Finden Sie jetzt Ihren Anwalt zu diesem Thema in der Nähe!

De-Mail – Identitätsstifter im Netz

  • 5 Minuten Lesezeit
Esther Wellhöfer anwalt.de-Redaktion

Schnell wie eine E-Mail, sicher wie ein Brief und nachweisbar wie ein Einschreiben - die De-Mail soll all das möglich machen. Mit De-Mail soll die Kommunikation im Netz sicherer werden - das gilt besonders in juristischen Bereichen, wenn es entscheidend auf den Zugang der Nachricht ankommt. Und das ist bislang einer der gravierendsten Nachteile der herkömmlichen E-Mail-Konversation, da die Identität hier nicht sicher feststellbar ist. Rechtssicher kann derzeit eine E-Mail nur zugestellt werden, wenn der Empfänger den Zugang bestätigt. Aus diesem Grund greifen Unternehmen bei Angeboten, Verträgen, Rechnungen und Mahnungen lieber auf den guten alten Papierbogen zurück. Mit De-Mail soll sich das ändern und der kostenaufwendige Versand von rechtsverbindlichen Unterlagen auf dem Postweg bald der Vergangenheit angehören.

[image]Zertifizierte Anbieter

Nach einiger Verspätung ist im Mai das De-Mail-Gesetz endlich in Kraft getreten, das für mehr Sicherheit bei der elektronischen Nachrichtenübermittlung sorgen soll. De-Mail soll von Behörden, Unternehmen und Privatpersonen genutzt werden können. Bekannte Internetdienste haben angekündigt, dass sie die Zertifizierung beantragen werden, oder befinden sich bereits im Akkreditierungsverfahren. Frühestens Ende des Jahres wird mit den ersten Akkreditierungen gerechnet. De-Mail-Anbieter dürfen nur Dienste anbieten, die vom Bundesamt für Sicherheit in der Informationstechnik zugelassen sind. Um die Zertifizierung zu erhalten, müssen die Anbieter strenge Sicherheits- und Datenschutzauflagen erfüllen, d. h. alle Voraussetzungen des Kriterienkatalogs für den Datenschutz-Nachweis gemäß § 16 Absatz 3 Nr. 4 De-Mail-Gesetz. Da die IT-Sicherheitsanforderungen sehr hoch sind, werden Kunden vermutlich De-Mail-Dienste erst im kommenden Jahr nutzen können.

De-Mail-Nutzerkonto

Allerdings haben Kunden bei den meisten Dienstanbietern bereits die Möglichkeit, sich entsprechende De-Mail-Adressen reservieren zu lassen. Nach der Akkreditierung kann man dann im nächsten Schritt ein De-Mail-Nutzerkonto eröffnen. Das De-Mail-Konto ist allein diesem Nutzer zugeordnet. Vor der Aktivierung muss daher die Identität des Inhabers eindeutig festgestellt werden. Das Verfahren bestimmt der Anbieter. Das kann beispielsweise durch persönliche Vorlage des amtlichen Ausweises geschehen oder per Onlineausweis mit dem neuen Personalausweis. Für juristische Personen muss der Handelsregisterauszug vorgelegt und der angemeldete Vertreter sicher identifiziert werden. Nach Abschluss der Identitätsprüfung erfolgt dann die Freischaltung des Nutzerkontos.


In eigener Sache Tipps für Steuerzahler!

Warum können Sie sich im nächsten Jahr einen Kaffee mehr im Monat leisten? Darf Ihr Kind zum „Großverdiener“ werden? Und welcher Papierkram wird demnächst überflüssig? Antworten auf diese und viele weitere Fragen finden Sie ab 2012 im neuen steuerberater.net-Newsletter!

Das Redaktionsteam der anwalt.de services AG gibt Ihnen ab dem neuen Jahr regelmäßig auch im Newsletter des Schwesterportals www.steuerberater.net aktuelle Tipps rund um das Steuerrecht – abonnieren Sie den steuerberater.net-Newsletter hier!


Anmeldungsvarianten

Je nachdem, welches Sicherheitsniveau bestehen soll und welche Funktionen gewünscht werden, kann man zwischen zwei Anmeldevarianten wählen. Soll das Sicherheitsniveau „normal" sein, erfolgt die Anmeldung mit Benutzernamen und Passwort. Bei der Sicherheitsstufe „hoch" wird neben Benutzernamen und Passwort noch ein sog. Token eingesetzt, ein Gegenstand. Bei dieser Zwei-Faktor-Authentifizierung wird also noch eine Chipkarte mit eID, ein USB-Gerät mit Pin- bzw. Passwort oder ein One-Time-Password-Generator (OTP-Generator), bei dem man ein Passwort bei Bedarf anfordert, das dann nur für eine Anmeldung genutzt wird, benötigt.

Funktionen

Die Konversation per De-Mail ist nur unter Teilnehmern der De-Mail-Dienste möglich. Mit dem Standardversand ist die Nachrichtenübermittlung gegen den Verlust der Vertraulichkeit, gegen inhaltliche Änderungen und Änderung der Metadaten (Absender, Uhrzeit etc.) abgesichert. Mit der Funktion Versandbestätigung wird dem Nutzer von seinem Dienst der Versand der De-Mail bestätigt. Die Eingangsbestätigung weist den Eingang der De-Mail beim Empfänger nach und geht Absender und Empfänger zu. Sie ist qualifiziert elektronisch signiert und ein belastbarer Nachweis, wann und an wen die Mail verschickt wurde und wann sie im Postfach des Empfängers einging. Auf der hohen Sicherheitsstufe sind weitere Versandarten möglich. Zum Beispiel kann bei der Funktion „persönlich" der Empfänger die Mail nur lesen, wenn er sich selbst über die hohe Sicherheitsstufe angemeldet hat, oder der Absender kann bestätigen, dass er sich mit hoher Sicherheitsstufe angemeldet hat.

Verschlüsselung beim Transfer

Die Nachrichtenübermittlung vom Absender zu seinem De-Mail-Dienst, von diesem zum De-Mail-Dienst des Empfängers und von diesem wiederum an den Empfänger ist verschlüsselt. Erst wenn die De-Mail den Empfänger erreicht, wird sie entschlüsselt, sodass für einen kurzen Moment die Daten unverschlüsselt vorliegen. Hier wird die Nachricht auf Viren, Trojaner und andere Schadsoftware geprüft und der Empfänger ggf. gewarnt. Der Prüfprozess erfolgt auf den Servern im Rechenzentrum des De-Mail-Dienstes, die Beschäftigten erhalten keine Einsicht in die Entschlüsselung der Nachricht.

Ende-zu-Ende-Verschlüsselung

Bei besonders sensiblen Nachrichten kann nicht nur die Nachrichtenübermittlung, wie zuvor beschrieben, verschlüsselt werden, sondern auch die Nachricht selbst, sog. Ende-zu-Ende-Verschlüsselung. Nur dieses Vorgehen genügt nach Ansicht von Kritikern den Vorgaben des Post- und Fernmeldegeheimnisses. Der Bundesbeauftragte für Datenschutz rät zumindest bei sensiblen Inhalten zu dieser Form der De-Mail-Nutzung, beispielsweise wenn Krankenkassen Gesundheitsdaten übermitteln. Allerdings wird für diese sog. Ende-zu-Ende-Verschlüsselung eine zusätzliche Verschlüsselungssoftware benötigt, die auf den Rechnern installiert sein muss. Vor dem Absenden wird die Nachricht mit der Software verschlüsselt und erst wieder auf dem Rechner des Empfängers entschlüsselt, der dieselbe Software installiert hat. Da die Nachricht hier also komplett verschlüsselt bleibt, wird kein Viren- oder Trojaner-Scan durchgeführt. Der De-Mail-Anbieter hat keinen Zugriff auf die Nachricht.

Verzeichnisdienst

Um die Ende-zu-Ende-Verschlüsselung für Nutzer zu erleichtern, sind die Anbieter von De-Mail dazu verpflichtet, einen Verzeichnisdienst einzurichten. Dort kann der Nutzer freiwillig seine Daten und seinen öffentlichen Schlüssel für die Ende-zu-Ende-Verschlüsselung hinterlegen. Ohne das Einverständnis des Nutzers dürfen die Dienste dort keine Daten aufnehmen. Der Verzeichnisdienst ist von seiner Funktionsweise her einem Telefonbuch ähnlich. Sollte die De-Mail-Adresse des Empfängers nicht bekannt sein, sucht der Anbieter in allen Verzeichnissen der De-Mail-Dienste nach der Adresse.

Weitere Dienste

Sollten einem Nutzer seine Zugangsdaten abhandenkommen, besteht die Möglichkeit, das De-Mail-Konto sperren zu lassen. Die Anbieter halten hierfür eine Hotline bereit. Zudem wird das Konto automatisch gesperrt, wenn mehrfach falsche Zugangsdaten eingegeben wurden. Darüber hinaus können die De-Mail-Anbieter ihren Kunden eine Art Tresor für elektronische Dokumente anbieten. Die Dokumente werden unmittelbar nach der Entgegennahme durch den Dienst verschlüsselt und erst mit dem direkten Zugriff auf das Dokument durch den Nutzer entschlüsselt. Weitere Client-Angebote, wie beispielsweise iPhone Apps, Plug-ins etc., sind vom Portfolio des jeweiligen Anbieters abhängig.

Fazit und Ausblick

De-Mail könnte den elektronischen Schriftverkehr in Rechtsangelegenheiten revolutionieren. Bei der informationstechnischen Konzeption von De-Mail hat bereits der Gesetzgeber darauf geachtet, die Nutzung von De-Mail möglichst einfach zu gestalten, damit auch Privatpersonen den neuen Dienst für ihre rechtliche Kommunikation nutzen. Bei sensiblen Daten sollte man trotzdem die Ende-zu-Ende-Variante wählen. Ob De-Mail die Kommunikation per E-Mail revolutionieren wird, bleibt abzuwarten. Der Deutsche Anwaltverein etwa hält De-Mail für überflüssig, weil elektronische Signaturen und Verschlüsselungsverfahren bereits genutzt werden können. Die Entscheidung darüber werden letzten Endes Bürger und Unternehmen selbst treffen.

(WEL)

Foto(s): ©Fotolia.com

Artikel teilen:


Beiträge zum Thema