Mehr Sicherheit für digitale Post: Was kann die De-Mail?

von Jens Hagelstein

Eine E-Mail ist vergleichbar mit einer Postkarte, welche mit Bleistift beschrieben wurde: Der Inhalt kann auf dem Versandweg nicht nur gelesen, sondern auch manipuliert oder in Teilen gelöscht werden, ohne dass Sender und Empfänger davon etwas mitbekommen. Verschlüsselungsstandards wie OpenPGP und S/MIME schützen vor unerwünschten Mitlesern, benötigen aber zur Einrichtung technisches Hintergrundwissen und sind daher kaum verbreitet. Doch das könnte sich bald ändern – mit der neuen „De-Mail“.

Was ist De-Mail?

Im April 2011 beschloss die Bundesregierung die Einrichtung des De-Mail-Dienstes, mit dem Behörden gemäß einer EU-Dienstleistungsrichtlinie künftig auch auf digitalem Wege mit den Bürgern kommunizieren können. Gleichzeitig soll De-Mail aber auch gebührenpflichtig von Privatleuten und Unternehmen zum sicheren Verschicken von Online-Post genutzt werden. Jeder E-Mail-Provider kann seinen Kunden den neuen De-Mail-Service anbieten, muss jedoch zuvor von der Prüfungskommission des Bundesamtes für Sicherheit in der Informationstechnik authentifiziert werden. Dieses Zulassungsverfahren läuft bisher eher behäbig ab, spätestens zur CeBit im März diesen Jahres wollen die Betreiber von WEB.DE und GMX sowie die Telekom die neue De-Mail als Option anbieten. Die Deutsche Post betreibt Vergleichbares – bisher wenig erfolgreich –  bereits seit Juli 2010 unter dem Namen „E-Postbrief“, kündigte aber an, diesen in das De-Mail-System eingliedern zu wollen. Die Kosten werden sich auf etwa 15 Cent pro versandter Mail belaufen. Besitzt der Empfänger keinen De-Mail-Account, wird die digitale Post ausgedruckt und auf dem herkömmlichen Postweg versandt. Dies wird den Sender etwa 54 Cent kosten.

Das Verschlüsselungsverfahren…

Was macht die De-Mail sicherer als gewöhnliche E-Mails? Zunächst muss jeder Anwender bei der Einrichtung eines De-Mail-Kontos persönliche Daten wie Name, Adresse und Geburtsdatum angeben und das Antragsformular persönlich unter Vorlage des Ausweises bei einer Behörde abgegeben. Pseudonyme sind nicht zulässig. So wird sichergestellt, dass der Besitzer des Kontos nicht unter falschem Namen Mails verschickt und empfängt. Der Übertragungsweg der Mails ist mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) gesichert. Mit Hilfe digitaler Zertifikate wird überprüft, ob die E-Mail beim gewünschten Empfänger angekommen ist, und dieser anschließend zum Lesen authentifiziert.

…und was daran kritisiert wird

Verschiedene Blogger und Internet-Aktivisten kritisieren die De-Mail. Auf netzpolitik.org wird darauf hingewiesen, dass jede De-Mail auf dem Mail-Server für den weiteren Versand geöffnet und umcodiert wird. Anders als bei einer sogenannten Ende-zu-Ende-Verschlüsselung liegt der Inhalt der Mail somit kurzzeitig offen und könnte etwa von Mitarbeitern des Providers eingesehen werden. Der Sprecher des Chaos Computer Clubs Frank Rieger befürchtet zudem, staatliche Stellen wie Polizei und Verfassungsschutz könnten sich dieses Hintertürchen zu Nutze machen und private Korrespondenzen einsehen. Die Blogger von netzpolitik.org rufen deshalb zum Boykott des neuen Mail-Systems auf.

Die De-Mail ist weitaus sicherer als herkömmliche E-Mails. Insbesondere ist dabei auch aus ökologischer Perspektive zu begrüßen, dass sie die behördlichen Sicherheitsstandards erfüllt und die Berge von amtlicher Briefpost endlich zu einem Relikt des vergangenen Jahrhunderts macht. Besonders sicherheitsbewusste Anwender sollten sich der Tatsache bewusst sein, dass keine Ende-zu-Ende-Verschlüsselung genutzt wird; wer hundertprozentige Sicherheit wünscht, kommt um eines der gängigen Verschlüsselungsprogramme wie PGP auch weiterhin nicht herum. Äußerst fragwürdig ist zudem das Preismodell der De-Mail – dadurch, dass sie den Anwender keinen Cent kostet, konnte die E-Mail schließlich erst zu dem Kommunikationsmedium unserer Zeit avancieren. Die De-Mail scheint diese Chance zu verspielen.

Foto: flickr/pacdog (CC BY-NC-SA 2.0)