Sicherheit: E-Mail – streng vertrauliche Standards

Die allgemein übliche elektronische Kommunikation ist über die Phase der Postkarte bislang nicht sehr weit hinausgekommen. Wer eine E-Mail (unverschlüsselt) verschickt, muss damit rechnen, dass der Inhalt von dritter Seite mitgelesen oder gar verändert wird. Und ob der Absender wirklich der ist, der er vorgibt zu sein, ist nicht immer nachprüfbar. Jetzt plant die Bundesregierung den Einstieg in die sichere E-Mail-Moderne, zumindest innerhalb Deutschlands.

Am Mittwoch liegt der Gesetzentwurf für "Bürgerportale" im Bundeskabinett. Mit dem Projekt unter Federführung des Bundesinnenministeriums (BMI) soll eine sichere und rechtsverbindliche Form der E-Mail in Deutschland eingeführt werden. "Bürgerportale bilden", heißt es im Gesetzentwurf, "eine elektronische Kommunikationsplattform im Internet, deren Dienste sicheren elektronischen Geschäftsverkehr für jedermann ermöglichen und das Internet als Mittel für rechtsverbindliches und vertrauliches Handeln ausbauen".

Ab dem kommenden Jahr, so sieht es das BMI vor, könnten Provider die sicheren E-Mails anbieten. Diese Variante einer E-Mail-Adresse enthielte danach standardmäßig den Zusatz "de-mail". Aus Nina.Alm@gmx.de etwa würde Nina.Alm@gmx.de-mail.de. Bei Namensdopplungen würden Zahlen eingefügt. Die alte Adresse könnte erhalten bleiben, die sichere Variante wäre eine im Bedarfsfall wählbare Option. "Wir schaffen den rechtsverbindlichen Rahmen für einen neuen Markt im Bereich sicherer und vertraulicher elektronischer Kommunikation", verspricht der Staatssekretär im BMI, Hans Bernhard Beus. "De-Mail soll so einfach zu nutzen sein wie E-Mail und dabei so sicher wie die Papierpost."

Eine zentrale Datenhaltung soll es nicht geben

Das BMI ist über das Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Umsetzung des Projekts beteiligt. Das BSI wird die Stelle sein, die die Provider zum Anbieten der "De-Mail" zertifiziert. So soll ein bundeseinheitlicher Standard garantiert werden, was die Sicherheit, aber auch was den Datenschutz betrifft. International, heißt es im BMI, gebe es derzeit kein vergleichbares Projekt.

Für die "De-Mail" zertifizieren lassen können sich alle Provider. Größere Unternehmen mit eigenem Intranet werden durch ein Gateway angeschlossen. Der Verbund der "De-Mail"-Anbieter basiert auf gegenseitig authentifizierten und verschlüsselten Kommunikationskanälen. Daten werden vor dem Versenden unmittelbar chiffriert und integritätsgeschützt.

Um den Dienst in Anspruch nehmen zu können, muss sich ein Nutzer einmalig zweifelsfrei identifizieren, etwa durch Vorzeigen seines Ausweises bei einer zugelassenen Stelle. Oder künftig auch mithilfe des elektronischen Personalausweises. Über diesen Weg könnten zukünftig digitale Einschreiben verschickt und elektronische Zustellbestätigungen ausgestellt werden. Den Nutzern soll außerdem auf einer virtuellen Festplatte beim Provider ein Dokumentensafe zur Verfügung stehen, in dem digitale Versicherungspolicen oder auch Steuernachweise abgelegt werden könnten.

Das BMI betont aber, dass es keine zentrale Datenhaltung geben werde. Man habe in der Entwicklung auf datenschutzfreundliche Bestimmungen Wert gelegt. Bedenken, der "De-Mail"-Dienst biete ein Einfallstor für staatliche Überwachung, weist das BMI auch mit dem Verweis darauf zurück, dass man in der Praxis später lediglich die Rolle der Zertifizierung übernähme. Die praktische Umsetzung solle bei den Unternehmen liegen. Auch die Kosten für das Angebot legen die Provider fest.