Datenschützer mit De-Mail unzufriedenSchaar erkennt Schwachstelle
Das digitale Großprojekt De-Mail soll die Kommunikation im Internet mindestens so sicher machen wie die herkömmliche Papierpost. Doch Datenschützer hegen nach wie vor gravierende Zweifel. Zur Einführung der neuen amtlichen E-Mail-Adressen pochen sie auf eine lückenlose Verschlüsselung.
Zum Inkrafttreten des De-Mail-Gesetzes hat der Bundesdatenschutzbeauftragte Peter Schaar eine Rundum-Verschlüsselung für diese Form der gesicherten E-Mail-Kommunikation gefordert. "Die Datenverluste der letzten Tage verdeutlichen die Notwendigkeit, den Schutz persönlicher Daten im Internet zu verbessern", erklärte Schaar. Die De-Mail gewährleiste einen besseren Schutz als eine einfache Standard-E-Mail. Jedoch lasse das De-Mail-Konzept auch Fragen offen.
So sieht das De-Mail-Gesetz, das die Grundlagen für die Anbieter von De-Mail-Lösungen regelt, keine sogenannte "Ende-zu-Ende-Verschlüsselung" vor. Dies bedeute, dass in der Regel jede Mail bei dem Dienstanbieter kurzzeitig entschlüsselt, auf Schadsoftware untersucht und wieder verschlüsselt werde, bevor sie weitergeleitet werde, erklärte Schaar.
Die Lücken in der Verschlüsselung, die auf diese Weise kurzzeitig entstehen, bergen nach Ansicht von Experten ein Sicherheitsrisiko. Die in der Mail enthaltenen Daten sind während der Überprüfung durch Virenscanner innerhalb des Systems der Diensteanbieter theoretisch offen sichtbar.
Wer sieht wann was?
"Bei der Übermittlung sensibler Inhalte - etwa von Gesundheitsdaten - müssen nun die verantwortlichen Stellen, etwa die Krankenkassen, für eine Ende-zu-Ende-Verschlüsselung sorgen", forderte Schaar. Auf diese Weise will der Datenschützer sicherstellen, dass private Daten wie zum Beispiel zu Arzt-Diagnosen und Krankheitsbildern bei der Kommunikation zwischen Krankenkassen und Bürgern nur an den Endpunkten des Übertragungsweges offen lesbar sind.
Schaar setzt nach eigenen Angaben darauf, dass die De-Mail-Anbieter entsprechende Lösungen entwickelten, die einfach zu bedienen seien. Die Bundesregierung hatte auf eine zwingend vorgeschriebene Komplett-Verschlüsselung verzichtet, um die technischen Hürden bei der Einführung niedrig zu halten. So sollte die Nutzung von De-Mails bei privaten Nutzern zunächst ohne aufwändige Zusatzinstallationen möglich sein.
Zu dieser Frage erklärte das federführende Bundesinnenministerium: "Der Verzicht auf solche Zusatzinstallationen erfordert es, dass die Nachrichten, nachdem sie verschlüsselt vom Absender zum De-Mail-Provider transportiert wurden und bevor sie von dort verschlüsselt zum Empfänger weitergeschickt werden, kurz automatisiert beim De-Mail-Provider 'umgeschlüsselt' werden."
Theoretisch abgreifbar offen sichtbar
Das Problem kurzzeitig unverschlüsselter Daten sollte durch eine genaue Überprüfung der "technischen und organisatorischen Sicherheit" bei den De-Mail-Anbieter aufgefangen werden. Doch genau hier zweifeln die Experten: Sie glauben nicht daran, dass sich ein möglicher Missbrauch durch Vorschriften und das erforderliche Datenschutzkonzept 100-prozentig verhindern lässt und fordern stattdessen eine technische Lösung, die eine lückenlose Verschlüsselung vom Absender bis zum Empfänger garantiert.
Auch der Chaos Computer Club (CCC) hat die fehlende Rundum-Verschlüsselung kritisiert. Die Befürworter des De-Mail-Gesetzes haben dazu erklärt, dass die Verschlüsselung von Endpunkt zu Endpunkt der Kommunikation als zusätzliche Option genutzt werden könne. Dies sei bereits im Signaturgesetz geregelt.
Der Bundesbeauftragte für den Datenschutz sollte prüfen, ob die De-Mail-Anbieter die datenschutzrechtlichen Anforderungen bei Gestaltung und Betrieb der Dienste erfüllen. Dazu wurde ein Kriterienkatalog definiert, der im Internet veröffentlicht wurde.
Verfügbar sein soll die neue amtliche E-Mail, sobald die ersten Diensteanbieter auf Grundlage des De-Mail-Gesetzes zugelassen worden sind. "Der Zeitpunkt der flächendeckenden Verfügbarkeit von De-Mail ist also direkt abhängig vom Zeitpunkt des Inkrafttretens des De-Mail-Gesetzes", hieß es dazu aus dem Bundesinnenministerium. Um eine Akkreditierung als De-Mail-Anbieter wollen sich demnach unter anderem T-Online, T-Systems, GMX, Web.de und die Deutsche Post bewerben.
Der Bundesrat hatte dem "" im März ohne größere Änderungen zugestimmt. Das Gesetz wurde am 28. April im Bundesanzeiger veröffentlicht und trat am Tag nach der Veröffentlichung in Kraft.