Die De-Mail, das Verfahren für die rechtsverbindliche elektronische Korrespondenz zwischen Bürgern und Behörden, ist so sicher wie eine Postkarte, sagen ihre Kritiker. Die Bundesregierung aber will dieses Problem nicht lösen, sie will es mit einem Gesetz für gelöst erklären.

Bislang wird die De-Mail kaum genutzt. Dafür gibt es mehrere mögliche Gründe. Vielen Bürgern dürfte das Verfahren noch immer unbekannt sein, andere werden es ablehnen, weil es ihnen zu teuer, zu aufwendig oder zu unsicher erscheint. Die Bundesregierung möchte das ändern, schließlich würde auch der Staat profitieren, wenn Behörden nicht mehr jeden Brief per Post verschicken müssten: Die Regierung möchte zum Beispiel erreichen, dass die Bürger ihre Steuerangelegenheiten per De-Mail abwickeln und auf diesem Wege auch vom Finanzamt kontaktiert werden können.

Doch statt einen der Hauptkritikpunkte inhaltlich anzugehen, versucht die Bundesregierung ein Täuschungsmanöver: In ihrem "Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften" schlägt sie vor, das als unsicher geltende Verschlüsselungsverfahren der De-Mail einfach für sicher zu erklären.

Das Verfahren läuft verkürzt gesagt wie folgt ab: Nutzer müssen sich per Ausweisvorlage identifizieren, um ein De-Mail-Konto zu bekommen. Ihre Nachrichten etwa an Behörden werden beim Versand verschlüsselt, damit sie niemand abfangen und mitlesen kann. Um zu prüfen, ob Spam oder Schadsoftware per De-Mail versendet werden, entschlüsseln die staatlich akkreditierten Provider die De-Mails aber zwischenzeitlich. Das passiert automatisch. Danach verschlüsseln sie die Nachrichten wieder und schicken sie an den eigentlichen Empfänger.

Dieses Verfahren kritisieren Datenschützer und Hacker schon lange. Sie halten nur eine echte Ende-zu-Ende-Verschlüsselung für ausreichend sicher, bei der erst der Empfänger die Nachricht entschlüsselt. Die zwischenzeitliche Entschlüsselung stellt ihrer Meinung nach eine inakzeptable Schwachstelle dar. Schließlich habe jeder mit einem Zugang zu den Servern des Providers die Möglichkeit, die sensiblen Nachrichten abzufangen – sei dies nun ein Mitarbeiter des Providers, der bösartige Absichten hat, oder ein Geheimdienst.

Die Ende-zu-Ende-Verschlüsselung ist im De-Mail-Gesetz durchaus verankert, die Provider müssen sie gewährleisten. Für die Nutzer ist das allerdings mit einigem Aufwand verbunden, weil sie dazu die entsprechenden Schlüssel mit jedem Empfänger austauschen müssen.

Die Bundesregierung will jedenfalls nicht die Technik anpassen, sondern ihre Definition von "sicher". Konkret heißt es im Gesetzentwurf, die Abgabenordnung solle um zwei Absätze ergänzt werden. Der erste lautet: "Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder ... gleichgestellte Personen ... über De-Mail-Dienste ... versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet."

Der zweite neue Absatz soll lauten: "Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot ..."

CCC: "Kann nur als Witz gemeint sein"

Soll heißen: Die Bundesregierung will einfach eine Ausnahmeregelung schaffen, damit De-Mails als sicher gelten. Der Bundestag muss dem Entwurf aber noch zustimmen – und hört sich am heutigen Mittwoch zunächst einmal an, was Datenschützer, Unternehmen und der Chaos Computer Club (CCC) dazu sagen.

Der CCC hat seine Stellungnahme bereits veröffentlicht. Frank Rieger, einer der Sprecher des Klubs, fasst sie zusammen: "Es kann nur als Witz gemeint sein, dass die De-Mail trotz lange bekannter Schwächen per Gesetz nun zum Standard für Behördenkommunikation erhoben werden soll. Damit wird sehenden Auges ein völlig lächerliches Sicherheitsniveau festgeschrieben, das in der Industrie und bei Berufsgeheimnisträgern niemals akzeptabel wäre. Da kann man seine Steuererklärung gleich auf einer Postkarte abgeben."

Das Ziel der Bundesregierung sei es offenbar, "durch die Vermeidung echter Ende-zu-Ende-Verschlüsselung eine Abhör-Hintertür für Polizei und Geheimdienste zu eröffnen – auch zum Einschleusen von staatlichen Trojanern auf Bürgercomputer."

Der CCC rät wie auch andere Organisationen von der Nutzung der DE-Mail ab und freut sich, dass "die Bevölkerung dem Dienst bisher konsequent die Nutzung verweigert".

Update: Das Bundesinnenministerium weist die Vorwürfe des CCC zurück. Ein Ministeriums-Sprecher schrieb ZEIT ONLINE in einer E-Mail: "Wer De-Mail nutzt, kann sich auf eine vollständige Verschlüsselung seiner E-Mails im Internet verlassen. Hierbei werden weltweit standardisierte sichere Verschlüsselungsverfahren verwendet. Die Transporteure der De-Mail, die De-Mail-Anbieter, unterliegen dem Fernmeldegeheimnis. Jeder Einblick in die Inhalte der Mails ist strafbar. Technisch ist zudem sichergestellt, dass kein einzelner Mitarbeiter der Anbieter irgendeine Möglichkeit hat, De-Mails mitzulesen. Damit ist der Transport vertraulicher Informationen per De-Mail um ein Vielfaches sicherer als die Nutzung von E-Mail und sogar noch sicherer als der Transport per normalem Papierbrief.Wenn der Chaos Computer Club den sicheren De-Mail-Dienst ablehnt und stattdessen die Nutzung von spezieller Software wie OpenPGP oder GNU Privacy Guard fordert, dann setzt er auf komplizierte Speziallösungen, die für Hacker und versierte IT-Spezialisten verwendbar sind, kaum aber für technisch normal begabte Internet-Nutzerinnen und –Nutzer und sich deshalb in der Vergangenheit auch nicht durchsetzen konnten."