De-Mail jetzt doch mit Ende-zu-Ende-Verschlüsselung

De-Mail jetzt doch mit Ende-zu-Ende-Verschlüsselung

Totgesagte leben länger. Nachdem die De-Mail in den vergangenen Wochen wieder einmal heftig kritisiert wurde, kontert das Bundesinnenministerium jetzt mit einem Neuheitenkatalog. Unter anderem soll die Erstidentifikation erleichtert werden und die De-Mail eine Ende-zu-Ende-Verschlüsselung bekommen.

Die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet mit 1&1, WEB.DE und GMX wollen dazu im April ein vereinfachtes Verfahren für die sogenannte Ende-zu-Ende-Verschlüsselung einführen. Auch die bei der Anmeldung nötige Identifikation für den De-Mail-Dienst soll einfacher werden.

Ermöglicht werden soll die Ende-zu-Ende-Verschlüsselung ausgerechnet durch ein Pretty-Good-Privacy-Verfahren. Dieses soll durch eine App, die De-Mail-Nutzer ab April von den Internetseiten ihrer Anbieter herunterladen können sollen, umgesetzt werden.

Bei dem Programm handelt es sich um ein Plugin für die Internet-Browser Firefox oder Chrome. Die Verschlüsselung basiert auf dem weltweit anerkannten PGP (Pretty Good Privacy)-Verfahren. Die De-Mail-Betreiber begründen die Einführung damit, dass das bisherige Verschlüsselungsverfahren zu viel technisches Know-how erfordert habe. Mit dem PGP-Verfahren sei der Einsatz nun allen Anwendern möglich. Bei PGP lägen die Schlüssel ausschließlich bei Sender und Empfänger, nicht beim Anbieter.

Dazu erklärte Bundesinnenminister Dr. Thomas De Maizière sagte: „Mit der digitalen Agenda der Bundesregierung will Deutschland eine Vorreiterrolle bei der Nutzung digitaler Dienste einnehmen. Verschlüsselung ist dafür eine wichtige Voraussetzung. Mit den bestehenden De-Mail-Sicherheitsfunktionen in Verbindung mit der ab April zusätzlich verfügbaren, massenmarkttauglichen Ende-zu-Ende-Verschlüsselung bietet De-Mail jetzt für alle Anwendungsfälle auf den verschiedenen Schutzniveaus ein einfaches und nutzerfreundliches Verfahren an.“

Die aus dem Bereich Datenschutz und Datensicherheit in der Vergangenheit vorgebrachten Forderungen nach zusätzlicher Sicherheit würden von den De-Mail-Anbietern auf sehr nutzerfreundliche Art und Weise erfüllt. Damit gehen wir einen weiteren wichtigen Schritt hin zur flächendeckenden Einführung von De-Mail, so de Maizière abschließend.

Timotheus Höttges, Vorstandsvorsitzender Deutsche Telekom AG, betonte: „Ende-zu-Ende-Verschlüsselung war bislang Expertensache. Wir wollen, dass alle Kunden ihre De-Mails durchgängig vom Sender zum Empfänger schützen können. Vertrauen, Verbindlichkeit und Sicherheit sind Grundwerte unserer Branche und darum so wichtig für eine Deutsche Telekom.“

Und Ralph Dommermuth, Vorstandsvorsitzender United Internet AG, erklärte: „Die Digitalisierung des deutschen Briefmarktes ist bisher hinter den Möglichkeiten zurück geblieben. Ein Teil der Korrespondenz ist bereits über eMail digitalisiert, für einen großen Teil ist allerdings Rechtsverbindlichkeit erforderlich, die nur über De-Mail hergestellt werden kann. Durch die Ausweitung und vor allem Vereinfachung der Sicherheitsfunktionalitäten werden wir hier einen weiteren Impuls setzen. Das Beispiel anderer Länder zeigt, dass es einen großen Markt für die sichere und rechtsverbindliche digitale Kommunikation gibt.“

Hans Szymanski, Vorstandssprecher der Francotyp-Postalia Holding AG betont: „Das hohe Maß an Sicherheit der De-Mail bewährt sich schon heute in Behörden und Betrieben. Mit der PGP-Integration in Microsoft Exchange /Outlook-Umgebungen für Gateway-Kunden bieten wir nun einen leicht zu handhabenden Zugang zu einem zusätzlichen Verschlüsselungsstandard. Das Engagement von Verwaltung und Unternehmen wird entscheidend dazu beitragen, dass bereits in wenigen Jahren Unternehmen und Behörden und Millionen Bundesbürger diesen einfachen und effizienten Kommunikationskanal nutzen werden.“

Neben der Einführung der Ende-zu-Ende-Verschlüsselung beabsichtigen die De-Mail-Anbieter auch weitere Vereinfachungen des für die Anmeldung nötigen Identifikationsprozesses. So müssen sich Bankkunden auf hohem Niveau ausweisen, wenn sie ein Konto eröffnen. Diese Identifikation soll künftig auf die De-Mail-Erstregistrierung übertragbar sein. Voraussetzung wäre dann ein Online-Bankkonto, das die Kunden bei der De-Mail-Anmeldung im Internet angeben, um ihren De-Mail-Account so vom Computer aus vollständig elektronisch zu eröffnen.

In Deutschland werden pro Jahr circa 16 Milliarden Papierbriefe verschickt. Damit gehen für Firmen, Behörden und Privatpersonen aufwändige und teure Abläufe einher. Diese sollen durch einfache, sichere, nachweisbare und kostensparende Abläufe ersetzt werden. Daher haben Bund und Privatwirtschaft 2012 den De-Mail-Dienst gestartet. Bis heute haben sich bei allen Anbietern rund zwei Millionen Privatkunden ihre persönliche De-Mail-Adresse gesichert. Mehrere hunderttausend Kunden haben sich inzwischen auch für De-Mail identifiziert und verfügen über ein aktives Postfach über das sie sicher und verbindlich kommunizieren können.

Immer mehr große Organisationen nutzen De-Mail

Immer mehr große Organisationen haben das Potenzial von De-Mail erkannt und ersetzen mit diesem Verfahren aufwändige papierbasierte Prozesse, heißt es aus dem Bundesinnenministerium.

So nehme die Deutsche Rentenversicherung bereits seit 2013 Vorgänge von Bürgern und Bevollmächtigten per De-Mail entgegen. Darüber hinaus werde die Deutsche Rentenversicherung in der zweiten Jahreshälfte 2015 ihre IT-Systeme so anpassen, dass auch im Postausgang Vorgänge automatisiert als De-Mail verschickt werden können.

Um dies zu ermöglichen, wird in den IT-Systemen hinterlegt, welche Vorgänge De-Mail-fähig sind. Bürger, die gegenüber der Deutschen Rentenversicherung ihre De-Mail-Adresse bekanntgeben, bekommen dann künftig die entsprechenden Vorgänge (wie zum Beispiel die Renteninformation) automatisiert und regelmäßig über De-Mail zugesandt.

Bundesagentur für Arbeit ist De-Mailer

Auch die Bundesagentur für Arbeit habe die De-Mail im Februar 2015 erfolgreich als sicheren Zugangskanal für ihre Kunden eingeführt. Die BA nutzt De-Mail zunächst im gesetzlich vorgeschriebenen Umfang. Eingehende Nachrichten werden an das entsprechende Bearbeitungsteam weitergeleitet. Die vielfältigen Kommunikationsbeziehungen der BA bieten darüber hinaus weitere Potenziale bei der Nutzung von De-Mail.
2015 werde auch hier die ausgehende Kommunikation mit Vertragspartnern, öffentlichen Einrichtungen sowie Arbeitnehmer- und Arbeitgeberkunden um De-Mail erweitert. In einem ersten Schritt wird die Kommunikation bei Einkaufs- und Beschaffungsprozessen unterstützt. Außerdem können durch die Nutzung von De-Mail die Support-Prozesse der „JOBBÖRSE“ beschleunigt werden.

Das Bundesinnenministerium geht davon aus, dass bis Ende 2015 bis zu 200 weitere Behörden und Einrichtungen des Bundes über De-Mail kommunizieren werden. Auch die Länder leisten ihren Beitrag: Sachsen wird beispielsweise dafür sorgen, dass Landesbehörden und Kommunen ab August 2016 über De-Mail erreichbar sind.

Auch andere Bundesländer bereiten die De-Mail-Einführung vor. Ebenso Unternehmen und Kommunen: Die Hälfte der deutschen Großunternehmen, Zehntausende mittelständische Firmen und mehrere Tausend Städte und Gemeinden haben mit den De-Mail-Anbietern Verträge unterzeichnet, sodass rund 70 Prozent der Bundesbürger insbesondere ihre Verwaltung inzwischen per De-Mail erreichen können.

Dennoch reißt die Kritik an De-Mail nicht ab. So lehnt etwa die Piratenpartei das Verfahren weiterhin ab. „Die Ende-zu-Ende-Verschlüsselung für De-Mail kommt viel zu spät. Und auch mit Plugin bleibt De-Mail von Grund auf schlecht konstruiert. Es ist nur allzu offensichtlich, dass hier mit mehr oder weniger geschicktem Marketing versucht wird, das massive Akzeptanzproblem, das De-Mail – zu Recht in der Bevölkerung hat – zu beheben“, so Stefan Körner, Bundesvorsitzender der Piratenpartei.

Im Speziellen kritisiert die Piratenpartei das Plugin selbst und den Fakt, dass die Ende-zu-Ende-Verschlüsselung auch mit der Ergänzung freiwillig bleibt.

Die Lösung mit dem Plugin bleibe technisch fragwürdig. De-Mail laufe für Privatkunden browserbasiert und das Plugin gäbe es nur für Firefox und Chrome. Das bringe für den Nutzer erhebliche Einschränkungen bei der Dienste-Auswahl sowie den Möglichkeiten eigener Datensicherungen mit sich.

Da zudem der Quellcode des Browserplugins noch nicht veröffentlicht sei, könne man bisher auch nicht auf konkrete Sicherheitslücken verweisen. Grundsätzlich stelle der Webbrowser jedoch die größte Angriffsfläche für Schadsoftware dar. Eine Browsersitzung ist daher kein adäquater Sicherheitskontext für sensible Daten«, führt Körner weiter aus.

„Darüber hinaus ist überhaupt nicht sichergestellt, dass die großen Akteure, also Behörden und Versicherungen, die angebotene PGP-Verschlüsselung auch wirklich nutzen werden. Das ließe sich nur mit einer Verpflichtung per Gesetzesänderung garantieren.

Es ist aufgrund der Freiwilligkeit nach Ansicht der Piratenpartei weiter davon auszugehen, dass ein Großteil der Mails weiter als normale De-Mail versendet wird. Vor diesem Hintergrund erneuert die Piraten Partei ihre Forderung nach einer automatischen Ende-zu-Ende-Verschlüsselung jeder E-Mail-Kommunikation.

Körners Fazit: „De-Mail bleibt weiter unsicher und das BKA baut weiter Trojaner, um Nachrichten mitzulesen. Daher ist es die weitaus bessere Lösung, wenn jede normale Mail, und damit natürlich auch jede De-Mail, von vornherein automatisch mit einer Ende-zu-Ende-Verschlüsselung versehen wird. Dies wäre ein wirksamer Schritt für die Akzeptanz der De-Mail, ein Beitrag zu mehr Datenschutz und ein klares Signal für die Bewahrung unserer Grundrechte. Andernfalls bleibt De-Mail eine deutsche Insellösung und ein Subventionsprogramm für wenige Großunternehmen«, schließt Körner.

Wer sich ein eigenes Bild über den aktuellen Stand der De-Mail-Entwicklung machen will, kann dies auf dem Stand der Beauftragten für Informationstechnik im Public Sector Parc auf der CeBIT tun.

(c)2015 www.cloudcomputing-insider.de / Vogel Business Media