datenschutzmaßnahmen wird regelmäßig überwacht und die Sicherheitsanforderungen werden immer den aktuellen Entwicklungen angepasst. Das Anmeldeverfahren und die Verbindungen zum Anbieter sind abgesichert, die Transportwege verschlüsselt und abgeschlossen. Qualifiziert elektronisch signierte Versandbestätigungen können bei Bedarf angefordert werden und haben eine hohe Beweiskraft.

So soll den anspruchsvollen Anforderungen an die Kommunikation zwischen Behörden, Bürgerinnen und Bürgern sowie der Wirtschaft in punkto Rechtsverbindlichkeit, Unveränderbarkeit und zweifelsfreie Identifikation Rechnung getragen werden. Positiver Nebeneffekt: Auch die Belästigung durch SPAM-Mails soll für die De-Mail-Nutzer der Vergangenheit angehören. Weitere Dienste, wie der „De-Safe“ zur veränderungssicheren und dauerhaften Speicherung wichtiger Nachrichten und Dokumente sowie „De-Ident“, die einfache Möglichkeit zum Nachweis von Identitätsmerkmalen beispielsweise für die Registrierung in Online-Shops, sollen das Angebot abrunden. Soweit die Theorie.

Jedoch mehren sich auch kritische Stimmen zu der neuen sicheren E-Post für jedermann: So sei die De-Mail unter Umständen nicht kompatibel zu bereits eingeführten Verfahren oder aufgrund von Datenschutzbedenken nicht empfehlenswert. Zudem merken einige an, dass sich De-Mail vielleicht für die Kommunikation zwischen Unternehmen/Bürgern und Behörden, weniger aber für private oder unternehmensinterne Post zu eignen scheint.

Dr. Thomas Lapp, Vorstandsmitglied der NIFIS e.V., dazu:

„De-Mail ist ein Versprechen, mit dem sichere Kommunikation versprochen wird, das aber nur unter mehreren nicht notwendigerweise auch gegebenen zusätzlichen Voraussetzungen tatsächlich eingehalten wird. Zunächst kommt das Projekt zu einem Zeitpunkt, zu dem die seit Jahren bestehende, aber nicht wirklich genutzte Infrastruktur des Signaturgesetzes beginnt, genutzt zu werden. Nach den Notaren sind auch die Rechtsanwälte in großem Umfang mit Signaturkarten ausgestattet und sammeln reale Erfahrungen bei der Anwendung. De-Mail wirbt mit Vertraulichkeit, Integrität und Authentizität der Kommunikation. Das sind aber Vorteile, die bereits heute mit qualifizierten elektronischen Signaturen erreicht werden können. Verhindert wird dies lediglich durch die fehlende Verbreitung von Signaturkarten. Diesem Problem kann man aber nicht dadurch begegnen, dass man eine weitere Infrastruktur aufbaut, die zunächst genauso wenige Nutzer besitzt und in Konkurrenz zu bestehenden Systemen tritt. Dies umso weniger, als auch De-Mail voraussichtlich die Kosten auf die Nutzer verlagert, die schon bisher die Kosten der qualifizierten elektronischen Signatur scheuen. Hinzu kommt, dass mit elektronischem Personalausweis, Gesundheitskarte und Jobcard mehrere Systeme auf den Markt kommen, die den Bürgern flächendeckend den Zugang zu qualifizierten elektronischen Signaturen öffnen können.

Bei der Anhörung im Bundesinnenministerium am 11. Juni 2009 wurde von den anwesenden Experten kritisiert, dass Sicherheit nur bei Ende-zu-Ende-Verschlüsselung gewährleistet sei. Andernfalls könnte beim Provider Einsicht in die E-Mails genommen werden und es könnte deren Beschlagnahme erfolgen. Nach dem bisherigen Konzept werden die E-Mails vom Anwender zum Provider auf einem verschlüsselten Kanal übertragen und dann dort wiederum verschlüsselt an den Empfänger weitergegeben. Die verschlüsselte Übertragung an den Empfänger funktioniert jedoch nur dann, wenn auch der Empfänger ein De-Mail-Konto hat. In allen anderen Fällen ist die Sicherheit allein auf dem Weg vom Empfänger zum Provider höher als bisher. Der weitere Weg der E-Mail ist genauso unsicher wie bisher. Hinzu kommt, dass dem Anwender sowohl eine sichere als auch eine unsichere Anmeldung bei seinem De-Mail-Konto ermöglicht wird. Bei der unsicheren Anmeldung lediglich mit Passwort besteht für den Empfänger keine höhere Sicherheit im Hinblick auf Integrität und Authentizität der Nachricht. Nach der bisherigen Rechtsprechung könne man nicht darauf vertrauen, dass die Nachricht bei Anmeldung mit E-Mail-Adresse und Passwort tatsächlich von dem in der Nachricht genannten Absender stammt.

Der einzig nachvollziehbare Vorteil von De-Mail besteht im Zugangsnachweis. Allein mit Signaturen kann man nicht nachweisen, dass eine Nachricht den Empfänger auch wirklich erreicht hat. Tatsächlich taucht dieses Problem aber vor allem bei unseriösen Zeitgenossen auf, die den Empfang unangenehmer Nachrichten leugnen, solange es geht. De-Mail hilft aber auch dann nur, wenn diese Empfänger ein De-Mail-Konto eröffnen und sich damit bewusst der Möglichkeit berauben, unangenehme Post ungestraft zu ignorieren. Das Bundesinnenministerium bleibt die Antwort schuldig, warum jemand, der seinen Briefkasten entfernt hat, ein kostenpflichtiges De-Mail-Konto eröffnen soll.

Für die normalen Anwender bringt dieser Zugangsnachweis eine deutliche Benachteiligung gegenüber der bisherigen Situation. Nach dem Gesetzesentwurf gilt eine Nachricht als zugestellt, sobald sie im elektronischen Postfach eingegangen ist. Nach der bisherigen Rechtslage ist die Nachricht allerdings erst dann zugestellt, wenn sie nicht nur im Postfach eingegangen ist, sondern allein nach dem normalen Lauf der Dinge mit Kenntnisnahme zu rechnen ist. Geht eine E-Mail nach bisheriger Rechtslage beispielsweise um 23:30 Uhr im Postfach ein, ist mit Zugang frühestens am darauf folgenden Werktag vormittags zu rechnen. Nach der Neuregelung würde die Zustellung bereits um 23:30 Uhr erfolgt sein. Außerdem müsste jedem Anwender eindeutig klargemacht werden, welches Risiko er nunmehr eingeht. Nach dem Wortlaut des Gesetzes würde allein die Eröffnung des De-Mail-Kontos die Zustellung von behördlichen Verfügungen und Bescheiden ermöglichen, während nach der bisherigen Regelung jeder Bürger der elektronischen Zustellung ausdrücklich zustimmen muss. Bei der Anhörung wurde allerdings zugesagt, beide Punkte zu ändern.

Ärgerlich ist für den Bürger auch, dass es umgekehrt keine Pflicht der Behörden gibt, Eingaben über De-Mail anzunehmen. Hier habe ich bei der Anhörung vorgeschlagen, Behörden mit De-Mail-Konto zur Eröffnung dieses Postfachs auch für Bürger zu verpflichten.

Nicht nachvollziehbar ist zudem, warum das Bundesinnenministerium die gesamte bestehende Kommunikationsinfrastruktur schlicht ignoriert. So kann man mit qualifizierter elektronischer Signatur noch nicht einmal ein De-Mail-Konto eröffnen. Für die Kommunikation mit Gerichten und Behörden existiert mit dem elektronischen Gerichts- und  Verwaltungspostfach bereits eine funktionierende Infrastruktur, zu der De-Mail nicht kompatibel sein wird. Beides ist nach Auskunft des BMI allerdings nicht beabsichtigt und soll noch geändert werden.

Unklar ist weiter, warum die Übertragung des Kontos auf einen anderen Provider, wie es bei Mobiltelefonnummern möglich ist, nicht vorgesehen ist. Der Providerwechsel birgt so immer das Risiko, die De-Mail-Anschrift zu verlieren.

„De-Ident“ ist als Zusatzdienst zur Identifizierung geplant. Allerdings ist kein System zur Aktualisierung der Angaben eingerichtet. Insbesondere bei juristischen Personen ergeben sich jedoch häufig Wechsel z.B. bei der Geschäftsführung.

Aus meiner Sicht sollte die Energie eher in die Förderung der bestehenden Strukturen für qualifizierte elektronische Signaturen investiert werden. Bei der Anhörung zeigte sich, dass die Vertreter von Post, Telekom und United Internet, aber auch Behörden und beispielsweise der Verband der Versicherungswirtschaft De-Mail sehr befürworten. Für Herbst ist auch ein Pilotprojekt geplant. Es ist zu hoffen, dass die angeregten Verbesserungen im Gesetz noch Eingang finden.“

---