Elektronische Post Streng vertraulich digital kommunizieren
Mit dem Projekt "De-mail" will die Regierung Sicherheitsstandards für die elektronische Kommunikation setzen. Papierbriefe könnten so weitgehend überflüssig werden.
Man muss gar nicht Nutzer von Hotmail sein, um sich in diesen Tagen um die Vertraulichkeit der persönlichen elektronischen Kommunikation zu sorgen. Wer heute eine E-Mail unverschlüsselt verschickt, muss damit rechnen, dass der Inhalt von dritter Seite mitgelesen oder – noch gravierender – gar verändert wird. Und ob der Absender wirklich der ist, der er vorgibt zu sein, ist nicht immer nachprüfbar. Gemeinsam mit Unternehmen und Verbänden hat das Bundesministerium des Inneren (BMI) deshalb das Projekt "De-Mail" entwickelt. Auf dem Weg der De-Mail soll die Online-Kommunikation künftig "so einfach wie E-Mail und dabei so sicher wie die Papierpost" werden – und damit einen Großteil des traditionellen Briefverkehrs überflüssig machen. In dieser Woche startet ein Pilotprojekt in Friedrichshafen. Im Verlauf des kommenden Jahres soll De-Mail in ganz Deutschland nutzbar werden.
Das Prinzip von De-Mail ist das eines Internetdienstes. De-Mail-Anbieter müssen dabei in einem staatlichen Zertifizierungsverfahren nachweisen, dass sie hohen Anforderungen an Sicherheit und Datenschutz genügen. Prüfstelle wird das Bundesamt für Sicherheit in der Informationstechnik (BSI), das dem BMI untergeordnet ist. Geprüfte Anbieter können dann die sicheren E-Mails zur Verfüfgung stellen. Solch eine E-Mail enthielte standardmäßig den Zusatz "de-mail". Aus der Adresse "Lina.Fromm@gmx.de" würde "Lina.Fromm@gmx.de-mail.de". Bei Namensdopplungen werden Zahlen eingefügt. Die alte Adresse könnte erhalten bleiben und würde quasi als elektronische Postkarte betrachtet. Die sichere De-Mail-Option könnte im Bedarfsfall zur vertraulichen und insbesondere auch zur rechtsverbindlichen Kommunikation gewählt werden.
Anzeige
Hinter jeder De-Mail stehen künftig, so zumindest die Planung, registrierte und zweifelsfrei identifizierte Kommunikationspartner. Dadurch soll elektronisch möglich werden, was bisher an der mangelnden Sicherheit und Verbindlichkeit der E-Mail scheitert: etwa die Zustellung von Rechnungen und Bescheinigungen, der Versand von vertrags- und geschäftsrelevanten Unterlagen sowie von vertraulichen Dokumenten. Dieser Aspekt macht De-Mail insbesondere für die Wirtschaft und auch für Verwaltungen interessant. So sollen bestimmte Behördengänge überflüssig werden – nicht zuletzt für alte oder behinderte Menschen eine große Erleichterung.
Angesichts der rapide zunehmenden Internetkriminalität und der anschwellenden Spam-Welle soll De-Mail aber auch für Privatnutzer Sicherheit und Komfort bringen, etwa beim Einkauf im Internet. Verbraucher, Behörden und Unternehmen können bei einem zertifizierten Anbieter ihrer Wahl ein "De"-Postfach eröffnen. Ähnlich wie bei der Eröffnung eines Bankkontos muss dafür der Personalausweis vorgelegt werden. Der Versand der De-Mails erfolgt dann über gesicherte Kommunikationskanäle, die Nachrichten sollen vor Mitlesen und Veränderung geschützt sein. Auf Wunsch erhält der Absender auch eine beweiskräftige Bestätigung über den Zugang der De-Mail beim Empfänger. Außerdem gehört zum Angebot eine sichere Dokumentenablage, der De-Safe, und De-Ident, ein elektronischer Identitätsnachweis.
De-Mail geht zurück auf einen Beschluss der EU, der die Einführung der neuen Technik in allen Mitgliedstaaten vorsieht. Das "De" steht für Deutschland. Betrieben wird das Projekt von der Privatwirtschaft, unter anderem von der Deutschen Telekom. Das BMI garantiert als Zertifizierungsstelle nur die Sicherheit des Angebots. Zertifizieren lassen können sich alle Internetprovider. Größere Unternehmen mit eigenem Intranet können durch ein Gateway angeschlossen werden.
Das BMI betont, es werde keine zentrale Datenspeicherung geben. Man habe in der Entwicklung auf datenschutzfreundliche Bestimmungen Wert gelegt. Bedenken, der De-Mail-Dienst biete ein Einfallstor für staatliche Überwachung, weist das BMI denn auch mit dem Verweis darauf zurück, dass man in der Praxis später lediglich die Rolle der Zertifizierung übernehmen werde. Die praktische Umsetzung liegt bei den Unternehmen. Auch die Kosten für das Angebot legen die Provider fest.
Wann der Dienst in ganz Deutschland nutzbar wird, hängt vom Verlauf des Pilotprojekts aber auch vom Gesetzgebungsverfahren ab. Zwar hat die große Koalition noch den entsprechenden Gesetzentwurf zu den "Bürgerportalen" beschlossen. Für einen Parlamentsbeschluss jedoch hat die Zeit der abgelösten Koalition nicht mehr gereicht.
- Datum 08.10.2009 - 16:14 Uhr
- Serie Technologie
- Quelle ZEIT ONLINE, Tagesspiegel
- Kommentare 23
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
... findet erst nach der nächsten Terrorwarnung statt.
Na klar, ausgerechnet das BMI wird dafür Sorge tragen, dass auf "datenschutzfreundliche Bestimmungen Wert gelegt" wird. Und das soll man in Zeiten von Vorratsdatenspeicherung und diesen unsäglichen Internetsperren glauben? Ich tu es nicht, und ich begegne diesem Angebot mit größter Skepsis und größtmöglichem Boykott.
Interessanterweise finde ich die Grundidee gar nicht verkehrt, "Sicherheit" und genauer "Verschlüsselung" sind wichtige Themen. Nur leider haben sich die Entscheider mit immer neuen Begehrlichkeiten unter dem Deckmantel der sog. "Terror- und Kriminalitätsbekämpfung" selbst unglaubwürdig gemacht. #Fail.
Es ist schon seit vielen Jahren möglich, seine E-Mails mit Hilfe von Open Source-Software wie z. B. PGP verschlüsselt und damit sicher zu versenden. Mir persönlich sind aber nur sehr wenige Menschen bekannt, die tatsächlich davon Gebrauch machen, obwohl es natürlich sinnvoll wäre.
Falls der DE-Mail-Dienst erfolgreich sein sollte, wäre es hier ausnahmsweise mal andersrum: ein kommerzielles Produkt schlägt Open Source. Ausnahmen bestätigen die Regel.
1) Warum der DE-Mail-Zusatz. Da tippt man sich ja die Finger wund. Jahrzehntelang haben die Mail-Anbieter versucht, kurze, knackige Domains zu bekommen (WEB.de, GMX.de) und jetzt kommen die mit einem suffix "de-mail". In Web-Terminologie ist das echt low.
2) Dann habe ich meine gmx.de-mail.de (argh! allein diese de-Dopplung) Adresse und bin an einen Anbieter gebunden, dessen Server privatwirtschaftlich organisiert und dessen Preismodell variabel ist. Heute noch umsonst und wenn du morgen nicht zahlst, dann ist deine DE-Mail FOTT. Zipp.
3) Warum kriegt nicht jeder bei Geburt auf einem staatlichen Server (da kann man doch mal ein Amt für gründen) eine Adresse "DE-134789313489@eu.com"? Die Nummer ist die Steuernummer und man kann Aliase vergeben und hat dann sowas wie "clarissa.mueller.d77@eu.com".
also werdennebenbei alle e-mails für die spätere eventuelle Analyse gespeichert :)
Nur zur Sicherheit ;)
also werdennebenbei alle e-mails für die spätere eventuelle Analyse gespeichert :)
Nur zur Sicherheit ;)
Von de-mail ist ja schon seit einiger Zeit die Rede - wenn ich mich nicht völlig täusche hiess es aber immer, dass bei diesem Angebot der Staat Zugriff auf den privaten Schlüssel hat (oder diesen gar selbst generiert) und somit die verschlüsselten Mails lesen und sogar "Unterschriftenfälschung" betreiben könnte.
Was letztlich dann auch der Grund war, warum die meisten IT-ler das eher als "Netter Versuch, Stasi 2.0!" belächelt haben.
Wenn eine staatliche Behörde über e-mails wacht müsste sie eigentlich über - ich sage mal - digitale Kompetenzen verfügen.
In anbetracht dessen was die Politik so in der nahen Vegangenheit angestellt hat - von der Grundidee ein guter Ansatz, von der Durchsetzung her schlecht und letztenendes wirkungslos - da muss ich mich doch wundern, soll ich lachen oder weinen?
Die Implementierung ist doch den Anbietern überlassen - die werden wohl kaum ein neues Verfahren entwickeln, um E-Mails zu verschlüsseln. Wahrscheinlich setzen sie aber eher auf S/MIME als auf PGP, denn die hierarchische Zertifizierung, die hier vorgesehen ist, passt besser zu S/MIME. Beide Verfahren sind in Open-Source-Implementierungen nutzbar.
Oder sie machen einfach gar nichts, denn die Sicherheit wird ja durch Zertifizierung festgestellt, nicht durch technische Maßnahmen erreicht, und die End-zu-End-Verschlüsselung von Mails steht ja dem Überwachungswahn entgegen (man will schließlich "ruhende" Mails beliebig abgreifen können...). Da reicht es dann wohl, wenn nur die Transportwege verschlüsselt werden, also beim E-Mail-Versand und -Empfang alles über SSL/TSL abläuft.
also werdennebenbei alle e-mails für die spätere eventuelle Analyse gespeichert :)
Nur zur Sicherheit ;)
Bitte melden Sie sich an, um zu kommentieren