De-Mail - Telekom lässt prüfen

E-Postbrief jetzt mit TÜV-Siegel

26.10.2011 von Johannes Klostermeier
Bayern testet derzeit den E-Postbrief. Der hat jetzt ein Sicherheits-Siegel vom TÜV - offen ist, wie es bei der Post mit der De-Mail-Akkreditierung weitergeht.

Der E-Postbrief hat das Zertifikat „Trusted Site Privacy" der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) bekommen. Das Zertifikat bestätigt nach Postangaben, dass die E-Postbrief-Plattform der Deutschen Post hohe Anforderungen an Rechtskonformität, Datenschutz und Sicherheit erfüllt.

Antonius Sommer, Geschäftsführer der TÜViT (links), und Ralph Wiegand, Mitglied des Bereichsvorstands Brief der Deutschen Post, bei der Übergabe des Zertifikats.
Foto: Deutsche Post

Mit dem TÜV-Prüfzeichen für die E-Postbrief-Plattform will die Deutsche Post sich als Anbieter für sichere und bequeme elektronische Kommunikation positionieren. „Das Zertifikat bestätigt einmal mehr den hohen Qualitäts- und Sicherheitslevel des E-Postbriefs. Und es dokumentiert, dass unser Produkt rechtskonform ist", stellt Ralph Wiegand, Mitglied des Bereichsvorstands Brief der Deutschen Post, fest.

Im August war die Verbraucherzentrale Bundesverband (vzbv) gegen die Werbung der Post für den E-Postbrief vor das Landgericht Bonn gezogen und hatte Recht bekommen. Das Gericht hielt die Werbung mit der angeblichen Verbindlichkeit des E-Postbriefs für irreführend und befand: "Die Aussage: „Der E-Postbrief ist so sicher und verbindlich wie der Brief" ist unwahr" (Az. 14 O 17/11). Denn, so erläutert es die Stiftung Warentest auf ihrer Website: So „verbindlich wie ein Brief ist die Kommunikation per E-Postbrief eben gerade nicht. Für Rechtserklärungen, für die das Gesetz oder das Kleingedruckte eines Vertragspartners die sogenannte Schriftform vorsehen, taugt der E-Postbrief nicht."

Für bestimmte rechtsverbindliche Erklärungen ist aktuell die Schriftform zwingend vorgeschrieben, etwa bei der Kündigung eines Wohnungsmietvertrages oder wenn das Kleingedruckte eines Vertragspartners die Schriftform vorsieht. Das geht nur mit Einsatz der qualifizierten elektronischen Signatur, die beim E-Postbrief nicht eingesetzt wird. Die Deutsche Post erklärt: "Aus unserer Sicht haben wir in unserer Werbung und Kommunikation keine irreführenden Werbeaussagen getätigt. Daher vertreten wir an dieser Stelle auch eine andere Rechtsauffassung als das Landgericht Bonn und haben Berufung eingelegt." Auch nach Auskunft des Landgerichts Bonn ist das Urteil noch nicht rechtskräftig.

Der E-Postbrief ist jetzt TÜV-geprüft.

Gegenstand des E-Postbrief-Auditings des TÜViT waren Komponenten, die aus Sicht des Anwenders zur alltäglichen Nutzung des E-Postbriefs benötigt werden, einschließlich der Billing- und Support-Prozesse. Unter anderem seien folgende Bereiche geprüft worden: Rechtskonformität, Zulässigkeit der Verarbeitung, Anwenderfreundlichkeit, Kundenfreundlichkeit, Transparenz, Datenschutz, Qualitätsmanagement und Datensicherheit.

Als Bestandteil der Prüfung unterzog TÜViT den E-Postbrief einer umfangreichen sicherheitstechnischen Untersuchung. Resultat: Die verwendete System-Technik und ihre Komponenten entsprechen den hohen Sicherheitsanforderungen der Prüfstelle. Das von TÜViT ausgestellte Zertifikat „Trusted Site Privacy" ist bis Juli 2013 gültig, wird aber jährlichen Überprüfungen unterzogen. Nicht geprüft wurden die hybride Zustellung des E-Postbriefs, das Postident-Verfahren, Kundenservice und Mehrwertdienste.

Bereits im vergangenen Jahr hatten die TÜViT-Auditoren das Informationssicherheitsmanagement der Deutschen Post für den E-Postbrief überprüft. Aufgrund der positiven Auditergebnisse hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Zertifikat nach ISO 27001 im Dezember 2010 vergeben. Mit diesem Zertifikat bescheinigt das BSI, dass der E-Postbrief die Sicherheitsanforderungen der internationalen ISO-Norm erfüllt und die Überprüfung der technischen Aspekte nach IT-Grundschutz bestanden hat.

Altersverifikation mit E-Postbrief möglich

Die Kommission für Jugendmedienschutz der Landesmedienanstalten (KJM) wiederum hat die E-Postbrief-Lösung der Post als „übergreifendes Jugendschutz-Konzept" eingestuft, teilte die Deutsche Post ebenfalls mit.

Mit dieser Einstufung besitze der E-Postbrief "das höchstmögliche Qualitätsniveau zur Altersprüfung im Internet". Onlinehändler, die den E-Postbrief bei Kundenbestellungen einsetzen, erfüllen somit bei korrekter Umsetzung des von der KJM bewerteten Konzeptes die rechtlichen Vorgaben des Jugendschutzes.

Der E-Postbrief stelle sicher, dass altersbeschränkte Content- und Softwaredownloads nur von volljährigen Kunden erworben werden. „Der E-Postbrief ermöglicht Anbietern von Bezahl-Downloads durch die attestierte Altersverifikation neue Chancen zur Vermarktung ihrer Produkte", sagte hierzu Ralph Wiegand, Mitglied des Bereichsvorstands Brief der Deutschen Post.

Der Kunde gibt bei der Online-Bestellung seine E-Postbrief-Adresse an. Sie gilt als zweifelsfreier Beleg für seine Identität und Volljährigkeit: Denn wer sich für den E-Postbrief registrieren lässt, muss mindestens 18 Jahre alt sein und sich in einer Postfiliale persönlich mit seinem Personalausweis identifizieren. Der Online-Anbieter sendet dem Besteller dann einen Sicherheitscode an dessen E-Postbrief-Adresse. Mit diesem Code kann der Kunde die Online-Bestellung abschließen und den Download starten. Für indizierte Software und Content, die besonderen Jugendschutzbestimmungen unterliegen, gibt der Käufer als zusätzliche Sicherheitsstufe noch seine Handy-Tan ein.

Wird Deutsche Post De-Mail-Diensteanbieter?

Unklar ist, ob sich die Deutsche Post als De-Mail-Anbieter akkreditieren lässt.

Was sowohl die De-Mail von Deutscher Telekom und United Internet als auch der E-Postbrief der Deutschen Post noch vor sich haben, ist die Akkreditierung als De-Mail-Diensteanbieter nach dem De-Mail-Gesetz (PDF) durch das BSI. Im Rahmen der Akkreditierung müssen alle künftigen De-Mail-Diensteanbieter nachweisen, dass sie die durch das De-Mail-Gesetz geforderten hohen Anforderungen an die organisatorische und technische Sicherheit der angebotenen De-Mail-Dienste erfüllen.

Die Voraussetzungen dazu sind in der Technischen Richtlinie des BSI festgeschrieben. Bei der Prüfung handelt es sich laut BSI um einen zweistufigen Prozess. Die eigentlichen Prüfungen werden durch unabhängige Prüfstellen und Auditoren durchgeführt, die vom BSI für De-Mail anerkannt oder zertifiziert wurden. Die Prüfberichte werden danach von unabhängigen IT-Sicherheitsdienstleistern validiert, die ebenfalls vom BSI zugelassen sein müssen. Bei erfolgreicher Prüfung stellen diese so genannte Testate aus, die den Anbietern von De-Mail-Diensten die Erfüllung der Anforderungen bescheinigen. Eine zusätzliche Prüfung der Einhaltung der datenschutzrechtlichen Anforderungen erfolgt durch ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Die Deutsche Telekom hat nach eigenen Angaben damit begonnen und will das Verfahren bis zur Cebit 2012 durchlaufen haben. United Internet wird später die Systeme der Deutschen Telekom mit ihren eigenen Marken nutzen. Mentana Claimsoft steckt nach eigenen Angaben ebenfalls im Prozess und hofft auf die Akkreditierungsbestätigung Anfang Januar kommenden Jahres. Ob die Deutsche Post den Prozess mit ihrem Produkt bereits begonnen hat oder überhaupt anstrebt, ist unklar. Offiziell heißt es nur: "Die Deutsche Post AG mit ihrem am Markt befindlichen Produkt E-Postbrief prüft eine Akkreditierung als De-Mail-Diensteanbieter."

Was De-Mail ist und wie die sichere E-Mail funktioniert, erklärt auch eine neue Broschüre, („De-Mail "Sicherer elektronischer Nachrichtenverkehr – einfach und nachweisbar"), die das BSI zur IT-Sicherheitsfachmesse it-sa in Nürnberg veröffentlicht hat (PDF).

Behörde in Bayern setzt E-Postbrief im Testbetrieb ein

Als erstes deutsches Bundesland setzt nach Angaben der Deutschen Post Bayern den E-Postbrief der Deutschen Post in der staatlichen Verwaltung ein. Die bayerische Vermessungsverwaltung lotet in einem Testbetrieb Einsatzmöglichkeiten für das bequeme und sichere Kommunikationsmedium aus. Weitere Testbehörden sollen folgen. Der Testbetrieb startet noch in diesem Jahr im Vermessungsamt Straubing und am Landesamt für Vermessung und Geoinformation. Bürger und Unternehmen erhalten während der Pilotphase die Möglichkeit, per E-Postbrief elektronisch mit der Behörde zu kommunizieren. „Wir wollen in Bayern eine schnelle und sichere elektronische Kommunikation zwischen Bürgern, Wirtschaft und Verwaltungsbehörden etablieren", sagte Finanzstaatssekretär Franz Josef Pschierer, IT-Beauftragter der Bayerischen Staatsregierung.

Als erste deutsche Großstadt bietet die Stadt Bonn seit dem 15. April ihren Bürgern die Kommunikation per E-Postbrief an. Sie können seitdem der Verwaltung elektronische Nachrichten über ihren privaten E-Postbrief-Account an stadtverwaltung@bonn.epost.de zukommen lassen. Zum Start der Kooperation hatte Oberbürgermeister Jürgen Nimptsch einen Vertrag mit dem Bonner Unternehmen Deutsche Post unterzeichnet. Über allgemeine Anfragen hinaus kann man den E-Postbrief nutzen für die Anliegen Bewohnerparken, Gewerbe-An-, -ab- und –ummeldung, den Antrag auf Sondernutzung und die Ausnahmegenehmigung Umweltzone.

Tipp: Mehr über die IT-Strategien in öffentlichen Verwaltungen erfahren Sie im Public ICT Newsletter.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.