Sicherheitsexperten

Viel Kritik an De-Mail-Verschlüsselung

11.02.2011 von Johannes Klostermeier
Das De-Mail-Gesetz ist noch immer nicht vom Deutschen Bundestag verabschiedet worden. Es ist die Voraussetzung für die Einführung der rechtssicheren E-Mail. Auf einer weiteren kurzfristig auf Wunsch der SPD-Fraktion angesetzten Anhörung hatten am Montag noch einmal sieben Experten im Innenausschuss des Deutschen Bundestages Gelegenheit, Stellung zum Gesetzentwurf nehmen. Umstritten sind vor allem die fehlende Ende-zu-Ende-Verschlüsselung, die Abholbestätigung und die Frage der Domainkennzeichnung.

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, Stefan Brink, sagte am Montag in seiner Stellungnahme vor dem Innenausschuss des Deutschen Bundestages, das Anliegen des Gesetzgebers sei „gesetzgeberisch anspruchsvoll, für die Diensteanbieter herausfordernd und für die Nutzer nicht ohne Risiken." Dennoch, so Brink weiter, überwögen bei dem „Versuch, ‚Schienen im Sumpf zu verlegen‘ die Chancen". Die angenommene Nutzungsquote von 75 Prozent für die öffentliche Hand, hält er allerdings für „übersteigert".

Die Einsparpotenziale würden deswegen „wohl wesentlich niedriger" ausfallen. Der Gesetzentwurf sei nicht perfekt, weil er etwa keine durchgängige Verschlüsselung vorsehe. Das Gesetz sorge jedoch für einen Standard, „einen Referenzpunkt", mit dem man grobe Nachlässigkeiten beim Einsatz von E-Mail, die Datenschutzbehörden „täglich anlässlich von Kontrollen bei bei Rechtsanwälten, Ärzten, Krankenversicherungen oder auch öffentlichen Stellen" stießen, in Zukunft besser bekämpfen könne.

Klärungsbedarf gebe es jedoch bei der sogenannten „Abholbestätigung", die bislang die Anmeldung am De-Mail-Konto bestätigt, auf sie sollte, so Brink, - auch aus Gründen der Datensparsamkeit - ganz verzichtet werden, empfiehlt er.

Der Nutzer übernehme durch das Gesetz „weitgehende Obliegenheiten". Den eigenen Zugang vor Schadsoftware abzusichern, hält Brink dabei für eine „nahezu unlösbare Aufgabe". Kritik an der fehlenden Ende-zu-Ende-Verschlüsslung der De-Mails hält Brink zwar für „nachvollziehbar", das Nichtvorhandensein sei jedoch „verschmerzbar". Jedem Nutzer stände es offen, selbst für eine hinreichende Verschlüsselung zu sorgen. Weiter sei wichtig: Die Teilnahme an den De-Mail-Diensten müsste unbedingt freiwillig sein.

Der Chaos-Computer-Club lehnt das Gesetz ab.
Foto: Chaos Computer Club

Harald Welte vom Chaos Computer Club Berlin lehnte den De-Mail-Gesetzentwurf kurzerhand ab. Seine Begründung: Es gäbe bei De-Mail zahlreiche Nachteile verglichen mit der herkömmlichen Post. Staatliche Stellen könnten etwa ohne richterliche Anordnung auf die De-Mails zugreifen. Insbesondere bemängelte Welte auch die fehlende verpflichtende Ende-zu-Ende-Verschlüsselung. Mit dem vorliegenden De-Mail-Entwurf sei das Briefgeheimnis nicht gewahrt. Dass keine Ende-zu-Ende-Verschlüsselung vorgesehen sei, führe zu einem erheblichen technischen, organisatorischen und finanziellen Aufwand.

De-Mail sei zudem eine deutsche Insellösung, die gewollte Inkompatibilität mit E-Mail könne leicht zu Verwechselungen und zu fehlgeschlagener Kommunikation bei fachlich nicht versierten Anwendern führen. Vorteile von De-Mail gäbe es nur für Behörden, da „De-Mail deutlich datenintensiver ist, stärkerer staatlicher Überwachung unterliegt, und bei großem Versandvolumen vermutlich kostengünstiger als herkömmliche Post ist."

In der Anhörung verlangte Michael Bobrowski vom Verbraucherzentrale Bundesverband ebenfalls eine Ende-zu-Ende-Verschlüsselung der Daten vorzusehen. Der Bundesrat hatte in seiner Stellungnahme gleichfalls bemängelt, dass nach dem Gesetzentwurf lediglich eine „Verschlüsselung durch gängige Standards für sicheren Mailversand" gewährleistet sei. Sie werde zudem nur innerhalb des De-Mail-Netzwerkes aufrechterhalten. Verschlüsselt werde allein der Transport, nicht aber die Nachricht selbst.

De-Mail biete keinen optimalen Schutz vor Viren, Trojanern und Spam

Oliver Vossius vom Deutschen Notarverein sagte, er persönlich werde sich De-Mail „nicht antun". Vossius kritisierte, De-Mail biete keinen optimalen Schutz etwa vor Viren, Trojanern und Spam. Der Gesetzentwurf löse sein Sicherheitsversprechen derzeit nicht ein.

Diplom-Informatiker Werner Hülsemann, Experte für das „Forums Informatikerinnen für den Frieden und gesellschaftliche Verantwortung" begrüßte das De-Mail-Vorhaben grundsätzlich, auch er forderte aber Änderungen. Eine nicht zu erfüllende Erwartung sei die Aussage, die Nutzung von De-Mail spare Geld: „Solange die Preise für den Versand (und eventuell Empfang) von De-Mails nicht festsehen, können keinerlei Aussagen zu möglichen Kosteneinsparungen für Bürger/innen getroffen werden."

De-Mail schütze auch nicht vor Spam und Phishing, da man nicht alle E-Mails von nicht-verifizierten Absendern einfach so löschen könne. Auch Hülsemann forderte eine Ende-zu-Ende Verschlüsselung der De-Mails. Es müsse zudem sicher gestellt sein, dass De-Mail-Adressen leicht von einem Anbieter zum anderen portierbar seien. Zum Schluss rügte der anerkannte Datenschutzsachverständige noch Grundsätzliches: „Die fehlende Bürger/innenorientierung ist kontraproduktiv und schadet der Akzeptanz in der Bevölkerung."

Ein großer Hauptstreitpunkt hinter den Kulissen bei den Unternehmen, die die rechtsverbindliche Mail als Produkt einführen wollen, also die Deutsche Post mit dem E-Postbrief sowie Deutsche Telekom und United Internet, ist die Bezeichnung der De-Mail-Adresse im Domain-Teil. Ursprünglich sollte es eine Kennzeichnung (username@xxxx.de-mail.de) geben, die nur für De-Mail-Dienste genutzt werden sollte, damit die Nutzer leicht erkennen können, ob es sich um eine rechtsverbindliche E-Mail handelt. Nun lässt der Gesetzentwurf aber eine beliebige Kennzeichnung zu. Das gefällt zwar der Deutschen Post, deren E-Postbrief-Absenderkennung bekanntlich @epostbrief.de lautet.

Der Gesamtverband der Deutschen Versicherungswirtschaft hingegen hat in einer Stellungnahme ausdrücklich darauf hingewiesen: „Aus unserer Sicht ist die eindeutige Erkennbarkeit einer Adresse als-De-Mail-Adresse unerlässlich."„Nur eine auf den ersten Blick eindeutige und vor allem einheitliche De-Mail-Domainbezeichnung gibt allen Beteiligten aus Verwaltung, Wirtschaft und dem Privatbereich die Gewissheit, sich innerhalb der sicheren und rechtlich geregelten Infrastruktur zu bewegen", schreibt der Verband.

Deutsche Telekom: Uneinheitliche Kennzeichnung verwirrt Verbraucher

Die Deutsche Telekom hat ebenfalls großes Interesse an einer einheitlichen Kennzeichnung: „Wenn der Kunde nicht klar erkennen kann, welche elektronische Post rechtsverbindlich ist und welche nicht, wird er sie nicht nutzen, weil er ihr nicht vertraut. Und das gefährdet den Erfolg von De-Mail insgesamt", sagte Gert Metternich, der für De-Mail zuständige Projektleiter bei der Deutschen Telekom.

Die einheitliche Domain mit dem Wortbestandteil 'De-Mail' sei von Projektbeginn an ein wesentliches Sicherheits- und Erkennungsmerkmal der De-Mail gewesen, argumentiert die Telekom. Würde diese wegfallen, könne jeder Anbieter seine Adressen frei gestalten. Der Kunde wäre dann mit einer Vielfalt von rechtsverbindlichen Adressen konfrontiert. Er könne dann nicht mehr unterscheiden, sagte Metternich. Außerdem gefährdeten uneinheitliche De-Mail-Adressen erheblich die Bereitschaft von Unternehmen, den Anbieter zu wechseln. Das beträfe alle Unternehmen, besonders aber die kleinen und mittelständischen. Diese könnten bei einem Wechsel ihre Adressen nicht mitnehmen.

De-Mail sei ein Quantensprung, lobt Bitkom-Präsident August-Wilhelm Scheer.
Foto: Bitkom

Der Hightech-Lobbyverband Bitkom begrüßte in einer Stellungnahme die Einführung von rechtsverbindlichem E-Mail-Verkehr. „Gegenüber der bisherigen E-Mail bedeutet De-Mail einen Quantensprung in puncto Sicherheit", so Bitkom-Präsident August-Wilhelm Scheer. De-Mail mache Deutschland „weltweit zum Vorreiter beim sicheren und verbindlichen E-Mail-Verkehr" und würde E-Government „ein großes Stück nach vorne bringen", so Scheer weiter. Durch wegfallende Porto-, Druck- und Verpackungskosten könnten pro Jahr im öffentlichen und privaten Bereich Kosten von bis zu 1,4 Milliarden Euro vermieden werden.

Bitkom-Vertreter Bernhard Rohleder sagte, es gebe einen „deutlichen Fortschritt in der Transport-Verschlüsselung". Bei der Frage, ob es auch eine Ende-zu-Ende-Verschlüsselung geben müsse, solle sich jedes Unternehmen und jede Privatperson selbst aussuchen können, wie viel Sicherheit man möchte.

Aus Sicht des Bitkom sei es nicht sinnvoll, Ende-zu-Ende-Verschlüsselung als Standard zu verlangen, denn in den meisten Fällen reiche das Standard-Sicherheitsniveau der Transportverschlüsselung aus. Scheer: „Für die meisten Mails wäre eine Ende-zu-Ende-Verschlüsselung überdimensioniert." Für besonders vertrauliche Mailkorrespondenz könne zusätzlich die Software zur hochsicheren Ende-zu-Ende-Verschlüsselung installiert werden.

Soll der Markt über die Verschlüssselung entscheiden?

Kurt Kammerer von der Regify AG.

Professor Gerald Spindler von der Georg-August-Universität Göttingen sagte, man brauche ein „relativ hohes" Maß an Sicherheit. Er persönlich sei zwar für die Ende-zu-Ende-Verschlüsselung, doch solle das der Markt entscheiden. Wenn der Markt die Ende-zu-Ende-Verschlüsselung anbiete, solle es "den Leuten überlassen bleiben, ob sie es wollen oder nicht wollen".

Das sieht Kurt Kammerer, CEO des Post-Dienstleisters Regify AG, ganz anders. In einer E-Mail an CIO.de schreibt er: „Die De-Mail-Vertreter behaupten, Ende-zu-Ende Verschlüsselung sei ja nicht ausgeschlossen und jeder könne für sich selbst entscheiden, ob er/sie dies zusätzlich machen wolle oder nicht. Diese Behauptung ist falsch, denn die Anwendung von Verschlüsselungstechniken ist für den normalen Anwender so kompliziert, dass er es üblicherweise bleiben lässt.

In 2010 lag die Nutzung daher im fast nicht messbaren Bereich. Zur Erinnerung: De-Mail wurde dem Anwender aber ausgerechnet als ‚so sicher wie der Brief‘ angepriesen, eine Eigenschaft also, die man dem Anwender nun wohl vorenthalten will. Dieses Versprechen lässt sich nur einlösen, wenn man Ende-zu-Ende-Verschlüsselung zwingend als Standard-Funktion vorsieht."

Die Regify AG verfügt nach eigener Aussage - wie einige andere Postdienstleister auch - über Lösungen, die von Banken etwa genau deshalb eingesetzt würden, weil sie Ende-zu-Ende Verschlüsselung auf sehr anwenderfreundliche Art und Weise beinhalteten. „Seit Jahren bewährte Lösungen werden jedoch nicht in De-Mail integrierbar sein", schimpft Kammerer.

Bundestag soll am 25. Februar abstimmen

De-Mail akzeptiere keine Alternativen: „Einfacher als durch ein Gesetz, dem De-Mail-Gesetz, lässt sich seitens der De-Mail-Initiatoren Wettbewerb nicht vom Leib halten." Kammerer weiter: „Die mittelständische IT-Wirtschaft, zu der wir uns zählen, will im Wettbewerb mit anderen das beste Angebot liefern. Kundenfreundlich ist, wenn der Verbraucher aus einer Reihe von Angeboten das für ihn beste auswählen kann. Auf dieser Grundlage entsteht Innovation. De-Mail ist das Gegenteil davon."

Der jetzigen Planung des Innenausschusses des Deutschen Bundestags zufolge wird sich der Ausschuss am 23. Februar erneut mit dem Thema beschäftigen. Für den 25. Februar ist dann die 2. und 3. Lesung im Deutschen Bundestag geplant. Grundlage ist der Änderungsantrag der Fraktion der CDU/CSU und FDP zum Gesetzentwurf der Bundesregierung, „Entwurf eines Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften", BT-Drucksache 17/3630. „Damit kann das Gesetz noch vor der Cebit vom Bundestag verabschiedet werden", heißt es aus dem Innenausschuss." Das Gesetz ist durch den Bundesrat nicht zustimmungspflichtig, er soll dennoch in seiner Sitzung am 18. März beteiligt werden.

Liste der geladenen Sachverständigen:

Michael Bobrowski, Verbraucherzentrale Bundesverband e.V., Berlin
Dr. Stefan Brink, Landesbeauftragter für den Datenschutz Rheinland-Pfalz, Mainz
Werner Hülsmann, Diplom-Informatiker, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V., Konstanz
Dr. Bernhard Rohleder, BITKOM e.V., Berlin
Prof. Dr. Gerald Spindler, Georg-August-Universität Göttingen
Dr. Oliver Vossius, Deutscher Notarverein e.V., Berlin
Harald Welte, hmw-consulting, Berlin