Bundesrat „darf“ nur noch mitreden – später ... Es wird eng: Regierung will De-Mail zur CeBIT knüppeln

Redakteur: Gerald Viola

Eine durchgehende Ende-zu-Ende-Verschlüsselung wird im De-Mail-Gesetz wohl nicht mehr festgeschrieben. Eine einheitliche Kennzeichnung wie @de-mail.de wohl auch nicht. Und die Kritik aus dem Bundestag (eGovernment Computing berichtete) wird wohl mit dem Satz „Das Gesetz ist durch den Bundesrat nicht zustimmungspflichtig“ weggebügelt. Schließlich soll es am 25. Februar in zweiter und dritter Lesung durch den Bundestag geschleust werden, damit das CeBIT-Programm des Bundesinnenministeriums und der potenziellen Anbieter nicht gefährdet wird.

Firmen zum Thema

De-Mail mit Verschlüsselung light
De-Mail mit Verschlüsselung light
( Archiv: Vogel Business Media )

Wesentliche Kritik des Bundesrats und der befragten Experten bezog sich auf die nicht vorgesehene Ende-zu-Ende-Verschlüsselung, die Abholbestätigung und die Domainkennzeichnung.

Ursprünglich sah der Gesetzentwurf die Kennung username@provider.de-de-mail.de. Nachdem der Bundesrat bemängelte, dass der Bürger damit keinen problemlosen Providerwechsel vollziehen könne, soll jetzt eine beliebige Kennung möglich sein. Der Bürger kann nicht mehr erkennen, welche eMail die De-Mail-Grundlagen erfüllt, aber die Absenderkennung @epostbrief wäre gerettet.

Der Protest der Telekom ließ nicht lange auf sich warten: „Wenn der Kunde nicht klar erkennen kann, welche elektronische Post rechtsverbindlich ist und welche nicht, wird er sie nicht nutzen, weil er ihr nicht vertraut. Und das gefährdet den Erfolg von De-Mail insgesamt.“

„Nur eine auf den ersten Blick eindeutige und vor allem einheitliche De-Mail-Domainbezeichnung gibt allen Beteiligten aus Verwaltung, Wirtschafts und dem Privatbereich die Gewissheit, sich innerhalb der sicheren und gesetzlich geregelten Infrastruktur zu bewegen“, sagt auch der Gesamtverband der Deutschen Versicherungswirtschaft.

Dessen ungeachtet soll der Innenausschuss in seiner Sitzung am kommenden Mittwoch (23. Februar) Nägel mit Köpfen machen, am Freitag (25. Februar) soll der Bundestag beschließen und nach der CeBIT wird am 18. März der Bundesrat „beteiligt werden“.

Nächste Seite: Bleibt das Postgeheimnis auf der Strecke?

Bleibt bei De-Mail das Postgeheimnis auf der Strecke?

Man kann es sich beim Streit um die Eckpunkte von De-Mail einfach machen und – wie tatsächlich geschehen – feststellen, dass die „amtliche Mail“ auch nicht unsicherer ist, als die normale eMail. Man kann feststellen, dass De-Mail für den Nutzer nicht ohne Risiken sei, um daraus zu schließen, dass beim Versuch, Schienen im Sumpf zu verlegen, die Chancen überwiegen. Beim geneigten Bürger, dem die Allianz von Bundesinnenministerium und IT-Wirtschaft die kostenpflichtige eMail aufs Auge drücken will, bleiben Zweifel, ob das Postgeheimnis wirklich gewahrt bleibt.

Denn die Experten sind sich uneins. Zwar hat der Bundesrat verlangt, dass die Ende-zu-Ende-Verschlüsselung Standard sein soll, doch die Länderkammer darf erst nach der CeBIT mitreden.

Der Bundesrat hatte bemängelt: „Nach dem Gesetzentwurf ist lediglich eine Verschlüsselung durch gängige Standards für sicheren Mailversand (SSL, SMTP/TLS) gewährleistet, geht aber nicht darüber hinaus. Sie wird zudem nur innerhalb des De-Mail-Netzwerkes aufrecht erhalten. Verschlüsselt wird allein der Transport, nicht aber die Nachricht selbst.

Eine Ende-zu-Ende-Verschlüsselung findet nicht statt, die Nach-richten werden zur Überprüfung von Viren und zur Prüfung, ob es sich um eine SPAM-Mail handelt, kurzfristig entschlüsselt. Während dieses Vorganges sind die Nachrichten einem erhöhten Risiko des Angriffes durch unbefugte Dritte ausgesetzt.“

Der Chaos Computer Club bemängelte vor dem Innenausschuss, dass das Briefgeheimnis nicht gegeben sei. Die nicht vorgesehene Ende-zu-Ende-Verschlüsselung führe zu erheblichem technischen, organisatorischen und finanziellen Aufwand.

Quantensprung oder deutsche Insellösung?

Der Bitkom teilte mit, dass es einen deutlichen „Fortschritt in der Transportverschlüsselung“ gebe. Und so könne sich jedes Unternehmen und jede Privatperson selber aussuchen, wie viel Sicherheit man nutzen wolle. Bitkom-Präsident August-Wilhelm Scheer erkannte in De-Mail sogar „einen Quantensprung in puncto Sicherheit“. Das Project mache Deutschland „weltweit zum Vorreiter beim sicheren und rechtsverbindlichen eMail-Verkehr.“

Eine Einschätzung, die Kurt Kammerer, CEO der regify AG, die vertrauliche und verbindliche eMail und digitale Post anbietet, so nicht teilen kann: „Als Mitglied des DIN-Normenausschusses für postalische Dienste weiß ich aus erster Hand, dass De-Mail nicht nur inkompatibel ist mit internationalen postalischen Standards (CEN, aber auch DIN), sondern dass kein einziges anderes Land ein vergleichbares System plant, das mit De-Mail integrierbar wäre. De-Mail wird also immer eine deutsche Insellösung bleiben, sollte das De-Mail-Gesetz in der vorgesehenen Form verabschiedet werden.“

Er bekräftigt: „De-Mail wurde dem Anwender aber ausgerechnet als ‚so sicher wie der Brief‘ angepriesen, eine Eigenschaft also, die man ihm nun wohl vorenthalten will. Denn das Versprechen lässt sich nur einlösen, wenn man Ende-zu-Ende-Verschlüsselung zwingend als Standard-Funktion vorsieht.“

Nächste Seite: Abholbestätigung für die eingeschriebene eMail?

Abholbestätigung soll die eMail zum „Einschreiben“ adeln

Und die umstrittene Abholbestätigung, die dem Absender suggeriert, dass seine De-Mail gelesen wurde? Bisher wollte der Gesetzgeber davon ausgehen, dass eine De-Mail drei Tage nach Übergabe an das Postfach als gelesen gilt. Der Wissenschaftsjournalist Peter Welchering erklärte es im Deutschlandfunk-Interview:

„Es gibt eine Nachbesserung, die allerdings auch wiederum ein wenig umstritten ist und unterschiedlich diskutiert wird. Diese Nachbesserung heißt nun veränderte Zustellfiktion. Und dahinter steht eigentlich folgende Überlegung: Die absendende Behörde soll eine Abholbestätigung erhalten. Und die Abholbestätigung soll dann der Provider schicken. Allerdings soll die Behörde nicht warten müssen, bis beispielsweise der De-Mail-Postfachbesitzer die Mail wirklich gelesen hat. Das würde nicht klappen, wird argumentiert. Denn Behörden dürften sich hier nicht von der Mitwirkung des Bürgers abhängig machen. Sie könnten auch von so einer Mitwirkung nicht in jedem Fall ausgehen.“

Er nennt folgendes Beispiel: „Ein Bürger bekommt etwa einen Bußgeldbescheid ins De-Mail-Postfach. Der liest aber den Bußgeldbescheid nicht, weil er kann ja einigermaßen ahnen, was da drin stehen wird und sagt ,nehme ich erst gar nicht an‘. Dennoch muss der Bußgeldbescheid ja nach einiger Zeit als zugestellt gelten, damit vollstreckt, also das Geld einkassiert werden kann – egal, ob der Bürger ihn nun liest oder nicht.

Und da lautet der jetzige Vorschlag: Wenn sich der De-Mail-Postfachbesitzer, nachdem eine solche Mail beispielsweise mit so einem Bußgeldbescheid in seinem Postfach abgelegt wurde, an seinem Postfach anmeldet, dann darf der Provider eine Abholbestätigung an die absendende Behörde schicken. Aber das ist noch ein bisschen umstritten ...“

(ID:2049904)