Sicherheit

De-Mail: Sichere und rechtsverbindliche Kommunikation

© jensjensen - Fotolia.com
Möglichkeiten des E-Mail-Versands

Seit 2012 gibt es in Deutschland zwei Möglichkeiten, elektronische Post zu verschicken. Zum einen die normale E-Mail und zum anderen den von der Bundesregierung initiierten und von der Privatwirtschaft technisch-organisatorisch umgesetzten, kostenpflichtigen De-Mail-Dienst. Mit letzterem soll, so das politische Ziel, ein sicherer, vertraulicher und nachweisbarer Geschäftsverkehr im Internet gewährleistet werden.

Sicherheit von De-Mails

Sicherer als die meisten gewöhnlichen E-Mails sind De-Mails zweifellos, da sie auf ihrem Weg durch das Internet generell verschlüsselt sind. Das ist ein wesentlicher Vorteil gegenüber normalen E-Mails, die bekanntlich bereits mit geringem technischem Aufwand gelesen und inhaltlich verändert werden können.

Bei De-Mails wird eine Punkt-zu-Punkt-Verschlüsselung eingesetzt, mit der die elektronischen Sendungen standardmäßig abschnittsweise kryptiert werden. Allerdings befinden sie sich temporär in Klarform auf den Servern der Provider. Dort könnten sie theoretisch gehackt werden.

Vorteile des De-Mail-Dienstes

Zu den Hauptvorteilen der De-Mails zählt, dass sie eine rechtsverbindliche Kommunikation mit Behörden, Unternehmen, Kunden, Vertragspartnern und Privatpersonen ermöglichen. Unabdingbare Voraussetzung ist aber, dass beide Kommunikationspartner für diesen E-Mail-Dienst registriert sind.

Gewöhnliche E-Mails gelten ausdrücklich nicht  als rechtsverbindlich, weil wichtige Merkmale wie die zweifelsfreie Identität von Absender und Empfänger und belastbare Nachweise für die Übersendung der elektronischen Nachricht und deren Eingang im Postfach des Adressaten fehlen. Für den wirksamen Abschluss von Rechtsgeschäften, die rechtskräftige Kündigung von Verträgen, Widersprüche, den nachweislich erfolgten Versand von Rechnungen  oder den formgebundenen Schriftverkehr mit Behörden (z.B. bei der Beantragung von Genehmigungen, Urkunden oder Ausweisen) ist die normale E-Mail deshalb ungeeignet.

Zweifelsfreie Identität der Kommunikationspartner

Anders als bei gewöhnlichen E-Mail-Accounts, die auch unter falschem Namen und mithilfe falscher Adressdaten angelegt werden können, sind De-Mail Absender und Empfänger durch die sog. zuverlässige Erstregistrierung eindeutig identifiziert. Dies geschieht durch ein Vor-Ort-Verfahren, bei dem sich die De-Mail-Nutzer persönlich durch Vorlage eines amtlichen Ausweisdokumentes authentifizieren müssen. Akzeptiert werden ein deutscher Personalausweis oder Reisepass in Verbindung mit einer Meldebescheinigung, die nicht älter als drei Monate sein darf.

Ziel des Identifizierungsverfahrens ist die Verifizierung der sich anmeldenden Person und der Abgleich der bei der Registrierung angegebenen Daten mit den Daten aus dem Ausweisdokument. Ein De-Mail-Konto wird erst nach erfolgreicher Identifizierung und erfolgreichem Datenabgleich vergeben. Jeder Nutzer kann sich deshalb hinsichtlich der Identität seines Kommunikationspartners sicher sein.

Verhinderung von Missbrauch

Das sog. hohe Sicherheitsniveau verhindert, dass Dritte ein De-Mail-Konto missbräuchlich nutzen können. Neben dem Benutzernamen und dem Passwort (Wissen) wird dabei zusätzlich ein Token (zu Deutsch: Gegenstand) eingesetzt.

Token kann der neue Bundespersonalausweis oder ein anderes zugelassenes Identifikationsmittel,  z.B.  auf der Basis von USB-Sticks oder TAN-generierenden Geräten sein. Statt einer einfachen Anmeldung kann dadurch eine Zwei-Faktor-Authentifikation erfolgen, bei der die Sicherheitsfaktoren Wissen (Zugangsdaten) mit Besitz (Token) kombiniert werden. Nur Nutzer, die die Option hohes Sicherheitsniveau gewählt haben, können  uneingeschränkt sämtliche Funktionalitäten der De-Mail, darunter auch Versand- und Empfangsnachweise, nutzen.

Gesetzliche Rahmenbedingungen

Rechtsgrundlage für De-Mail-Dienste ist das am 4. Februar 2009 verabschiedete, maßgeblich vom Bundesministerium des Inneren (BMI) initiierte Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften. Diese, kurz De-Mail-Gesetz genannten, Normen definieren die Mindestanforderungen an den sicheren elektronischen Nachrichtenaustausch.

Praxishinweise
  • Folgende Privatunternehmen bieten den De-Mail-Dienst an:

    • Deutsche Telekom,
    • T-Systems,
    • 1&1 (u.a. für GMX und web.de) und
    • Mentana Claimsoft (Tochter von Francotyp-Postalio).
  • Aufsichtsführende und akkreditierende Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Quellen

BSI: De-Mail – eine Infrastruktur für sichere Kommunikation

Deutsche Telekom