Datenschutz- und IT-Sicherheitsbeauftragte können ein Lied davon singen: Wo ist die praktische und kostengünstige Möglichkeit, E-Mails sicher durch das Netz zu schicken? Da bislang alle Lösungen spätestens an der Unfähigkeit Verzweiflung von technikfernen Endbenutzern scheiterten, blickt die Republik gespannt auf De-Mail: So einfach wie E-Mail, so sicher wie Papierpost soll es sein. Der Dienst soll ab dem kommenden Jahr sowohl für Bürgerinnen und Bürger wie für Unternehmen und Behörden zur Verfügung stehen.
Um daran teilnehmen zu können, benötigt man ein spezielles E-Mail-Konto, für dessen Eröffnung sich Privatpersonen einmal zuverlässig identifizieren müssen – entweder mit dem PostIdent-Verfahren oder künftig auch mit dem neuen Personalausweis.
Nach der o.g. Broschüre wird der Kontoname bei Privatpersonen im folgendem Format Vorname.Nachname[.Zahl]@providerxy.de-mail.de gebildet werden. Die Zahl bezeichnet dann die laufende Nummer bei gleichen Namen (liebe Michael Müllers: es wird eng, denn bei einer Nutzungsrate von angestrebten 80 % werdet ihr euch die Mail-Adresse michael.mueller.6932271@gmx.de gut merken müssen…).
Bei Unternehmen ist man kulanter – hier darf aus dem eigenen Domain-Namen eine De-Mail-Subdomain gebildet werden. De-Mails sind auf dem Transport verschlüsselt (wohl keine Ende-zu-Ende-Verschlüsselung). SPAM soll dadurch verhindert werden, dass Absender von De-Mails über eine sichere Erstidentifizierung eindeutig bekannt sind.
Für die Umsetzung des ehrgeizigen Projekts wählte man die Variante, dass der Staat die Vorgaben liefert und die Umsetzung durch zertifizierte Provider erfolgt. Bald schon meldeten sich erste Kritiker an, vor allem wegen der als unzureichend empfundenen Verschlüsselung – eigentlich ja das Kernstück einer sicheren E-Mail-Kommunikation. Kritikpunkt ist dabei auch (im Zuge der Diskussion um Online-Durchsuchungen und staatliche Überwachung), dass die Übertragungssicherheit nicht vom Benutzer gelenkt werden kann, sondern den vom Bundesamt für Sicherheit in der Informationstechnologie BSI akkreditierten Providern überlassen wird.
Wie heise.de meldete, ist nun ein Referentenentwurf zum kommenden De-Mail Gesetz erstellt worden.
Die wichtigsten Regelungen im Einzelnen: Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten. Hat sich ein Bürger bei einem De-Mail-Provider registriert und einer Behörde mit Preisgabe seiner De-Mail-Adresse angezeigt, dass er die elektronische Kommunikation akzeptiert, so kann diese ihm Verordnungen und Bescheide per Mail zustellen. Wie bei der Papierpost gilt die Zustellfiktion des Verwaltungszustellungsgesetzes, dass ein Bescheid nach drei Tagen zugestellt ist, auch wenn der Bürger in dieser Zeit nicht in sein De-Mail-Postfach schaut oder im Ausland weilt.
Interessant wird es dann noch bei der Beweislast: Will der Bürger nachweisen, dass ein Bescheid nicht sein Postfach erreicht hat, reicht die Glaubhaftmachung einer nicht oder verspätet erfolgten Zustellung wie bei der Briefpost nicht mehr aus, weil ein „Vollbeweis“ erforderlich ist. Im Kommentar des Referentenentwurfes heißt es:
Damit übernimmt der Empfänger in Fällen, in denen das Verwaltungsverfahren auf sein Verlangen in elektronischer Form abgewickelt werden muss, die Beweislast für den Nichtzugang oder verspäteten Zugang des elektronischen Dokuments. Auf diese Weise wird der missbräuchlichen Widerlegung der Zustellungsfiktion, z. B. um eine Genehmigungsfiktion eintreten zu lassen, entgegengewirkt.
Fluch oder Segen? Das wird sich in den kommenden Monaten wohl erst zeigen.
DE-Mail: Was es alles kann – und auch nicht …
Es gibt schon länger Alternativen, so wie etwa Opolis Secure Mail, die mehr können, global anwendbar sind und auch noch gratis sind …
Ausserdem: Bei Opolis entscheidet der Absender, was der Empfänger mit der Nachricht machen darf (weiterleiten, kopieren, ausdrucken)
Natürlich gibt es Alternativen zur De-Mail. Die Frage dabei ist allerdings: Sind diese tatsächlich besser im Sinne von sicherer? Denn die De-Mail bietet vor allem den Nachweis der Identität der Kommunikationspartner sowie der Zustellung der Mail. Durch die von der De-Mail gebotene Signatur wird bestätigt, dass die Metadaten korrekt erfasst wurden und der angegebene Nachrichteninhalt vom Absender unverändert entgegengenommen wurde.