Wohl kaum jemand würde auf die Idee kommen, Gehaltsabrechnungen, Bankdaten oder die Jahresbilanz auf eine Postkarte zu schreiben und diese zu verschicken. Dennoch geschieht dies jeden Tag, unzählige Male, überall in Deutschland: Per E-Mail. Dort wo in der analogen Welt gesunde Vorsicht herrscht, wird diese in der digitalen Welt ignoriert.
Der Inhalt im Überblick
Das Problem
Das Problem dabei ist, dass viele gar nicht wissen, dass die E-Mail letztlich so einfach mitgelesen werden kann, wie eine Postkarte. Grund hierfür ist das der E-Mail zugrunde liegende „Simple Mail Transport Protocol“, kurz SMTP. Dieses dient zum Austausch von E-Mails zwischen Computernetzen und ist – wie der Name schon vermuten lässt – recht simpel, da es ein textbasiertes Protokoll ist. Über ein weiteres Protokoll, Telnet, ist es daher möglich, sowohl E-Mailabsender und –empfänger zu verändern, so dass die Authentizität einer E-Mail nicht garantiert werden kann. Gleiches gilt für die Integrität von E-Mails, also den Schutz des E-Mailinhaltes. Dass dabei auch kein wirksamer Datenschutz vorliegen kann, liegt wohl auf der Hand.
Die Lösung
Die Lösung für fehlende Integrität, Authentizität oder unsicheren Inhalt bietet eine Verschlüsselung. Dabei ist mit einer Verschlüsslung nicht etwa ein bloßer Passwortschutz für etwaige Anhänge gemeint, denn dieser stellt lediglich einen Schutz vor unberechtigtem Zugriff, aber keine Kryptografie dar. Das bedeutet, dass trotz Einsatz eines Komprimierungsprogrammes (zip, rar) der Text weiterhin (aus-)lesbar bleibt. Bei der Verschlüsselung hingegen wird ein klar lesbarer Text mit Hilfe eines Verschlüsselungsverfahrens in eine „unleserliche“, das heißt nicht einfach interpretierbare Zeichenfolge umgewandelt. Allein eine Verschlüsselung in diesem Sinne kann die Anforderungen der Weitergabekontrolle i.S.d. Anlage zur § 9 BDSG erfüllen. Leider sind Anwendungen wie etwa PGP, die eine sichere Verschlüsselung ganzer E-Mails bieten, recht aufwendig zu implementieren und finden deshalb selten Gebrauch beim „Normal-User“.
Die Praxis
Aus diesem Grund hat sich die generelle Verschlüsselung in der Praxis nie so recht durchgesetzt. Doch damit soll nun Schluss sein, denn nun gibt es zwei Möglichkeiten, E-Mails verschlüsselt zu verschicken: E-Postbrief und De-Mail.
Beide wollen nun schaffen, was sich bisher nicht so richtig durchsetzen konnte, nämlich eine einfache E-Mailverschlüsselung, ohne Installation von zusätzlicher Software auf dem Rechner. Unterschied zwischen beiden ist, dass der E-Postbrief ein Angebot der Deutschen Post ist und die De-Mail von anderen Dienstleistern angeboten werden kann – wie etwa von der Telekom oder gmx.de und web.de. Dienstleister, die die De-Mail anbieten wollen, müssen ein vorgeschriebenes Zertifizierungsverfahren durchlaufen, das beim E-Postbrief nicht existiert. Gemein ist beiden Angeboten, dass die Nachrichten verschlüsselt werden und damit eine (vermeintlich) sichere Kommunikation erfolgt.
Die Skeptiker
Dennoch gibt es wie immer Kritik – und zwar an beiden Varianten. Beim E-Postbrief standen insbesondere die AGB heftig in der Kritik, die etwa Fragen zu Datenverwendungen für Werbezwecke, zur Weitergabe von Daten sowie zur Speicherung von Daten und dem damit einhergehenden Verstoß gegen das Briefgeheimnis aufwarfen.
Bei der De-Mail bezog sich die Kritik vor allem auf die fehlende Ende-zu-Ende-Verschlüsselung. Denn diese ist bei der De-Mail nicht gesetzlich vorgeschrieben, so dass die Daten für eine kurze Zeit im Klartext beim Provider liegen. Dies wurde auch noch nach Verabschiedung des De-Mail-Gesetzes vom Bundesbeauftragten für Datenschutz kritisiert, was die Skepsis und Ablehnung weiter anhalten lässt.
Das Fazit
Bei aller, teilweise auch berechtigten Kritik sollte eines nicht vergessen werden: Beide Dienste machen das Verschicken von E-Mails mit sensiblen Daten durch die erfolgende Verschlüsselung sicherer. Die Anbieter des De-Mail-Dienstes müssen einen langen Weg der Prüfung durchlaufen, bis sie akkreditiert sind und den Dienst überhaupt anbieten dürfen (§ 17 De-Mail-G).
Natürlich sind Schwachstellen vorhanden, deren Verbesserungen noch Luft nach oben lassen. Dennoch dürfte auf der Hand liegen, dass ein Umschlag sicherer ist als eine Postkarte.
Hallo, sehr guter Beitrag. Mit gefällt vor allem das pragmatische Feedback, denn De-Mail macht mailen erst einmal sicherer, wenn auch noch nicht optimal. Aber das ist ja genau der Ansatz, um überhaupt ein große Verbreitung zu erreichen. Wenn denn Ende-zu-Ende Verschlüsselung wirklich nötig ist (die Datenschutzsensibilität des normalen Users ist ja oft geringer als eigentlich nötig) kann man diese über De-Mail z.B. durch intelligente Verschlüsselungsgateways addieren. Das De-Mail Verzeichnis bietet sogar eine gute „Ablage“ für öffentliche Schlüssel.