Der digitale Brief wird elektronisch signiert

Die Unternehmen T-Systems, T-Online, Deutsche Post, Mentana Claimsoft und United Internet (Web.de und GMX) streben laut BMI eine Akkreditierung als Provider an. Die künftigen De-Mail-Provider müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene zertifizierte Prüfberichte zu IT-Sicherheit, Funktionalität, Interoperabilität und Datenschutz vorlegen, um eine Akkreditierung zu erhalten. So muss etwa der Bundesdatenschutzbeauftragte den Prüfbericht zum Datenschutz zertifizieren.

Die Kommunikationspartner erhalten nur dann einen De-Mail-Account, wenn sie ihre Identität zuvor nachgewiesen haben. Das geht elektronisch über den neuen digitalen Personalausweis, über das Post-Ident-Verfahren oder auch über eine persönliche Vorlage der Dokumente in einer Niederlassung des Anbieters. Kunden der Telekom können allerdings das Post-Ident-Verfahren nicht verwenden, da die Deutsche Post der Deutschen Telekom die Nutzung gekündigt hat - aus Wettbewerbsgründen. Die Deutsche Telekom bietet jedoch die Identitätsüberprüfung in den Telekom-Shops an. Auch werden Kunden den neuen digitalen Personalausweis verwenden können, um sich online auszuweisen.

Fälschungssicher und rechtsverbindlich

Die De-Mail soll gegen Ausspähung und Manipulation gesichert sein. Dafür wird die E-Mail sowohl zwischen Nutzer und Betreiber als auch zwischen Betreiber und Betreiber mit dem SSL-Nachfolgestandard TLS verschlüsselt. Gert Metternich, De-Mail-Projektleiter bei T-Systems, sagt, dass die De-Mail "so fälschungssicher und rechtsverbindlich wie ein Einschreiben per Brief" sei.

Das ist eine entscheidende Aussage, welche die Deutsche Post für ihr Konkurrenzangebot, den E-Postbrief, kürzlich zurücknehmen musste: Das Landgericht Bonn hatte auf Klage der Verbraucherzentralen erklärt, dass die Post für den E-Postbrief nicht mit den Worten werben dürfe, dass er "so sicher und verbindlich wie der Brief" sei. Als Begründung führte das Gericht aus, dass bei der elektronischen Kommunikation die Erfordernis der Schriftform nur durch eine qualifizierte elektronische Signatur ersetzt werden kann, die aber der E-Postbrief nicht habe.

Die De-Mail wird man hingegen qualifiziert elektronisch signieren können. Die so "unterschriebenen" De-Mails können dann für Verträge verwendet werden. Der Versender kann außerdem eine Zugangsbestätigung anfordern, die mit einer qualifizierten elektronischen Signatur versehen wird. Damit kann sie auch als Augenscheinsbeweis vor Gericht als Beweismittel vorgelegt werden. Voraussetzung ist jedoch, so sagt der Internetexperte Thomas Hoeren, dass "das De-Mail-System des Providers des Empfängers zuverlässig arbeitet und Unregelmäßigkeiten nicht bekannt geworden sind".

De-Mail weist kleine Sicherheitslücke auf

Die De-Mail wird allerdings wie der E-Postbrief die Inhalte nicht lückenlos verschlüsseln. Es wird einen sehr kurzen Zeitraum geben, in dem die Inhalte der E-Mail unverschlüsselt beim De-Mail-Provider vorliegen. Die Mails seien aber dort nur für eine Tausendstelsekunde unverschlüsselt verfügbar, beteuert Ralf Sauerzapf, Sprecher der Deutschen Telekom. Außerdem betreibe man für die De-Mail "keine normalen Rechenzentren, sondern geschützte Räume mit hohen Zutrittshürden". Nur zwei Mitarbeiter dürften gleichzeitig an ein und derselben Sache arbeiten, wobei jeder Eingriffsschritt dokumentiert wird.

Es gibt zwei Gründe dafür, dass man sich für einen Bruch in der Verschlüsselung entschieden hat, sagt Sauerzapf. Zum einen können Betreiber auf diese Weise Spams besser herausfiltern. Zum anderen kann der Kunde auf die Mail auch dann zugreifen, wenn sein eigener Rechner defekt ist. Bei einer Ende-zu-Ende-Verschlüsselung wäre das nicht mehr möglich gewesen. Wer dennoch Wert auf lückenlose Sicherheit legt, kann selbst eine durchgehende Ende-zu-Ende-Verschlüsselung etwa mit dem Kryptoprogramm PGP verwenden. "De-Mail lässt das zu", sagt Sauerzapf.

Tatsächlich wäre De-Mail trotz der kleinen Verschlüsselungslücke ein erheblicher Fortschritt, da nach Schätzungen des Bundesinnenministeriums beeindruckende 95 Prozent des heutigen E-Mail-Verkehrs völlig unverschlüsselt verschickt werden. "Für den Massenmarkt wäre das auf jeden Fall ein Riesenschritt in Richtung mehr Vertraulichkeit und Sicherheit", betont Sauerzapf. Außerdem verfüge die De-Mail, anders als der kritisierte E-Postbrief, über ein akkreditiertes Verfahren.

Rechtsexperten sind kritisch

Dennoch sehen manche Rechtsexperten das Projekt kritisch. So sagt der Düsseldorfer Strafverteidiger Udo Vetter: "Der Klartext ist auf dem Rechner der Anbieter vorhanden. Die Anpreisung von De-Mail und E-Post widerspricht damit der technischen Realität." Da aus seiner Sicht die De-Mail ein öffentlich-rechtliches System ist, vertraue er als Strafverteidiger seine Mails eher einem anderen Provider an: "Wenn es einen gerichtlichen Durchsuchungsbeschluss gibt, ist der Zugriff viel einfacher."

Die De-Mail wird ein kostenpflichtiges Angebot sein. Allerdings nennen die Unternehmen noch keine Preise. Kunden der Deutschen Telekom ist bisher nur bekannt, dass die Anmeldung kostenlos sein wird. Ein Einführungsangebot wird den kostenfreien Versand einer gewissen Zahl von De-Mails monatlich beinhalten.

Die Nachfrage nach der De-Mail dürfte zudem die Tatsache mindern, dass Rechnungen seit September wieder elektronisch verschickt werden dürfen, ohne dass sie mit einer qualifizierten Signatur versehen sind. Elektronische Rechnungen und Rechnungen auf Papier werden wieder gleich behandelt. Der Rechnungsversand hätte vermutlich die häufigste Nutzungsart dargestellt.

Lange Vorlaufzeit der De-Mail

Entwicklung Vorbereitet wurde die De-Mail von der Bundesregierung als Teil ihrer Hightechstrategie bereits seit 2006. Erstmals wurde sie 2008 auf dem IT-Gipfel in Darmstadt vorgestellt.

Testphase In einem sechsmonatigen Pilotprojekt in den Jahren 2009 und 2010 wurde die De-Mail in Friedrichshafen genutzt, um Urkunden wie Geburtsbescheinigungen oder Aufenthaltsbestätigungen an rund 800 Bürger und 30 Unternehmen zu verschicken. Die Teilnehmer zogen ein positives Fazit.