Aug
02
2009

Bringt uns ein De-Mail in der rechtssicheren Kommunikation weiter?

Ich habe während meines Urlaubs mehrfach den Hinweis erhalten, dass ich mir mal das Thema De-Mail anschauen sollte, was ich dann gerade mal getan habe. Derzeit schwanke ich noch zwischen einem bewussten genial, das sollte doch was anschieben können, und einem unbewussten Bauchgrimmen,  weil uns womöglich der große Bruder beim Kommunizieren leichter über die Schulter schauen könnte.

In Deutschland muss bis Ende 2009 die EU-Dienstleistungsrichtlinie umgesetzt sein. Sie sieht die Pflicht der Behörden vor, auch eine elektronische Kommunikation  zuzulassen. Dazu sollen Bürgerportale durch akkreditierte Dienstleister angeboten werden, über die E-Mails in ihrer Authentizität und Integrität nachweisbar, das heißt beweissicher verschickt werden können.Das ist ja im Prinzip nichts völlig Neues. Ich muss mir heute “nur” bei einem Zertifizierungsdiensteanbieter eine Signaturkarte,  irgendwo ein Kartenlesegerät kaufen sowie eine herstellererklärte Siganturanwendungskomponente  beschaffen.  So kann ich mit elektronische Dokumente unterschreiben, die vor Gericht aufgrund ihrer hohen Beweiskraft als Beweis anerkannt werden müssen. Wenn ich dann noch das Dokument verschlüsselt verschicken möchte, beschaffe ich mir von dem Empfänger sein Zertifikat und verschlüssele innerhalb meines Mail-Clients mit dem dort darin befindlichen öffentlichen Schlüssel die E-Mail inkl. dem Anhang. Der Empfänger kann dann mit seinem privaten Schlüssel die Nachricht entschlüsseln und lesen.

Zugegeben: für eine Privatperson, die nur wenige Male ein solches Dokument erzeugt und verschickt, etwas teuer und ggf. nicht leicht erlernbar. Für  Geschäftspartner aber schon lukrativer.  Die Bürgerportale sollen die Technik vereinfache: Nicht der Absender muss die Signiertechnologie vorhalten, sondern die Dienstleister signieren, verschlüsseln und entschlüsseln, so dass sich Absender und Empfänger in einem rechtssicheren Bereich bewegen.

Jedenfalls auf den ersten Blick. Schaut man dann etwas mehr hinter die Kulisse, kann einem doch mulmig werden: Das Gesetz wurde von dem gleichen Verein auf die Reise gebracht, die den Lauschangriff initiiert hat, nämlich das Bundesministerium für Inneres. Als einer der ersten Dienstleister ist die Deutsche Telekom dabei, von der wir ja auch bzgl. Datensicherheit nicht gute Erfahrungen gemacht haben. Ob es da nicht doch einen Abhörtrojaner geben wird?

Unterm Strich sehe ich durch die De-Mail die Nutzung der qualifizierten Signatur weiter angeschoben. Was ich noch nicht ganz erkennen kann ist, ob ich meine schon vorhandene Signaturkarte weiter nutzen kann und die Behörden dann auch meine an eine E-Mail angehängten, qualifiziert signierten Dokumente akzeptieren muss.

Was mich noch wundert ist, dass das Vorhaben De-Mail relativ unbekannt ist, obwohl die Umsetzung quasi kurz bevorsteht.

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: general | Tags: , , ,

10 Comments »

  • Also ich weiss genau, dass ich eine “Staats” Mail nicht nutzen werden. Da kann ich ja auch gleich meinen Rechner zu Schäuble bringen. Ein Maildienst, der in enger Zusammenarbeit mit dem Innenministerium angeboten wird, nein danke. Zudem gibt es genügend sichere Verfahren für E-Mail Kommunikation.

    Comment | 3 August 2009
  • Zum Thema DE-Mail gibt es ein recht interessantes Interview in der Zeitschrift DOK, das auch auf Documanager.de veröffentlicht wurde: http://www.documanager.de/magazin/artikel_2178_die_de-mail_soll_sicherheit_und_datenschutz_so.html

    Abgesehen davon, dass technisch noch einiges getan werden muss (ich bin mal auf die sicheren DE-Safes gespannt …) hat die Initiative ganz erhebliche Auswirkungen. Der Bürger kann mittels DE-Mail direkt und sicher mit Behörden kommunizieren (ob nun durch das deutsche Inneministerium kontrolliert oder von der CIA am Verteiler-Knoten-Rechner abgegriffen ist relativ egal). DE-Mail ist hier ein neuer Anlauf einmal auch für den Bürger im Sinne von G2C/C2G etwas zu tun. Allerdings hat DE-mail auch noch andere Auswirkungen auf die Branche – gewisse Exklusivität gewisser Anbieter, Nachteile für die qualifizierte elektronische Signatur (braucht der Bürger diese noch, wenn man mit DE-Mail sicher kommunizieren kann?) und einige andere Aspekte.

    ich persönlich hätte es besser gefunden gleich ganz vom \"Mail\"- und \"Versenden\"-Ansatz abzurück und so etwas wie sichere Portale für die Kommunikation einzurichten.

    Also bevor man DE-mail gleich ganz als \"Staats-Mail\" abtut, würde ich erstmal abwarten wollen, ob sie überhaupt ins Laufen kommt.

    Mit den besten Grüßen,
    Dr. Ulrich Kampffmeyer
    PROJECT CONSULT Unternehmensberatung GmbH
    http://www.PROJECT-CONSULT.com

    Comment | 5 August 2009
  • Als Anwender sehe ich der DE-Mail emotionslos entgegen. Die DE-Mail ist wenn dann nur für die Kommunikation mit den Behören geeignet. Und da hätte ich mir ebenfalls ein Portal als Kommunikationsplattform gewünscht.
    Die DE-Mail kommt zu einem Zeitpunkt, zu dem es mehr als genug kostenlose Mailanbieter gibt. Mich persönlich stört es nicht, wenn Google-Mail meine Freizeitplanung oder die Einkaufsliste an den Freund mitliest, und darauf basierend mir personalisierte Werbung einblendet.

    Im Kontext für Kleinstunternehmen ist die DE-Mail schon interessanter. Wenn mit diesem Angebot alle Compliance-Bedenken à la E-Mail Archivierung mit ausgeräumt werden können, ist das ein großer Vorteil für Unternehmen mit fehlendem Know-How und Ressourcen. Hier wird die Entwicklung gegenüber “normalen” ASPs und vor allem Microsofts BPOS spannend werden, welche durchaus auch ihre Vorteile haben.
    Bei diesen Anbietern kann der Unternehmer z. B. seine Corporate Identity auf seine E-Mail-Adresse übergehen lassen in Form von @.com/de. Die Namensgebung der DE-Mail ist dafür ja leider zu starr! Wie “info@”-Adressen in Form von “ps_” umgesetzt werden sollen, frage ich mich da schon. So viel Bürokratie kann in einer E-Mail stecken!

    Comment | 5 August 2009
  • Was noch interessant wäre zu diskutieren: ist De-Mail nun förderlich für die Markteinführung der qualifizierten Signatur oder eher das Gegenteil. Wenn nun der Dienstleister im Namen des Nutzers den Ausgang und den Empfang rechtssicher qualiziert signiert, dann braucht der Anwender keine eigene Signaturkarte mehr. Auf der anderen Seite kann er die Karte aber für den Zugang auf das Protal nutzen, sprich er erreicht damit eine höhere Sicherheitsstufe.
    Martin Bartonitz

    Comment | 5 August 2009
  • Hallo Martin, wie ich schon in unserem PROJECT CONSULT Newsletter im Mai schrieb, steht die qualifizierte elektronische Signatur in Deutschland erheblich unter Druck. Da ist zu einem die Europäische Richtlinie, die bei elektronischen Rechnungen die qualifizierte Signatur abschaffen möchte. Und nun kommt noch DE-Mail mit der Option für die Endanwender, ebenfalls im Behördenverkehr auf die qualifizierte Signatur zu verzichten. Beim Thema elektronische Signatur innerhalb der öffentlichen Verwaltung lief der Trend in den letzten Jahren sowieso gegen die qualifizierte elektronische Signatur – eine fortgeschrittene tuts gerade im kontrollierten Workflow-Systemen auch. So werden zwar jetzt mehr Signaturen erzeugt werden – von den Providern von DE-Mail – und es müssen von diesen auch mehr signierte Objekte (Mails aber auch elektronische Eingangs- und Ausgangsbücher) archiviert werden – für eine flächendeckenden Verbreitung der qualifizierten elektronischen Signatur bei Bürgern und (Klein-)Unternehmen ist dies aber kontraproduktiv. Bleibt zum Schluss noch die Frage, warum die Provider eine richtige qualifizierte elektronische Signatur einsetzen müssen wo es doch eigentlich auch ein qualifizierter Zeitstempel auch tut. Schließlich reden wir hier über automatische Prozesse, wo niemand mehr mit Karte und Pin hantiert. Schöne Grüße, Uli

    Comment | 7 August 2009
  • Hallo Uli, ob sich die EU mit dem Ansinnen, die qualifizierte Signatur zu kippen durchsetzen kann, ist schon ein spannendes Thema. Das Competence Center Elektronische Signaturen des VOI hat dazu ja auch schon Stellungen bezogen und ist eher der Meinung, dass man die Anforderungen des standardisierten, gesicherten Nachweises der Authentizität und Integrität kaum anders schaffen können wird. Zudem braucht es hier sicher noch 3 Jahre, bis etwas entschieden ist.
    Es gibt aber auch andere Bewegungen, wo die qualifizierte Signatur aktuell aufgewertet ist. Der elektronische Heilberufeausweis kommt mit der Signatur. Und auch der Personalausweis und die Gesundheitskarte werden diese Funktion tragen können. Zu beobachten ist auch, dass Rechner gleich mit Kartenlesegeräte ausgestattet werden. D.h. als Privatperson sollte ich in 2-3 Jahren die Infrastruktur relativ kostengünstig bekommen können. Mit dem Zeitstempel beim De-Mail-Dienstleister gebe ich Dir Recht. Wenn der Dienstleister selbst signieren sollte, dann sollte der qualifizierte Zeitstempel reichen. Gruß, Martin

    Comment | 7 August 2009
  • Hallo Martin, ich sehe das nicht so optimistisch … die qualifizierte elektronische Signatur stand schon so oft vor dem Durchbruch … Der neue Personalausweis und die Gesundheitskarte KÖNNEN, und hierauf liegt die Betonung, können auch eine qualifizierte Signatur aufnehmen. Dies können auch andere Karten, die seit Jahren im Markt sind. Die Idee mit der Infrastruktur ist gut, aber das hatten wir auch schon – Kartenleser in der Tastatur etc. Und was wird verkauft – extra Lesegeräte mit numerischem Eingabefeld und das Ganze läuft natürlich auch nur einmal an einem Rechner. Da gibt es ja auch immer noch die Anforderungen an die “sichere UmgebunG” für die qualifizierte elektronische Signatur. Ich glaube eher, da wird was einfacheres kommen im Rahmen der wachsenden SaaS-Anwendungsangebote. Wenn irgendein großer Anbieter wie Google, Microsoft oder ähnlich so etwas wie eine authentifizierte Signatur in ihre Betriebssystem- oder Browserumgebungen einbauen und alle Anwender dies einfach benutzen können, dann wird sich die aufwändige qualifizierte elektronische Signatur deutscher Prägung nicht halten. Herzliche Grüße, Uli

    Comment | 10 August 2009
  • Ich denke das man die Frage ob DE-Mail sicher ist, erst beantworten kann wenn man die konkrete technische Umsetzung kennt. Im Prinzip ist es doch ganz einfach: sicher ist das Ganze nur dann, wenn ich als Anwender die Hoheit über das Zertifikat habe und die Signierung/Verschlüsselung auf einer von mir kontrollierbaren Plattform erfolgt. Alle Varianten, wo konzeptionell als auch technisch die Möglichkeit des Eingriffes Dritter vor/während des Signatur-/Verschlüsselungsprozesses besteht, sind einfach indiskutabel.

    Comment | 14 August 2009
  • Henning Emmrich

    In wie weit Schäuble da wirklich mitlesen will, werden wir hier sicherlich nicht klären können. Der Aufwand mit den dezentralen Providern, Zertifizierung/Akkreditierung etc. erscheint aber etwas hoch, wenn das Abhören im Fokus gestanden hätte.

    M.E. soll DE-Mail nicht die qualifizierte Signatur ersetzen, sondern den Bürgern eine Möglichkeit bieten, sicherer als heute per E-Mail zu kommunizieren. Und das ist für mich auch das reizvolle an DE-Mail. Interessant wäre die signierte und evtl. auch verschlüsselte Kommunikation für mich z.B. mit Banken, Versicherungen oder auch “ganz normalen” Firmen. Die Unternehmen können sicher sein, dass die E-Mail auch wirklich von mir kommt und ich kann mir sicher sein, dass die E-Mail wirklich angekommen ist. Damit ist DE-Mail auch für die B2B-Kommunikation durchaus interessant, denn auch hier haben sich weder die Signatur oder noch die Verschlüsselung wirklich durchgesetzt.

    Aber noch einmal zurück zur qualifizierten Signatur: DE-Mail kann und wird m.E. die qualifizierte Signatur nicht ersetzen. Immer wenn die Schriftform erforderlich ist, muss auch weiterhin die qualifizierte Signatur eingesetzt werden.

    Und noch ein Satz zum Zeitstempel: Technisch wird de facto durch den DE-Mail-Provider ein “Zeitstempel” angebracht, aber der Provider nutzt nicht den Dienst eines Dritten, sondern trägt die rechtliche Zeit ein und signiert qualifiziert. Dies ist möglich, weil der DE-Mail-Provider selbst akkreditiert wird, aber nicht als ZDA – und deswegen sind es auch keine “qualifizierten Zeitstempel”.

    Comment | 20 August 2009
  • velofisch

    Kritisch sehe ich auch den Dokumenten-Safe. Während es heute für Geheimdienste aufwendig ist beim Bürger liegende Dokumente zu fälschen, zu entfernen oder unterzuschieben, lädt das neue System geradezu dazu ein. Um Vertrauen in das System zu erhalten, müsste zumindest eine signierte Exportmöglichkeit bestehen.

    Comment | 9 October 2009

RSS feed for comments on this post. TrackBack URL

Leave a comment


five × 3 =

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions