Die sogenannten De-Mails für die Kommunikation mit Behörden waren bislang nicht sicher – auch wenn die Anbieter das behaupteten. Zwar wurden De-Mails beim Verschicken verschlüsselt, doch konnten die Anbieter sie wieder entschlüsseln und in die Mails schauen. Das sei nötig, um Spam und Viren zu erkennen und zu filtern, hieß es immer. Kritiker argumentierten, das sei nur nötig, um die Mails mitlesen und überwachen zu können – das System drohte offenbar daran zu scheitern. Denn nun wird nachgebessert. Von April an können De-Mails vom Sender bis zum Empfänger verschlüsselt werden.

Die Verschlüsselung werde ohne Zusatzkosten für die Anwender umgesetzt, kündigten die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet (1&1, GMX und Web.de) an. Mit Hilfe einer Erweiterung für die Browser Firefox und Chrome, einem sogenannten Plugin, das Nutzer zuvor installieren müssen, erhalten sie ein Modul, um die Mails komplett zu verschlüsseln.

De-Mail-Nutzer hätten ihre Mails auch bislang schon verschlüsseln können, sagte Dirk Backofen, Leiter Marketing Geschäftskunden bei der Telekom. "Dies erforderte aber ein gewisses technisches Know-how." Die Anbieter selbst boten bislang nur eine sogenannte Transportverschlüsselung, bei der Mails von ihnen zwar auf dem Weg durch das Netz verschlüsselt werden, nicht aber auf den Servern der Anbieter selbst. Wer nicht wollte, dass seine Mails gelesen werden können, musste sie vor dem Verschicken selbst mit PGP verschlüsseln. Künftig soll das mit dem Zusatzmodul für alle Kunden möglich sein.

Wenn ein Absender seine Mails mit PGP (Pretty Good Privacy) verschlüsselt, können die Provider die Inhalte nicht mehr sehen. In diesem Fall entfalle auch die Überprüfung der Mail-Anhänge, um Computerviren und andere Schadprogramme herauszufiltern. Die Anbieter verfügten auch nicht über den Schlüssel, um eine solche Nachricht zu entschlüsseln. 

Der Schlüssel dazu wird auf dem Rechner des Nutzers gespeichert, nicht bei den Anbietern. Geht er verloren, sind einst damit verschlüsselte Mails für den Nutzer nicht mehr lesbar. "Wir haben die Schlüssel nicht", sagt Rainer Knirsch, einer der Sprecher der Telekom. Die Nutzer seien selbst verantwortlich dafür und müssten das Risiko, darauf aufzupassen, selber tragen.

PGP ist eine technische Sackgasse

Bundesregierung und Behörden wollen De-Mail zum wichtigsten Instrument machen, mit dem Bürger und Behörden kommunizieren. Das soll Portokosten sparen. Bislang interessierten sich aber nicht genug Menschen dafür, unter anderem aufgrund der fehlenden Sicherheit.

Doch auch das neue System findet nicht die volle Zustimmung der Kritiker. Denn die Ende-zu-Ende-Verschlüsselung wurde nicht zwingend eingebaut. Das wäre der beste Weg gewesen, um sichere Kommunikation zu fördern – wenn unsichere Kommunikation gar nicht mehr möglich wäre. Wer seine Mails an das Finanzamt, an die Krankenkasse oder an das Ordnungsamt verschlüsseln will, muss aber wie bisher selbst aktiv werden.

"Es braucht weiter den Willen des Nutzers, um verschlüsselt zu kommunizieren. Das ist nur ein Notnagel", sagt Linus Neumann. Der Sicherheitsanalyst kritisiert, dass unverschlüsselte De-Mails noch immer möglich sind.

Dabei zeigen Beispiele wie WhatsApp, dass es geht. Auch dort wurde Verschlüsselung nachträglich installiert. Aber die Nutzer müssen nichts dafür tun, die App wurde aktualisiert, anschließend war die Verschlüsselung fester Bestandteil des Nachrichtenprogramms. Wer damit an seine Freunde schreibt, muss nicht mit öffentlichen und privaten Schlüsseln herumfummeln und ist nicht gezwungen, unverschlüsselte Texte an jene zu schicken, die Verschlüsselung nicht nutzen.

Moxie Marlinspike, der Entwickler des Krypromoduls von WhatsApp, hält das System PGP daher für eine Sackgasse der technischen Entwicklung. In seinem Blog schrieb er kürzlich, diese Art der Crypto sei zwar ein glorreicher Versuch der neunziger Jahre, aber eigentlich viel zu mühsam, zu schwer zu bedienen und nicht mehr zeitgemäß. "De-Mail wäre ein guter Weg gewesen, um sichere Kommunikation zu stärken, die Chance wurde aber leider nicht genutzt", sagt Linus Neumann.

Anmeldeverfahren wird erleichtert

Eine weitere Neuerung gibt es: Um schneller eine kritische Masse an De-Mail-Anwendern aufzubauen, werden die Anbieter auch das Anmeldeverfahren vereinfachen. Bislang mussten die Kunden ihre Identität mit dem Personalausweis bestätigten. Künftig kann man sich auch über ein existierendes Bankkonto anmelden. "Bankkunden müssen sich bei der Eröffnung ihrer Konten bereits auf hohem Niveau ausweisen. Das können wir ausnutzen", sagte Dirk Backofen, Leiter Marketing Geschäftskunden bei der Telekom. Mit einem Online-Bankkonto könnten Kunden sich bei De-Mail vom Computer aus anmelden.

Die De-Mail war auf der Technik-Ausstellung IFA 2012 als sichere Alternative zur herkömmlichen E-Mail in Deutschland eingeführt worden. "Bequem wie die Mail, aber rechtsverbindlich und sicher wie der unterschriebene Brief", lautete das Versprechen der Anbieter. Bürger können über das System mit Banken, Versicherungen oder anderen Unternehmen Geschäftsbriefe per Mail abwickeln. Inzwischen laufen auch in großen Organisationen wie der Deutschen Rentenversicherung oder bei der Bundesagentur für Arbeit Projekte, um Papierpost durch Digitalbriefe via De-Mail zu ersetzen. Das Innenministerium geht davon aus, dass bis Ende 2015 bis zu 200 weitere Behörden und Einrichtungen des Bundes über De-Mail kommunizieren können.

Neben der Sicherheit sei für die Anwender der De-Mail wichtig, Zeit und Geld zu sparen, sagte Francotyp-Postalia-Manager Szymanski. Ein Standardbrief verursache insgesamt Kosten in Höhe von "mindestens 1,50 Euro". Eine De-Mail schlage dagegen mit insgesamt maximal 30 Cent inklusive aller Nebenkosten zu Buche. Große Unternehmen – und auch der Staat – könnten damit Millionenbeträge einsparen.