Während die Unternehmensberatungen auf Beratungsbedarf bei potenziellen De-Mail-Kunden hoffen, wird bei der Beratung zum E-Government-Gesetz (offiziell: „Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften"; PDF) wieder einmal die Ende-zu-Ende-Verschlüsselung der Mails gefordert.
Das Gesetz soll die elektronische Kommunikation mit der Verwaltung erleichtern, indem die Schriftform neben der qualifizierten elektronischen Signatur auch durch zwei andere sichere Verfahren ersetzt werden kann. Dies sind zum einen Verwaltungsformulare in Verbindung mit sicherer elektronischer Identifizierung etwa durch die Online-Ausweisfunktion des neuen Personalausweises und zum anderen der Einsatz von De-Mail.
Was für eine Zeitgleichheit. Das Beratungsunternehmen Bearingpoint hatte am 20. März in seine Berliner Niederlassung am Kurfürstendamm eingeladen, um seinen neuen De-Mail-Showroom vorzustellen. Im Rahmen des Kompetenzzentrums „De-Mail in der deutschen Verwaltung" sowie der E-Government-Initiative für De-Mail und den neuen Personalausweis hat Bearingpoint nach eigenen Angaben seit 2010 35 De-Mail-Projekte bei Bund, Ländern und Kommunen durchgeführt.
Dort wollen die Berater, die an der Ausarbeitung der Konzepte für De-Mail seit Beginn des Projekts im Jahr 2006 maßgeblich beteiligt waren, allen Interessierten Fragen über die nötige technische Infrastruktur und die Organisationsvoraussetzungen beantworten sowie Umsetzungsmodelle und Anwendungsbeispiele von De-Mail präsentieren.
Antworten gab es etwa auf Fragen wie: Welche Prozesse sind für De-Mail geeignet, und wie kann De-Mail in diese Kommunikationsprozesse integriert werden? Welche organisatorischen Rahmenbedingungen müssen dafür geschaffen werden, und welche Produkte existieren bereits am Markt?
Mit Peter Batt, ständiger Vertreter des IT-Direktors im Bundesinnenministerium und Frank Wermeyer, Geschäftsverantwortlicher De-Mail bei der Deutschen Telekom, waren hochrangige Vertreter für die Einführung von De-Mail zu der vierstündigen offiziellen Eröffnungsveranstaltung erschienen. Marina Ebel, Spartenleiterin IT der Bundesanstalt für Immobilienaufgaben, vertrat die Anwenderseite.
Eröffnet: Showroom mit Anbindung an die De-Mail-Umgebung der Deutschen Telekom
Der De-Mail-Showroom ist derzeit an die De-Mail-Testumgebung der Deutschen Telekom sowie ihren De-Mail-Gateways angebunden. Sukzessive sollen weitere De-Mail-Provider, -komponenten und -Schnittstellen hinzukommen. Interessenten an Einsatzszenarien und De-Mail-Systemen im Showroom können sich unter der E-Mail-Adresse „de-mail-showroom@bearingpoint.com" anmelden.
Bearingpoint sieht naturgemäß vor allem die Chancen für Behörden, Unternehmen und Bürger der neuen rechtsicheren Kommunikation. Hauptgesprächsthema in den Pausen und am Buffet war jedoch die am selben Tag stattgefundene Anhörung von 12 bis 14 Uhr in der 100. Sitzung des Innenausschusses des Deutschen Bundestages (PDF) zum geplanten E-Government-Gesetz der Bundesregierung, in der der Linus Neumann als Sachverständiger des Chaos Computer Clubs (CCC) noch einmal die Ende-zu Ende-Verschlüsselung der De-Mails gefordert hatte.
Neben Neumann waren als Sachverständige geladen: Reinhard Dankert, der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern, Schwerin; Helmut Fog, Deutscher Städtetag, Berlin; Professor Ralf Müller-Terpitz von der Universität Passau, Bernhard Rohleder vom Bitkom und Dirk Stocksmeier von der Berliner Init AG.
In einer Presseerklärung begründete der CCC seine Auffassung. Die Ende-zu-Ende-Verschlüsselung war bereits vor zwei Jahren von Datenschützern und dem CCC gefordert worden.
Ziel des E-Government-Gesetzes sei es, so die Argumentation des CCC, „durch die Vermeidung echter Ende-zu-Ende-Verschlüsselung eine Abhör-Hintertür für Polizei und Geheimdienste zu eröffnen." Während des Transports der De-Mail findet beim De-Mail-Provider eine kurzzeitige automatisierte Entschlüsselung zum Zweck der Überprüfung auf Schadsoftware statt.
CCC: Bürger sollen Open PGP, GNU Privacy Guard oder S/MIME nutzen
Frank Rieger, Sprecher des CCC, sagte: „Es kann nur als Witz gemeint sein, dass De-Mail trotz lange bekannter Schwächen per Gesetz nun zum Standard für Behördenkommunikation erhoben werden soll. Damit wird sehenden Auges ein völlig lächerliches Sicherheitsniveau festgeschrieben, das in der Industrie und bei Berufsgeheimnisträgern niemals akzeptabel wäre."
Der CCC möchte das Projekt De-Mail ersatzlos streichen. Die Bürger sollten sich an existierenden Alternativen wie etwa Open PGP, GNU Privacy Guard oder S/MIME orientieren. Die De-Mail sorge weder für Vertrauen in die Behördenkommunikation noch für mehr Sicherheit, so der CCC. Ob der CCC allerdings damit Recht hat, wenn er behauptet, „die Bevölkerung verweigerte dem Dienst bisher konsequent die Nutzung", sei dahingestellt, weil es ja bisher nur wenige Anwendungsszenarien für den Einsatz von De-Mails gibt.
Auch Mecklenburg-Vorpommerns Landesbeauftragter für den Datenschutz, Reinhard Dankert, kritisierte bei der Anhörung, dass bei De-Mails keine Ende-zu Ende-Verschlüsselung angeboten wird. In den Anforderungskatalog des De-Mail-Gesetzes solle aufgenommen werden, dass De-Mail-Diensteanbieter ihren Kunden ein solches Verschlüsselungsverfahren anbieten müssen, forderte er.
Der Sachverständige Bernhard Rohleder, Hauptgeschäftsführer beim IT-Herstellerverband-Bitkom, wandte sich in der Anhörung hingegen gegen überzogene Sicherheitsbedenken, diese seien „absolut kontraproduktiv". Dirk Stocksmeier von der Init AG sagte, die De-Mail besteche derzeit durch die einfache Benutzbarkeit. Für Ende-zu-Ende-Verschlüsselungen brauche man hingegen zusätzliche Komponenten auf dem Rechner.
Der Bundesdatenschutzbeauftragte hat sich ebenfalls ausführlich mit der Problematik beschäftigt und eine „Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail" (PDF) veröffentlicht.
„Eine Ende-zu-Ende-Verschlüsselung als durchgängige Verschlüsselung zwischen Versender und Empfänger bietet sich für eine Versendung besonders schutzbedürftiger Daten an", schreibt Peter Schaar. Dies werde vom De-Mail-Gesetz jedoch nicht gefordert. Die Anbieter dürften den Versand Ende-zu-Ende-verschlüsselter Nachrichten lediglich nicht verhindern.
Schaar: Nutzer müssen sich selbst um Verschlüsselung kümmern
Faktisch bedeute dies, dass sich die Nutzer selbst um die Installation und Nutzung einer Verschlüsselungssoftware kümmern müssen. Eine Prüfung auf Schadsoftware könne der Anbieter dann allerdings nicht durchführen.
Schaar sieht jedoch Chancen für eine Weiterentwicklung in der Zukunft: „Der Entwicklungsstand der Technik und die tatsächliche Verfahrensweise im Umgang mit De-Mail muss beobachtet werden. Daraus können sich in Zukunft neue oder andere Anforderungen des Datenschutzes an die Verwendung von De-Mail und die Verschlüsselung ergeben", so der Bundesdatenschutzbeauftragte weiter. Die Provider seien aufgefordert, leicht handhabbare Verschlüsselungsoptionen für die Nutzer zu entwickeln.