NIFIS kritisiert De-Mail

Von: Dr. Thomas Lapp

Hauptangriffspunkte sind die mangelhafte Konzeption, Sicherheitslücken und die fehlende Kompatibilität

Die Nationale Initiative für Informations- und Internetsicherheit (NIFIS) übt in einer Stellungnahme Kritik am Entwurf zum so genannten De-Mail-Gesetz und fordert den Gesetzgeber dazu auf, das aktuelle Papier noch einmal intensiv zu überarbeiten. Schon der Hauptzweck der Neuregelung – die Authentizität, Integrität und Vertraulichkeit der Kommunikation via digitale Netzwerke – sei aufgrund von Sicherheitslücken gefährdet. Die für den Übertragungsdienst zuständigen Provider würden eingehende Nachrichten zunächst entschlüsseln und dann zur Weiterleitung wieder verschlüsseln. „Das ist in etwa so, als ob die Post einen Brief öffnet und diesen vor der Zustellung in einen anderen Umschlag packt“, merkt Dr. Thomas Lapp, Vorsitzender der NIFIS und IT-Experte der Bundesrechtsanwaltskammer, an. Zwar entsprechen die Server staatlich überprüften Sicherheitsstandards – „und dennoch ist das nicht die optimale Lösung, da die Daten zumindest für kurze Zeit offen auf dem Server liegen.“

Außerdem habe es der Gesetzgeber versäumt, im Gesetz Technikneutralität vorzuschreiben. Das habe zur Folge, dass De-Mail nicht mit anderen Angeboten sicherer Kommunikation kompatibel ist. Dazu zählten beispielsweise das Elektronische Gerichts- und Verwaltungspostfach (EGVP), der neue elektronische Brief der Post und weitere Wege der Kommunikation über das Internet wie etwa regify. „Auf diese Weise lässt sich die groß angekündigte Kostenersparnis sicher nicht realisieren“, moniert Dr. Thomas Lapp. „Schließlich müsste nun ein zusätzlicher Kanal geöffnet und permanent betreut werden – diese Tatsache ist in die Überlegungen des Gesetzgebers nicht einmal ansatzweise eingeflossen.“

Schließlich reagieren die Experten der NIFIS mit Unverständnis darauf, dass es kein Konzept dafür gibt, dass De-Mail und die qualifizierte elektronische Signatur sinnvoll ineinandergreifen. Die fehlende Abstimmung lasse sich beispielsweise daran erkennen, dass für die Anmeldung zur qualifizierten elektronischen Signatur zwar die gleiche Identitätsprüfung notwendig ist wie für die De-Mail, der Anwender sich aber mit seiner qualifizierten elektronischen Signatur nicht ohne erneute – und überflüssige – Identitätsprüfung bei De-Mail anmelden kann. Dr. Thomas Lapp ergänzt: „Nach dem Gesetz wird es so sein, dass Behörden dem Bürger über De-Mail etwa Bescheide oder Verfügungen zustellen können, dieser aber sein Rechtsmittel nicht einfach durch eine Antwort wirksam einlegen darf. Vielmehr erfordert die wirksame Einlegung eines Widerspruchs wieder die qualifizierte elektronische Signatur.“ De-Mail bringe damit für den Verbraucher keinen Mehrwert, sondern setze ihn vor allem der Gefahr aus, wichtige Nachrichten zu übersehen, die ihm über diesen Kanal rechtswirksam zugestellt werden können. Der Rechtsanwalt hatte sich gewünscht, dass der Gesetzgeber eher etwas zur Stärkung und weiteren Verbreitung der elektronischen Signatur unternommen hätte – die entsprechenden Gesetze von 1997 und 2001 hätten schon die gleiche Zielsetzung verfolgt wie jetzt das De-Mail-Gesetz. Außerdem ließen sich mit diesem Instrument Authentizität, Integrität und Vertraulichkeit deutlich besser gewährleisten, weil hier eben die so genannte Ende-zu-Ende-Verschlüsselung möglich ist – was De-Mail nicht leisten kann.

Auch die Vergabe der Adressen stößt auf Kritik. Anders als bei Mobilfunknummern gibt es für die De-Mail-Adressen keine Verpflichtung, dem Nutzer die Adresse auch beim Wechsel des Providers zu erhalten. Damit können die Provider den Nutzern den Wechsel des Providers deutlich erschweren, weil eine möglicherweise jahrelang genutzte E-Mail-Adresse dabei verloren geht.

---