De-Mail

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
De-Mail-Logo

De-Mail [deːˈeː|mɛɪ̯l][1][2] ist ein auf E-Mail-Technik beruhendes, hiervon aber technisch getrenntes und auf Deutschland beschränktes Kommunikationsmittel. Es wurde auf Grundlage des De-Mail-Gesetzes geschaffen und dient gemäß § 1 Abs. 1 der „sicheren, vertraulichen und nachweisbaren“ Kommunikation im Internet. Realisiert und betrieben wird De-Mail in der Regel von Unternehmen oder De-Mail-Anbietern.[3] In der Praxis gilt De-Mail aufgrund stets geringer Nutzerzahlen als gescheitert.[4] In der Verwaltung wurde die verpflichtende Nutzung im Juli 2024 eingestellt.[5]

Das Hauptziel ist es, Nachrichten und Dokumente über das Internet vertraulich, sicher und nachweisbar zu versenden und zu empfangen und damit ein elektronisches Pendant zur heutigen Briefpost zu etablieren. Das später in De-Mail umbenannte Projekt Bürgerportale reagierte auf die ausbleibende Akzeptanz für das Elektronische Gerichts- und Verwaltungspostfach (EGVP).[6] Schon 2006 wurde kritisiert, dass die behaupteten Sicherheitsvorteile des EGVP-Systems auf Basis des (XML-basierten) OSCI-Protokolls auch mit E-Mail-Spezifikationen (SMTP/S/MIME) erreichbar sind und insofern kein Bedarf für eine staatlich verordnete Kommunikation über ein EGVP-System bestehe.[7] De-Mail nimmt diese Kritik teilweise auf und will es privaten Providern auf Basis internationaler Standards ermöglichen, eine sichere und rechtsverbindliche E-Mail-Kommunikation anzubieten. Der Staat erbringt den De-Mail-Dienst nicht selbst, vielmehr werden zertifizierte Anbieter damit betraut. Diese sind beliehen, werden also hoheitlich tätig, soweit sie öffentliche Zustellungen vornehmen.

Die Bundesregierung setzt mit der Einführung von De-Mail die EU-Dienstleistungsrichtlinie in nationales Recht um. Die Richtlinie verlangt, dass öffentliche Stellen bis Ende 2009 elektronische Kommunikation als verbindliches Medium akzeptieren sollten.

Der Postfach- und Versanddienst De-Mail ist ein zentraler Dienst für die zuverlässige und vertrauliche Kommunikation. De-Mail wird ergänzt durch eine vertrauenswürdige Dokumentenablage (De-Safe) und einen zuverlässigen Identitätsnachweis (De-Ident).

Postfach- und Versanddienst De-Mail

[Bearbeiten | Quelltext bearbeiten]

Über den zentralen Dienst De-Mail sollen Bürger, Wirtschaft und Verwaltung kostengünstig, zuverlässig und vertraulich elektronisch kommunizieren können. Die sichere Kommunikation basiert hauptsächlich auf TLS-gesicherten Kommunikationskanälen (Transportverschlüsselung).[8] Die Ende-zu-Ende-Verschlüsselung stellt gemäß der Technischen Richtlinie[9] eine zusätzliche Option dar, die der Diensteanbieter zu unterstützen hat (Kriterienkatalog Ziffer 3.1.3).[10]

Es sind verschiedene Versandarten möglich, die auch unabhängig voneinander genutzt werden können:

De-Mail
Die technische Richtlinie[9] schreibt Verschlüsselungs- und Prüfsummenmechanismen vor, die zum Schutz der Nachrichten vor dem Verlust von Vertraulichkeit und Integrität beitragen sollen.
De-Mail-Einschreiben
Der Absender erhält zusätzlich qualifiziert signierte Bestätigungen, wann er die Nachricht verschickt hat und wann sie an das Postfach des Empfängers ausgeliefert wurde.

Außerdem kann ein Absender auch folgende Optionen vor dem Versand einer De-Mail wählen:

Persönlich
Die erforderliche Authentisierungs-Stufe von Absender und Empfänger muss mindestens hoch sein, um die Nachricht lesen zu können, beispielsweise wegen der besonderen Vertraulichkeit der Nachricht.
Absender-Bestätigt
Das erforderliche Authentisierungsniveau des Absenders muss wegen der besonderen Verbindlichkeit der Nachricht mindestens hoch sein. Der De-Mail-Provider des Absenders bestätigt nach Entgegennahme der Nachricht mittels qualifizierter Signatur, dass er den angegebenen Nachrichteninhalt von dem Absender entgegengenommen hat und dieser sich mindestens mit hoch authentisiert hat. Der Empfänger erhält dadurch einen glaubwürdigen („starken“) Nachweis der Authentizität des Absenders und der Integrität der Nachricht.
Versandbestätigung
Der De-Mail-Anbieter des Absenders erstellt eine qualifiziert signierte Bestätigung, dass er eine referenzierte Nachricht zu einem bestimmten Zeitpunkt für den Versand an einen bestimmten Empfänger entgegengenommen hat.
Zugangsbestätigung
Der De-Mail-Anbieter des Empfängers erstellt nach Ablage der Nachricht in das Postfach des Empfängers eine qualifiziert signierte Bestätigung, dass er eine referenzierte Nachricht zu einem bestimmten Zeitpunkt in das Postfach des Empfängers eingestellt hat.
Abholbestätigung
Der De-Mail-Anbieter des Empfängers erstellt nach einer sicheren Anmeldung des Nutzers und bei Vorhandensein einer Nachricht mit Abholbestätigungs-Anforderung im Postfach des Empfängers eine qualifiziert signierte Bestätigung, dass der Nutzer eine Nachricht einsehen konnte.

Darüber hinaus kann der Absender seine Nachrichten zusätzlich mit seinen eigenen vorhandenen Komponenten (qualifiziert) signieren oder nur für den Empfänger lesbar verschlüsseln. De-Mail-Anbieter sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem Nutzer unter anderem Verschlüsselungs-Zertifikate zu ihren De-Mail-Adressen hinterlegen können.

Die Versandarten und Optionen werden als Kopfzeile im fertigen Dokument notiert.[11]

De-Mail-Nutzerkonten und -Adressen

[Bearbeiten | Quelltext bearbeiten]

De-Mail können sowohl natürliche Personen als auch juristische Personen wie Unternehmen, Personengesellschaften oder öffentliche Stellen (Behörden und Ministerien) nutzen. Für die Eröffnung eines Benutzerkontos bei De-Mail müssen sich die Nutzer zunächst bei ihrem Anbieter registrieren und identifizieren lassen. Bei jeder Adress- sowie Namensänderung muss eine neue Registrierung erfolgen. Für natürliche Personen werden bei dieser Registrierung gemäß dem Geldwäschegesetz sämtliche Ausweisdaten wie Vor- und Nachnamen, Meldeadresse und Geburtsdatum übernommen. Bei der Identifizierung legen sie beispielsweise ihren Personalausweis beim Anbieter vor. Bei juristischen Personen werden neben Angaben zu der juristischen Person selbst die Daten ihrer vertretungsberechtigten natürlichen Personen erfasst. Zur Identifizierung beim Provider legt eine vertretungsberechtigte Person wie der Geschäftsführer oder Prokurist einen Auszug aus dem Handels-/Genossenschaftsregister vor.

Da die zuverlässige Erstregistrierung Grundlage der erforderlichen Identifizierbarkeit der Kommunikationspartner ist, werden nur Verfahren akzeptiert, die hohen Sicherheitsanforderungen genügen, beispielsweise über den elektronischen Personalausweis oder per Identitätsfeststellung. Diese Sicherheitsanforderungen können mit denen zur Eröffnung eines Bankkontos verglichen werden. Jedem De-Mail-Konto ist mindestens eine De-Mail-Adresse in Form einer E-Mail-Adresse zugeordnet. Die Adressen einer juristischen Person müssen deren Namen enthalten, also den Firmennamen. Natürliche Personen dürfen auch zusätzliche Adressen unter einem Pseudonym unterhalten, allerdings muss das Pseudonym als solches erkennbar sein.

Die Adresse einer natürlichen Person wird voraussichtlich folgender Syntax entsprechen:

<Vorname>.<Nachname>.<Unterscheidungsmerkmal>@<De-Mail-Anbieter>.de-mail.de

Kommt ein Name beim selben De-Mail-Anbieter mehrfach vor, wird die Adresse um einen Punkt und eine Zahl ergänzt. Eine De-Mail-Adresse wird also dem folgenden Muster entsprechen:

erika.mustermann.123@anbieter-XYZ.de-mail.de

Pseudonymen soll als Kennzeichnung das Präfix pn_ vorangestellt werden, so dass eine solche Adresse etwa

pn_fantasiename@anbieter-XYZ.de-mail.de

lauten könnte. Juristische Personen sollen als Namensraum für ihre De-Mail-Adressen eine eigene Domain der Form

<Domain-Name>.de-mail.de

erhalten können. So kann die juristische Person verschiedene Unterkonten einrichten, etwa mit den Namen einzelner Mitarbeiter oder Abteilungen.[12]

Im Rahmen der De-Mail-Dienste wird es eine einfache Möglichkeit zur Identitätsfeststellung geben. Auf Anforderung des Nutzers erstellt der De-Mail-Anbieter eine Ident-Bestätigung, die anschließend per De-Mail an die De-Mail-Adresse des Empfängers gesandt wird. Damit sollen Bürger sich beispielsweise bei Online-Shops registrieren können oder nachweisen, dass sie älter als 18 Jahre sind. Diese Inhalte werden vom De-Mail-Anbieter qualifiziert signiert, um die Korrektheit der übermittelten Daten zu bestätigen. Der Prozess ist in einer weiteren Technischen Richtlinie[13] festgelegt. Da die Ident-Shops allein in Deutschland bestehen, werden außerhalb Deutschlands Wohnende vom Dienst ausgeschlossen, ohne dass dies bei einer Anmeldung bei De-Mail von Anfang an kenntlich gemacht wird.

Eine häufige Anforderung ist es, dass wichtige Dokumente sicher in elektronischer Form aufbewahrt werden können. Für diesen Fall sollen die De-Mail-Anbieter Dokumentensafes bereitstellen, die eine langfristige Speicherung und den Schutz vor Verlust und Manipulation ermöglichen. Auch hier werden alle an den Safe übergebenen Dokumente unmittelbar nach der Entgegennahme verschlüsselt und integritätsgeschützt. Der Prozess ist in einer weiteren Technischen Richtlinie festgelegt.[14] Gesetzliche Anforderungen an Archivierung oder Aufbewahrung von Unterlagen, beispielsweise § 147 Abgabenordnung (AO), werden durch diesen Dienst nicht erfüllt.

Anmeldung zur Nutzung des De-Mail-Kontos

[Bearbeiten | Quelltext bearbeiten]

Grundlage für die Nutzung der De-Mail-Dienste ist die Anmeldung an dem De-Mail-Konto des Nutzers. Das De-Mail-Gesetz unterscheidet dabei zwei Sicherheitsstufen.

  • Die sichere Anmeldung ist der Regelfall (§ 4 Abs. 1 Satz 2 De-Mail-Gesetz). Erforderlich sind dafür zwei voneinander unabhängige Sicherungsmittel. Jeder Anbieter muss hierzu mindestens zwei verschiedene Verfahren anbieten, von denen eines die Nutzung des elektronischen Identitätsnachweises mit dem elektronischen Personalausweis ist. Typischerweise setzen solche Verfahren zwei Elemente voraus: Besitz (etwa einer Chipkarte oder eines Mobiltelefons) und Wissen (Kennwort oder PIN).
  • Auf Wunsch des Nutzers kann eine Anmeldung auch ohne diese Sicherheit erfolgen. Hierzu genügt ein einzelnes Sicherungsmittel (üblicherweise Benutzername und Kennwort, § 4 Abs. 1 Satz 3 De-Mail-Gesetz).

Der Absender einer De-Mail kann verlangen, dass der Empfänger sich sicher im oben genannten Sinne anmeldet, bevor er die Nachricht abruft (§ 5 Abs. 4 De-Mail-Gesetz); ebenso kann er von seinem Anbieter verlangen, dem Empfänger deutlich zu machen, dass er (der Absender) sich sicher angemeldet hat (§ 5 Abs. 5 De-Mail-Gesetz). Eine sichere Anmeldung ist erforderlich, um eine automatische Weiterleitung auf eine andere De-Mail-Adresse einzurichten (§ 5 Abs. 11 De-Mail-Gesetz). Bei Nutzung der Dokumentenablage kann der Nutzer für jede einzelne Datei festlegen, ob er sie nur nach sicherer Anmeldung oder auch ohne diese Erfordernisse nutzen können will (§ 8 Satz 3 De-Mail-Gesetz).

Akkreditierte Diensteanbieter

[Bearbeiten | Quelltext bearbeiten]

Akkreditierungsverfahren

[Bearbeiten | Quelltext bearbeiten]

§ 17 De-Mail-Gesetz sieht vor, dass die De-Mail-Anbieter im Rahmen einer Akkreditierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Umsetzung technischer und organisatorischer Maßnahmen nachweisen müssen, die zum Beispiel den internen oder externen Zugriff auf die Daten durch Unberechtigte verhindern.

Hierzu gehören einerseits Nachweise der Funktionalität, Interoperabilität und Sicherheit sowie andererseits der Nachweis des Datenschutzes. Die Anforderungen, die zur Funktionalität und Interoperabilität eingehalten werden sollen, sind in der Technischen Richtlinie BSI TR-0120 [TR-DM] definiert, die die folgenden Bereiche abdeckt: IT-Basisinfrastruktur, Benutzerkontenverwaltung, Postfach- und Versanddienst, Identifizierungsdienst Light, Dokumentensafe Light, Sicherheit. Für die Prüfung dieser Anforderungen wird ein Prüfbericht erstellt, der durch das BSI begutachtet wird. Bei erfolgreicher Prüfung wird ein Zertifikat ausgestellt und auf Wunsch des Anbieters auf der Website des BSI veröffentlicht.[15]

Um die Sicherheitsanforderungen zu erfüllen, muss eine ISO27001 Zertifizierung auf der Basis des IT-Grundschutzes – ergänzt um spezifische De-Mail-Anforderungen – durchgeführt werden. Der Auditor erstellt hierzu einen Audit-Bericht, der vom BSI geprüft wird. Es wird bei erfolgreicher Prüfung ein Zertifikat erstellt, das auf Wunsch veröffentlicht wird.[15]

Für die Akkreditierung muss der De-Mail-Anbieter zudem nachweisen, dass er auch die datenschutzrechtlichen Anforderungen erfüllt. Der Nachweis ist durch ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu erbringen. Dafür muss der De-Mail-Anbieter dem BfDI ein sachverständiges Gutachten vorlegen. Grundlage für die Begutachtung ist der Kriterienkatalog des BfDI.[10]

Die Akkreditierung zum De-Mail-Dienstanbieter ist keine Pflicht, bietet den Dienstanbietern jedoch auf der einen Seite den Vorteil, dass sie ein Gütezeichen erhalten, das dem Anwender die Akkreditierung signalisiert.[16] Auf der anderen Seite erfolgt der Austausch von Nachrichten in der Regel nur zwischen akkreditierten De-Mail-Dienstanbietern. Hierfür müssen sie ebenfalls nachweisen, dass sie die De-Mail-Dienste interoperabel anbieten, also auf technischer Ebene mit den anderen De-Mail-Anbietern nahtlos zusammenarbeiten.

Detaillierte und aktuelle Information zum Zertifizierungs- und Akkreditierungsverfahren werden auf der Website des BSI veröffentlicht. Die technischen Vorgaben wurden ebenfalls vom BSI veröffentlicht.[17]

Zugelassene Auditoren und Prüfstellen

[Bearbeiten | Quelltext bearbeiten]

Das BSI hat auf seiner Website Auditoren für die Prüfung der IT-Sicherheit, Interoperabilität und Funktionalität veröffentlicht.[18] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) geht hinsichtlich der neben der technischen Prüfung ebenfalls erforderlichen Datenschutzprüfung einen anderen Weg: Als Gutachter für die Datenschutzprüfung kommen vom Bund oder von einem Bundesland anerkannte oder öffentlich bestellte oder beliehene sachverständige Stellen für Datenschutz zum Einsatz. Sie müssen für die beiden Bereiche Recht und Technik fachlich zugelassen sein. Solche Stellen sind derzeit beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugelassen.[19]

Akkreditierte Anbieter

[Bearbeiten | Quelltext bearbeiten]

Aktuell sind vier Unternehmen mit folgenden Domains akkreditiert:[20]

  • FP Digital Business Solutions GmbH mit
    • fp-demail.de
    • mc-demail.de
    • fpbrief.de-mail.de
    • anwalt.de-mail.de
  • 1&1 De-Mail GmbH (Einstellung zum 7. Februar 2025 angekündigt) mit
    • 1und1.de-mail.de
    • gmx.de-mail.de
    • sec.de-mail.de
    • web.de-mail.de
  • Deutsche Telekom AG mit
    • de-mail-t-systems.de-mail.de (wurde zum 31. August 2022 von der Deutsche Telekom Security GmbH eingestellt)[21][22]
    • t-online.de-mail.de (wurde zum 31. August 2022 von der Telekom Deutschland GmbH eingestellt)[21][22]

Zur Cebit 2012 wurden mit der Mentana-Claimsoft GmbH (Tochtergesellschaft der Francotyp-Postalia), der T-Systems International GmbH und der Telekom Deutschland GmbH drei Unternehmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Diensteanbieter für De-Mail akkreditiert.[23] Im März 2013 folgte die United Internet AG, die unter der Firmierung 1&1 De-Mail GmbH für GMX, Web.de, sowie als Businesslösung von 1&1, De-Mail-Produkte anbietet.

Im August 2021 kündigte die Telekom Deutschland GmbH an, ihren De-Mail-Dienst zum 31. August 2022 einzustellen.[24]

Zugangseröffnung und Nutzung

[Bearbeiten | Quelltext bearbeiten]

Die Nutzung des Dienstes durch die Bürger soll freiwillig sein. Die Übermittlung elektronischer Dokumente von Unternehmen und Behörden an Verbraucher ist dann zulässig, sofern der Empfänger hierfür einen Zugang eröffnet hat (sogenannte Zugangseröffnung). Im De-Mail-Gesetz ist im § 7 Abs. 3 festgelegt, dass „die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher […] allein […] nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung“ gilt. Der Verbraucher muss die Freigabe zur Zusendung explizit erklären. Dazu stehen ihm folgende Wege offen:

  1. Der Verbraucher nimmt per De-Mail Kontakt mit dem Unternehmen oder der Einrichtung auf. Diese können ihm dann auf seine Anfrage antworten.
  2. Der Verbraucher erklärt auf anderem Wege sein Einverständnis, dass Unternehmen und Behörden ihn unter seiner De-Mail-Adresse erreichen können. Diese Erklärung könnte z. B. über eine Webplattform erfolgen, mit deren Hilfe Verbraucher die abgegebenen Zugangseröffnungen verwalten können.

Zugangseröffnungen können auch zurückgenommen werden. Sowohl die Einrichtung eines Postfachs als auch der Versand von Nachrichten und die Bestätigung des Versands können kostenpflichtig angeboten werden.

Von unverschlüsselter E-Mail unterscheidet sich De-Mail vor allem darin, dass die Nachrichten abschnittsweise verschlüsselt versendet werden. Die vorhandenen technischen Standards sollen zum Betrieb von De-Mail jedoch nicht erweitert werden; vielmehr soll die zusätzliche Sicherheit durch die verpflichtende Nutzung von Standardfunktionen entstehen, die eigentlich als optional gelten und in der Praxis selten in vollem Umfang genutzt werden.

  • Fester Bestandteil von De-Mail soll eine verpflichtende Authentifizierung sein, so dass die Systeme von Absender und Empfänger die Identität der jeweils anderen Seite sicherstellen können. Eine Möglichkeit hierfür ist der Einsatz digitaler Zertifikate.
  • Eine abschnittsweise Verschlüsselung der Übertragungswege soll Sicherheit gegen den Zugriff durch Unbefugte bieten.

Bei besonders hohen Anforderungen an die Vertraulichkeit der Nachrichten haben De-Mail-Nutzer wie bei herkömmlichen E-Mails die Möglichkeit, die mit De-Mail übermittelten Inhalte noch zusätzlich selbst zu verschlüsseln („Ende-zu-Ende-Verschlüsselung“). In diesem Fall erfolgt die Verschlüsselung auf dem Rechner des Absenders und die Entschlüsselung der Inhalte erst auf dem Rechner des Empfängers. Hierfür ist jedoch die Installation zusätzlicher Software erforderlich, die die Ver- und Entschlüsselung durchführt. Der Verzeichnisdienst, der bei De-Mail obligatorisch durch den Diensteanbieter angeboten werden muss, unterstützt den Anwender, indem dieser seinen öffentlichen Schlüssel anderen Anwendern zur Verfügung stellen kann. Es soll also ermöglicht werden, an einer zentralen Stelle nach öffentlichen Schlüsseln von Personen suchen zu können, um mit diesen vertraulich zu kommunizieren. Das Fehlen einer zentralen Datenbank für Schlüssel stellt den wesentlichen „Hemmschuh“ für die Verbreitung von Verfahren zur Ende-zu-Ende-Verschlüsselung („Wo finde ich den gültigen Verschlüsselungsschlüssel meines Kommunikationspartners?“). Mit De-Mail soll auf diese Weise der Einsatz der Ende-zu-Ende-Verschlüsselung unterstützt und gefördert werden.

S/MIME oder OpenPGP können zusätzlich durch den Nutzer für die Abbildung der Ende-zu-Ende-Sicherheit eingesetzt werden. Die Liste der hauptsächlichen Sicherheitsfunktionen wurden in einem Dokument des BMI zusammengefasst.

Technische Konzeption

[Bearbeiten | Quelltext bearbeiten]

Das technische Konzept ist innerhalb von technischen Richtlinien beschrieben, die auf der Web-Seite des BSI[25] veröffentlicht sind.

Standardmäßige Transportsicherheit

[Bearbeiten | Quelltext bearbeiten]

Sowohl die Kommunikation der De-Mail-Nutzer mit ihren De-Mail-Provider als auch die Kommunikation von De-Mail-Anbietern untereinander verläuft grundsätzlich über TLS-gesicherte Kommunikationskanäle.[8] Reicht einem Nutzer das dadurch realisierte Sicherheitsniveau nicht aus, kann er zusätzlich seine Nachrichten und Dokumente Ende-zu-Ende-verschlüsseln oder Inhalte (qualifiziert) signieren.[9]

Versand der Nachricht vom Absender an den De-Mail-Provider

[Bearbeiten | Quelltext bearbeiten]

Die Nachricht wird vom Web- oder Nachrichten-Client des Nutzers an den Postfachdienst des Providers übermittelt.[9]

Prüfung und Ergänzung der Metadaten

[Bearbeiten | Quelltext bearbeiten]

Unmittelbar nach Entgegennahme der Nachricht vom Absender überprüft der De-Mail-Anbieter die mit der Nachricht übermittelten Metadaten. Unter anderem muss die in der Nachricht als Absenderadresse angegebene De-Mail-Adresse dem De-Mail-Konto zugeordnet sein, von dem der Absender die Nachricht verschickt. Auch muss das Authentisierungsniveau des Absenders mindestens Hoch sein, wenn er die De-Mail-spezifische Versandoption Absender-bestätigt ausgewählt hat. Nach Prüfung der Metadaten wird der Nachrichteninhalt auf Malware untersucht. Anschließend ergänzt der De-Mail-Anbieter des Absenders weitere Metadaten, darunter die aktuelle Zeit.

Integritätssicherung und Verschlüsselung

[Bearbeiten | Quelltext bearbeiten]

Mit dem Ziel der Integritätssicherung fügt der De-Mail-Anbieter des Absenders der Nachricht inklusive Metadaten einen Hashwert hinzu.[9] Ein Hashwert stellt allerdings keinen Integritätsschutz im Sinne eines Message Authentication Code dar.[26] Bei Nachrichten, die mit der Versandoption Absender-bestätigt versandt werden, wird der Hashwert vom Anbieter noch zusätzlich qualifiziert elektronisch signiert und die Signatur in den Metadaten der Nachricht (Header) gespeichert.

Im Anschluss verschlüsselt der De-Mail-Anbieter den Nachrichteninhalt sowohl für sich selbst als auch für die De-Mail-Anbieter der Empfänger.

Seit April 2015 können De-Mails mittels Mailvelope-Plugin nach dem PGP-Verfahren Ende-zu-Ende verschlüsselt werden.[27]

Versandbestätigung

[Bearbeiten | Quelltext bearbeiten]

Unmittelbar vor der Übertragung der Nachricht an den oder die Empfänger stellt der De-Mail-Anbieter des Absenders – falls vom Absender angefordert – eine qualifiziert signierte Versandbestätigung aus. Die Versandbestätigung wird dem Absender als Anhang einer De-Mail zugestellt. Die Versandbestätigung enthält unter anderem den Hashwert der ursprünglichen Nachricht und den Zeitpunkt der Übermittlung. Damit kann der Absender gegenüber Dritten nachweisen, dass er zu einem bestimmten Zeitpunkt die referenzierte Nachricht versandt hat.

Übertragung der Nachrichten an De-Mail-Provider

[Bearbeiten | Quelltext bearbeiten]

Die De-Mail wird vom De-Mail-Anbieter des Absenders mittels SMTP durch TLS gesichert an den De-Mail-Anbieter des Empfängers übertragen.[8] Nach Entgegennahme der Nachrichten wird eine Kopie der Nachricht temporär entschlüsselt und die Integrität der Nachricht geprüft. Ein gegebenenfalls vorhandener Nachsendeauftrag wird bearbeitet. Anschließend legt der Anbieter des Empfängers die verschlüsselte Nachricht im Postfach des Empfängers ab und verwirft die entschlüsselte Nachrichtenkopie.[9]

Zugangsbestätigung

[Bearbeiten | Quelltext bearbeiten]

Unmittelbar nach Ablage der Nachricht in das Postfach des Empfängers stellt der De-Mail-Anbieter des Empfängers eine Zugangsbestätigung für den Absender der Nachricht aus – sofern vom Absender gewünscht. Diese Bestätigung des Zugangs der Nachricht wird vom BSI in seiner Technischen Richtlinie auch Eingangsbestätigung genannt. Der De-Mail-Anbieter signiert die Bestätigung qualifiziert und sendet sie dem Absender als Anhang einer De-Mail zurück. Die Zugangsbestätigung enthält unter anderem den Hashwert der ursprünglichen Nachricht sowie den Zeitpunkt der Ablage der Nachricht in das Postfach des Empfängers. Der Absender der ursprünglichen Nachricht kann mit der Zugangsbestätigung gegenüber Dritten nachweisen, dass der Empfänger ab einem bestimmten Zeitpunkt Zugang zu einer bestimmten Nachricht hatte.

Protokolle und Datenformate von De-Mail

[Bearbeiten | Quelltext bearbeiten]

Für die De-Mail-Kommunikation sind zwei Kommunikationsstrecken relevant: zum einen die Strecke zwischen Nutzer und seinem De-Mail-Anbieter und zum anderen die „interne“ Strecke zwischen zwei De-Mail-Anbietern.

Für den Kommunikationskanal zwischen Nutzer und seinem Anbieter gibt es die sicherheitstechnische Anforderung, dass die Kommunikation über einen gegenseitig authentisierten und vertraulichen Kanal erfolgen muss, wie beispielsweise SSL/TLS. Dies kann aber auch über OSCI-Transport realisiert werden. Die technische Umsetzung und damit die Wahl des Transportprotokolls und auch der verwendeten Datenformate können individuell zwischen De-Mail-Provider und Nutzer erfolgen. Auch können Absender und Empfänger prinzipiell unterschiedliche Protokolle bzw. Datenformate und damit auch Client-Anwendungen nutzen. De-Mail-Anbieter müssen als Client-Anwendungen mindestens Webbrowser mit HTTPS unterstützen. Darüber hinaus sind auch E-Mail-Clients mit SMTP für den Versand und POP3 oder IMAP für den Empfang von Nachrichten – jeweils über einen sicheren Kommunikationskanal eingesetzt – möglich.

Die Protokolle und Datenformate zwischen zwei De-Mail-Anbietern sind im Unterschied zum Kanal zwischen Nutzer und De-Mail-Anbieter genau spezifiziert, so dass alle Anbieter einheitlich (interoperabel) untereinander kommunizieren können. Zur Absicherung der Kommunikation zwischen zwei De-Mail-Anbietern kommt stets SSL/TLS zum Einsatz. Über diesen verschlüsselten Kanal wird SMTP zum Übermitteln der Nachrichten und als Datenformat das Standard-E-Mail-Format (Internet Message Format) eingesetzt.[28]

Das Projekt Bürgerportal wurde von der deutschen Bundesregierung zusammen mit privatwirtschaftlichen Partnern realisiert. Das Projekt wurde öffentlich im November 2008 erstmals auf dem IT-Gipfel in Darmstadt vorgestellt. Am 4. Februar 2009 wurde ein entsprechender Gesetzentwurf der Bundesregierung beschlossen.[29]

Statt des bisherigen Gesetzentwurfs zur Regelung von Bürgerportalen wurde ein neuer Gesetzentwurf mit dem Namen „Entwurf eines Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften – De-Mail-Gesetz“ bei den Verbänden und Vereinen zur Kommentierung vorgelegt. Die Financial Times Deutschland berichtete im September 2009, dass die Deutsche Post AG das Gesetzgebungsverfahren verzögerte, um der eigenen Dienstleistung E-Postbrief einen Startvorteil zu verschaffen.[30] Ein De-Mail-Pilotprojekt im Raum Friedrichshafen lief ein halbes Jahr (Oktober 2009 bis März 2010). Die Pilot-Systeme standen den Nutzern noch zur Verfügung.

Im Jahr darauf wurde das De-Mail-Gesetz als Art. 1 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften beschlossen und trat nach dessen Art. 6 am 3. Mai 2011 in Kraft. Die Einführung von De-Mail war zunächst für Frühjahr/Sommer 2011 geplant, jedoch verzögerte sie sich. Das BSI begründet dies mit dem langwierigen Zertifizierungsprozess der von den künftigen De-Mail-Anbietern zur Prüfung vorgelegten Dienste.[31]

Im Dezember 2011 gab das BSI per Pressemitteilung bekannt, man habe „der Mentana-Claimsoft AG ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz erteilt“. Das Zertifikat enthalte zusätzliche Aspekte aus der Technischen Richtlinie TR 01201 De-Mail.[32] Das Unternehmen ist damit das erste mit den nötigen sicherheitstechnischen Voraussetzungen für eine Akkreditierung. Am 3. Februar 2012 veröffentlichte Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, per Pressemitteilung,[33] dass er diesem Unternehmen auch ein Datenschutzzertifikat für den dort geplanten De-Mail-Dienst erteilt hat. Die Deutsche Telekom kündigte im März 2012 an, den Dienst für Großkonzerne noch im selben Monat zu starten und kleine und mittelständische Unternehmen sowie Privatkunden konnten ihn seit 31. August 2012 nutzen.[34] Nachdem die Deutsche Post ihren Standard-E-Postbrief nicht beim Gesetzgeber durchsetzen konnte, wollte sie ab Dezember 2012 De-Mail anbieten.[35] Im April 2013 machte die Deutsche Post einen Rückzieher und stellte ihre De-Mail-Pläne ein.[36]

Der Internetanbieter 1&1 bietet nach Akkreditierung beim BSI seit der zweiten Jahreshälfte 2012 einen Dienst für Geschäftskunden an.[37] GMX und web.de, die ebenfalls zum 1&1-Konzern gehören, führten ein De-Mail-Angebot nach der Akkreditierung im März 2013 ein.

Das zentrale Gateway zur Anbindung der Bundesbehörden an De-Mail hat am 23. März 2015 seinen Betrieb aufgenommen. Jede Behörde des Bundes, die einen Zugang zu diesem Gateway hat, ist seit dem 24. März 2016[38] verpflichtet, einen Zugang für De-Mail nach § 2 Abs. 2 EGovG zu eröffnen. Laut öffentlichem De-Mail Verzeichnis haben am Stichtag lediglich 60 Prozent der Verwaltungen und Ministerien einen entsprechenden Zugang eröffnet.[39]

Nach Angaben der De-Mail-Anbieter im Rahmen der Arbeitsgruppe De-Mail haben sich seit Marktstart im September 2012 über eine Million Privatkunden, einige zehntausend Mittelstandskunden und etwa 1000 De-Mail-Großkunden aus Wirtschaft und Verwaltung authentifiziert.[40]

Allerdings wird De-Mail in der Praxis fast gar nicht genutzt. Im Jahresbericht 2021 übt der Bundesrechnungshof deutliche Kritik am Bundesinnenministerium. So wurden zwischen den Jahren 2011 und 2020 von Behörden nur etwa 6000 De-Mails versandt. Die dadurch erzielten Einsparungen betragen etwa 3500 Euro, demgegenüber stehen Kosten von mindestens 6,5 Mio. Euro.[41]

Schon in der Vergangenheit konnten De-Mail-Nutzer ihre Dokumente auf dem bereits verschlüsselten Transportweg zusätzlich Ende-zu-Ende verschlüsseln. Seit dem 20. April 2015 ist von den De-Mail-Diensteanbietern die Möglichkeit zur Nutzung der Ende-zu-Ende-Verschlüsselung bei De-Mail stark vereinfacht worden.[40]

Am 31. August 2021 kündigte die Deutsche Telekom „aufgrund fehlender Wirtschaftlichkeit“ zum Ende August 2022 den Ausstieg aus dem De-Mail-Projekt an. Als Hintergrund der Entscheidung wird ein auslaufender Rahmenvertrag mit dem Bundesinnenministerium angenommen.[24]

Die 1&1 De-Mail GmbH hat im Mai 2024 für ihre Dienste die Einstellung „innerhalb der nächsten zwölf Monate“[42] angekündigt. Die Kunden wurden am 30. Juni 2024 per E-Mail über die Kündigung sämtlicher bestehender DE-Mail-Verträge zum 30. Oktober 2024 informiert. Der Dienst wird ab 8. Februar 2025 nicht mehr erreichbar sein. Kunden haben noch bis zum 7. Februar 2025 die Möglichkeit, sämtliche Inhalte zu exportieren.

Es gab bereits 2011 Kritik an dem System. Der Chaos Computer Club und weitere Sachverständige hatten der De-Mail in puncto Sicherheit ein katastrophales Zeugnis ausgestellt. Der zentrale Kritikpunkt ist die fehlende Ende-zu-Ende-Verschlüsselung, die den De-Mail-Providern, Polizei, Geheimdiensten und potentiellen Angreifern Zugriff auf die unverschlüsselten Kommunikationsdaten gewähre. Die geplante Aufweichung von Verwaltungsgesetzen, die trotz dieses Mangels den Einsatz von De-Mail im Behördenverkehr zukünftig rechtlich ermöglichen soll, setze sensible Daten von Bürgern fortan einem inakzeptablen Risiko aus.[43]

Linus Neumann, der 2013 als IT-Sachverständiger zum Thema De-Mail im Bundestag geladen war, stellte auf dem 30. Chaos Communication Congress (30C3) eine umfassende Analyse der De-Mail vor. In seinem Vortrag mit dem Titel Bullshit made in Germany[44] erklärte er, De-Mail sei „absichtlich unsicher gebaut“, um deutschen Diensten zu ermöglichen, Bürger auszuspähen. Auf Absender- und Empfänger-Seite sowie dazwischen auf den Servern der De-Mail-Anbieter könnten die Provider oder Hacker die Nachrichten theoretisch lesen. Viele Features wie der automatische Virenscan seien bei genauerer Betrachtung kein Nutzungsargument, sondern im Gegenteil: Aufgrund der wenigen Server mit sensiblen Daten erhöhe sich die Attraktivität eines Angriffes aus Hacker-Sicht sogar.[45]

Technische Konzeption

[Bearbeiten | Quelltext bearbeiten]

De-Mail verwendet zur Absicherung der Kommunikation sowohl zwischen Nutzer und Anbieter als auch zwischen zwei Anbietern gegenseitig authentisierte und verschlüsselte Kommunikationskanäle. Beim Versand wird daher der Nachrichteninhalt erst auf Anbieter-Seite integritätsgesichert und für den Anbieter des Empfängers verschlüsselt. Auch muss der Anbieter des Empfängers den Nachrichteninhalt vor Übertragung an ihn wieder entschlüsseln, prüfen und wiederum verschlüsseln. Hierbei kommt keine sogenannte Ende-zu-Ende-Verschlüsselung zustande. Jedoch kann der Nutzer auch bei De-Mail seine Nachrichten selbst signieren und Ende-zu-Ende-verschlüsseln, wobei die Verschlüsselung durch den Anbieter und Entschlüsselung lokal beim Nutzer vollzogen wird. De-Mail unterstützt diese Operation durch einen Verzeichnisdienst, in dem Nutzer eigene Verschlüsselungszertifikate veröffentlichen können, bzw. müssen.[46] Ein Prüfdienst für die qualifizierte elektronische Signatur soll es dem Nutzer einfach machen, die elektronische Unterschrift zu verifizieren.

Falls eine Nachricht vom Nutzer nicht verschlüsselt wurde, ist es prinzipiell möglich, dass Mitarbeiter der Anbieter die Nachrichten mitlesen oder verändern können. Dieser Gefahr soll durch technische und organisatorische Maßnahmen begegnet werden, die im Zertifizierungsverfahren überprüft werden. So muss der Anbieter durch die Umsetzung eines geeigneten Rollenkonzeptes und anderer technischer Maßnahmen nachweisen, dass einzelne Mitarbeiter eines Anbieters nicht auf die Nachrichten der Nutzer zugreifen können.[47]

Eine Kommunikation zwischen De-Mail-Adressen und regulären E-Mail-Adressen ist nicht möglich.

Allerdings sind die EGVP der Gerichte seit dem 1. Januar 2018 über einen Gateway per De-Mail zu erreichen. Sie können dabei nach dem Schema SAFE-ID des Gerichts@egvp.de-mail.de oder gerichtsbezeichnung@egvp.de-mail.de (bspw. sg-darmstadt@egvp.de-mail.de) adressiert werden.[48] Die SAFE-ID des jeweiligen Gerichtes kann in einem EGVP-Client im Verzeichnisdienst nachgesehen werden.

Bei GMX darf jede angehängte Datei maximal 20 MB groß sein und die ganze De-Mail mit allen Anhängen, eingebetteten Bildern und Text maximal 21 MB.[49]

Vor der Einrichtung eines De-Mail-Briefkastens muss man sich identifizieren, was bei einem normalen Briefkasten oder bei dem Versand von Briefen nicht erforderlich ist.[50] Aufgrund der Architektur von De-Mail fließen alle Daten und Kontakte auf die Person rückführbar an einer zentralen Stelle zusammen. Die Verwendung mehrerer, nicht in Verbindung zu bringender Identitäten ist nicht möglich.[51]

Die hinterlegten persönlichen Daten des Nutzers sind für eine Vielzahl von Sicherheitsbehörden und Geheimdiensten ohne richterliche Anordnung anforderbar (§ 113 TKG), die Identität hinter einer De-Mail-Adresse ist für etwa 250 bei der Bundesnetzagentur registrierte Behörden in einem Online-Verfahren abrufbar (§ 112 TKG), in dem bei ca. 140 Telekommunikationsanbietern täglich nahezu 100.000 Zugriffe auf Kundendaten erfolgen.[52] Nach § 16 des De-Mail-Gesetzes erhalten in bestimmten Fällen zudem private Auskunft über Namen und Anschrift eines Nutzers. Voraussetzung ist unter anderem, dass der Dritte die Daten benötigt, um einen Rechtsanspruch gegen den Nutzer zu verfolgen, der unter Nutzung von De-Mail entstanden ist.

Eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG) schließt der Gesetzentwurf nicht normenklar aus. Nutzerkennung und Passwort zu einem De-Mail-Postfach sind auf Anforderung einer Strafverfolgungsbehörde, einer Polizeibehörde, des Bundesamts für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes ohne richterliche Anordnung herauszugeben (§ 113 TKG). Die im De-Mail-Postfach liegenden Dokumente und Informationen sind damit keineswegs so geschützt wie Papierdokumente oder Briefe in der eigenen Wohnung. Das Recht zur Passwortabfrage besteht zwar bei allen E-Mail-Konten. Dort kann man sich aber mit anonymen Postfächern, multiplen Identitäten und ausländischen Konten vor Zugriffen schützen, was bei De-Mail nicht möglich ist.

Obwohl die Beantragung einer De-Mail-Adresse freiwillig sein soll, wird befürchtet, dass Behörden und Unternehmen, die ihre Leistungen bisher anonym oder ohne Überprüfung der Kundenangaben angeboten haben, faktisch schrittweise eine personengebundene und identitätsgeprüfte E-Mail-Adresse zur Voraussetzung des Angebots ihrer Leistungen machen werden. Ziel des Vorhabens ist dem Bundesinnenministerium zufolge tatsächlich, „die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall“ zu machen.[53] Die eindeutige Identifizierung im Internet kann zum Ausschluss bestimmter Kundengruppen genutzt werden, etwa wegen angeblich mangelnder Bonität oder auch nur wegen Missliebigkeit oder Kritik am Unternehmen.

Der Arbeitskreis Vorratsdatenspeicherung zieht das Fazit, von der Benutzung von De-Mail könne „nur abgeraten werden“.[54] Um einen faktischen Zwang zur Nutzung von De-Mail zu verhindern, müsse der Dienst boykottiert werden, damit er sich nicht durchsetze.

An der Umsetzung des Dienstes war mit der Deutschen Telekom ein früherer Staatsbetrieb beteiligt.[55] Die Strato AG kritisierte die angewandte Zulassungspraxis, nachdem sie selbst nach eigenen Angaben von der Teilnahme ausgeschlossen worden war.[55] Dennoch kann der gesetzlich geforderte Nachweis eines Datenschutzkonzepts für De-Mail-Anbieter[29] die Vertrauenswürdigkeit gegenüber anderen E-Mail-Anbietern steigern.

Seit ihrer Einführung im Jahr 2012 hat sich De-Mail trotz vieler Unterstützer aus Bund, Behörden und Unternehmen nicht durchgesetzt. Nach Angaben des offiziellen Informationsportals zur De-Mail haben sich in Deutschland bis 2019 mehr als eine Million Nutzer registriert. Offizielle Stellen und sogar Bundesbehörden meiden den sicheren Service.[56] Erfolgreicher war bisher in Italien die PEC (Posta Elettronica Certificata), die seit dem Start im Jahr 2008 bis September 2020 bereits über 11,5 Millionen E-Mailpostfächer vergeben hat. Laut Untersuchungen der in Italien zertifizierten Betreibergesellschaften sollen die Einsparungen der Nutzer in den Jahren von 2008 bis 2019 rund 2,2 Milliarden Euro ausgemacht haben und weitere 1,8 Milliarden Euro von 2020 bis 2022 betragen. Die Nutzung der PEC soll eine Einsparung von 78.000 Tonnen CO2 im Jahr 2019 ausgemacht haben und im Jahr 2022 bereits 120.000 Tonnen betragen. Nutzer des sicheren Maildienstes sollen im Jahr 2019 rund 235 Millionen Kilometer an Wegstrecken eingespart haben. Im Jahr 2022 sollen durch die Nutzung des zertifizierten digitalen Dienstes bis zu 391 Millionen Kilometer an Wegstrecken eingespart werden.[57]

Zustellung an und durch Gerichte und Behörden

[Bearbeiten | Quelltext bearbeiten]

Die De-Mail hat eine besondere Förderung durch den Gesetzgeber erfahren, indem sie seit 1. Januar 2018 mit Übergangszeit bis 1. Januar 2020 für nahezu sämtliche Verfahrenswege als einer von drei sicheren rechtswirksamen Wegen zur Übermittlung elektronischer Dokumente an Gerichte und Behörden eingeführt wurde.[58] Damit ist erstmals für Bürger ohne Kartenlesegerät die „Klage per E-Mail“ oder ein förmlicher Rechtsbehelf mit E-Mail möglich. Die beiden bis dahin dazu eingeführten Wege, das besondere elektronische Anwaltspostfach (beA) und das EGVP waren ihm bislang entweder verschlossen oder haben sich aufgrund der Pflicht, mit einer qualifizierten elektronischen Signatur (also per Kartenlesegerät) zu unterschreiben, in der Praxis als zu umständlich erwiesen. Ansonsten waren nur nicht formgebundene Erklärungen elektronisch möglich.

Zur Klageerhebung oder Übermittlung sonstiger Dokumente, für die ein Schriftformerfordernis gilt, ist nötig:[59] Beim Login-Vorgang muss die Identität zeitnah bestätigt werden. Nur so ist gemäß § 4 Absatz 1 Satz 2 des De-Mail-Gesetzes der Nutzer „sicher“ angemeldet. Dies erfolgt in der Praxis meist mit einer auf das Handy des Nutzers per SMS verschickten mTAN.

Bildschirmfoto der angeklickten Auswahl „Absenderbestätigung“ bei Web.de
Absenderbestätigung bei Web.de

Bei Absendung des Dokumentes muss dann die sichere Anmeldung für den Empfänger sichtbar bestätigt werden gemäß § 5 Absatz 5 De-Mail-G. Hierzu verwendet der De-Mail-Anbieter einen Anhang, den er mit seiner eigenen qualifizierten elektronischen Signatur aufwändig unterschreibt. Deshalb ist diese Leistung in der Regel für den Endnutzer kostenpflichtig. Das entsprechende Auswahlfeld lautet meist „vertraulich versenden“. Weitere Anforderungen nennt die Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (Elektronischer-Rechtsverkehr-Verordnung – ERVV), so etwa zu Höchstgrenzen des Datenvolumens oder einem Mindestmaß anzugebender Vorgangskennzeichen.[60]

Juristen wie Wolfgang Steppling, Vizepräsident des Oberverwaltungsgerichts Rheinland-Pfalz, kritisierten die im Gesetzentwurf vorgesehene Möglichkeit, behördliche Bescheide ohne Empfangsbestätigung elektronisch zuzustellen. Damit könnten Bescheide in Bestandskraft erwachsen, ohne dass der Betroffene überhaupt davon erfährt. Denn im Unterschied zum herkömmlichen Briefkasten wären für die laufende Überwachung des elektronischen Postfachs technische und finanzielle Voraussetzungen erforderlich, deren Schaffung und Aufrechterhaltung vom Bürger nicht ohne weiteres verlangt werden kann.[61] Jedoch wurde diese Kritik berücksichtigt, so dass ein elektronisch bereitgestellter Verwaltungsakt erst nach Versendung einer Abholbestätigung als bekanntgegeben gilt, wobei diese Bereitstellung zehn Tage nach der Information davon endet.[62]

Keine wesentlichen Änderungen dürften sich bei Behördenpost für die Zustellfiktion ergeben, denn für den Anfang einer Rechtsmittelfrist nahm bereits bislang die Rechtsprechung keine Rücksicht darauf, ob der dritte Tag auf ein Wochenende fiel, lediglich für das Fristende gelten über die VwVfG von Bund und Ländern §§ 188 ff. BGB.[63] Gegenüber einer einfachen E-Mail ermöglicht die De-Mail (mangels einer qualifizierten elektronischen Signatur) allerdings nicht, das zivilrechtliche Schriftformerfordernis nach § 126 Abs. 3 BGB zu erfüllen. Das E-Government-Gesetz aus 2013 hatte das Verwaltungsverfahrensgesetz des Bundes dahingehend geändert, dass in vielen Fällen auch die elektronische Form über De-Mail ausreicht. Auch die Bundesländer haben im Jahr 2014 überwiegend ihre Landesverwaltungsverfahrensgesetze entsprechend angepasst.

Die übrigen Folgen der Nutzung von De-Mail hängen hauptsächlich davon ab, welche Beweiskraft De-Mail zugemessen wird. Das ist bislang ungeklärt. Ungeklärt ist, wer die Beweislast für einen Missbrauch tragen soll, denn De-Mail liefert nur das Postfach, das einem Nutzer eindeutig per Ausweiskontrolle zugewiesen wird. Was innerhalb dieser Blackbox verschickt wird, ist weiterhin manipulierbar, weil nicht unterschrieben. Der Chaos Computer Club befürchtet, dass die Beweislast – ähnlich wie beim Missbrauch von Girocards – beim Verbraucher (Anwender) liegen könnte.[64] Da die Kontrolle der Identität nun in Telekom-Shops und Hermes-Annahmestellen durchgeführt wird, kann kaum sichergestellt werden, dass die Identität sicher geprüft wurde.

Diesem Problem lässt sich jedoch in gewissen Grenzen mit der fortgeschrittenen elektronischen Signatur begegnen: Mit ihr wird auch der unveränderbare Inhalt dem Unterzeichner zugeschrieben. Der Beweiswert darf nach EU-Recht nur durch qualifiziertes Bestreiten in Frage gestellt werden, so dass sich im Ergebnis eine Beweislastumkehr ergibt.

Mit Beschluss vom 19. November 2018 erklärte das Bundesverfassungsgericht eine per De-Mail eingelegte Verfassungsbeschwerde mit Hinweis auf die nicht eingehaltene Schriftformerfordernis als unzulässig.[65] Die Interpretation des Gerichts des Wortes „schriftlich“ in § 23 BVerfGG zuungunsten der De-Mail und entgegen der Vorgaben der EU-Dienstleistungsrichtlinie wird in der Fachliteratur kritisch betrachtet.[66] Bundesjustizminister Marco Buschmann veröffentlichte im Juni 2023 einen entsprechenden Gesetzentwurf zur elektronischen Kommunikation mit dem Bundesverfassungsgericht, dessen Umsetzung unter anderem die Nutzung von De-Mail ermöglichen würde.[67] Ab 1. August 2024 können Verfassungsbeschwerden auch über De-Mail eingelegt werden.[68]

Eine Finanzierung des Dienstes erfolgt über monatliche Beiträge und eine elektronische Frankierung („e-Porto“).[69][70] Im März 2014 wurden kostenfreie Angebote für Privatkunden eingeführt.[71]

Abgrenzung zu anderen Angeboten

[Bearbeiten | Quelltext bearbeiten]

E-Postbrief

Von 2010 bis Ende 2019[72] betrieb die Deutsche Post ein Konkurrenzprodukt zu De-Mail, den E-Postbrief. Mitunter wurde der Unterschied von E-Postbrief und De-Mail in der Öffentlichkeit nicht wahrgenommen.[73][74]

Da durch die Politik jedoch nur die De-Mail-Lösung als gesetzlich verbindlich festgelegt wurde, können Behörden bei rechtsverbindlicher Kommunikation nur mit Produkten arbeiten, die dem De-Mail-Standard entsprechen. Auf Gesetzesebene setzte sich die De-Mail in diesem Bereich daher gegen den E-Postbrief durch.

Die Deutsche Post AG stellte den Versuch, ihren bereits bestehenden E-Postbrief-Dienst als De-Mail-Angebot akkreditieren zu lassen,[75] im April 2013 ein. Der Versuch scheiterte an den Anforderungen des Datenschutzes zur Datenvermeidung beim eingesetzten Postident-Verfahren.[76][77]

Vergleichbare Dienste in Europa

[Bearbeiten | Quelltext bearbeiten]
  • Finnland: OmaPosti[78]
  • Italien: Posta elettronica certificata (PEC)[79]
  • Österreich: Elektronische Zustellung
  • Tschechien: Datové schránky[80]
  • Dänemark: E-Boks[81]
  • Polen: Electronic Platform of Public Administration Services (ePUAP)[82]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. CeBIT 2012: Onlinebrief DeMail macht Post Konkurrenz. 7. März 2012, abgerufen am 17. März 2018.
  2. Mail, die oder das. In: duden.de. Bibliographisches Institut, abgerufen am 17. März 2018.
  3. IT-Beauftragte der Bundesregierung – Häufig gestellte Fragen. Archiviert vom Original am 29. Februar 2012; abgerufen am 5. November 2011.
  4. @1@2Vorlage:Toter Link/www.kommune21.de (Seite nicht mehr abrufbar. Suche in Webarchiven)
  5. De-Mail: sichere und ver­schlüsselte Kommunikation. Bundesministerium des Innern und für Heimat, abgerufen am 3. November 2024.
  6. Uwe Berlit: Das Elektronische Gerichts- und Verwaltungspostfach. JurPC 13/2006.
  7. Raoul Kirmes: Elektronischer Rechtsverkehr im Intermediärmodell. In: Kommunikation & Recht (K&R) 10/2006, Verlag Recht und Wirtschaft.
  8. a b c Technische Richtlinie – IT-Basisinfrastruktur Interoperabilitätsspezifikation (Memento vom 14. Juli 2014 im Internet Archive) (PDF).
  9. a b c d e f Technische Richtlinie – Postfach- und Versanddienst Funktionalitätsspezifikation (Memento vom 12. August 2011 im Internet Archive) (PDF; 2,6 MB).
  10. a b BfDI: De-Mail Kriterienkatalog (PDF; 468 KB) (Memento vom 25. Januar 2014 im Internet Archive) BAnz AT 01.07.2014 B4.
  11. [TR BP IO] Technische Richtlinie Interoperabilitätsspezifikation Postfach- und Versanddienst eines Bürgerportals, Entwurf, Version 0.99. (PDF; 739 kB) Bundesamt für Sicherheit in der Informationstechnik (BSI), 2009, S. 10, abgerufen am 23. Juli 2010: „Übersicht über die Header von Bürgerportal-Nachrichten“
  12. Technische Richtlinie – Accountmanagement Funktionalitätsspezifikation (Memento vom 4. September 2014 im Internet Archive) (PDF; 404 kB).
  13. Technische Richtlinie – Identifizierungsdienst Funktionalitätsspezifikation (Memento vom 3. September 2014 im Internet Archive) (PDF; 671 kB).
  14. Technische Richtlinie – Dokumentenablege Funktionalitätsspezifikation (Memento vom 3. September 2014 im Internet Archive) (PDF; 1,7 MB).
  15. a b Schumacher, A.: Akkreditierung und Zertifizierung von De-Mail-Diensteanbietern. In: Datenschutz und Datensicherheit. Nr. 9, 2010, S. 302–307.
  16. BSI (2011): Akkreditierung von De-Mail-Diensteanbietern (Memento vom 3. September 2014 im Internet Archive) (abgerufen am 25. April 2012)
  17. BSI: Eine Übersicht über die technischen Vorgaben zur Gewährleistung der sicheren Kommunikationsinfrastruktur. In: bsi.bund.de. Archiviert vom Original am 17. Dezember 2012; abgerufen am 27. November 2021. https://doi.org/10.1007/s11623-010-0092-5
  18. BSI, Zertifizierung als Auditor De-Mail (Memento vom 1. Dezember 2010 im Internet Archive).
  19. ULD, Gütesiegel beim Unabhängigen Landeszentrum für Datenschutz – Sachverständigenregister (Memento vom 2. November 2011 im Internet Archive).
  20. Akkreditierte De-Mail Diensteanbieter. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 12. Januar 2022.
  21. a b So sichern Sie Ihre De-Mail Daten. In: de-mail.t-online.de. Archiviert vom Original am 22. August 2022;.
  22. a b Information zu De-Mail. Auf telekom.de, abgerufen am 19. Januar 2023
  23. De-Mail-Diensteanbieter akkreditiert. Bundesamt für Sicherheit in der Informationstechnik, archiviert vom Original am 18. Dezember 2012; abgerufen am 27. November 2021: „[…] Mentana-Claimsoft GmbH, Telekom Deutschland GmbH und T-Systems International GmbH können nun ihre De-Mail-Dienste Unternehmen, Verwaltungen und Privatpersonen anbieten. […]“
  24. a b Marcel Rosenbach: Telekom schaltet De-Mail ab. In: spiegel.de. 31. August 2021, abgerufen am 12. Januar 2022.
  25. bsi.bund.de: De-Mail – eine Infrastruktur für sichere Kommunikation (Memento vom 1. Dezember 2010 im Internet Archive)
  26. Charlie Kaufman, Radia Perlman, Mike Speciner: Netzwerksicherheit: Private Kommunikation in einer öffentlichen Welt. Prentice Hall PTR, Upper Saddle River, New Jersey 2002, ISBN 0-13-046019-2, S. 123–124 (amerikanisches Englisch: Network security: private communication in a public world.): „The obvious thought is that MD(m) is a MAC for message m. But it isn't. Anyone can compute MD(m). (Deutsch: Der naheliegende Gedanke ist, dass MD(m) ein MAC für Nachricht m ist. Aber das ist nicht so. Jeder kann MD(m) berechnen.)“
  27. Holger Bleich: De-Mail: Ende-zu-Ende-Verschlüsselung mit PGP gestartet. heise online, 22. April 2015.
  28. bsi.bund.de: De-Mail IT-Basisinfrastruktur Interoperabilitätsspezifikation (Memento vom 14. Juli 2014 im Internet Archive), S. 5
  29. a b Drucksache 174/09 – Entwurf eines Gesetzes zur Regelung von Bürgerportalen und zur Änderung weiterer Vorschriften. (PDF; 472 kB) Bundesrat, 20. Februar 2009, archiviert vom Original am 22. November 2010;.
  30. Financial Times Deutschland: Post torpediert Regierungsprojekt (Memento vom 27. September 2009 im Internet Archive), abgerufen am 24. September 2009 (kostenpflichtig).
  31. Aussagen des BSI an die „Wirtschaftswoche“
  32. De-Mail: BSI erteilt ISO-Zertifikat an Mentana-Claimsoft. (Memento vom 14. November 2012 im Internet Archive)
  33. BfDI: De-Mail: Bundesdatenschutzbeauftragter erteilt Mentana Claimsoft Zertifikat. In: bfdi.bund.de. Abgerufen am 27. November 2021.
  34. Wir sind De-Mailer! In: telekom.de. Archiviert vom Original am 30. Juni 2013;.
  35. onlinekosten.de: Deutsche Post setzt auch auf De-Mail (Memento vom 9. März 2012 im Internet Archive), 7. März 2012, Zugriff am 17. März 2012.
  36. Deutsche Post steigt bei De-Mail aus. Am 12. April 2013 auf Spiegel Online, abgerufen am 28. Juni 2013
  37. Christian Wolf: 1&1: De-Mail-Registrierung für Firmenkunden startet (Memento vom 28. April 2012 im Internet Archive), onlinekosten.de, 27. April 2012, Zugriff am 5. Mai 2012.
  38. Art. 31 Absatz 4 des Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften
  39. Computerwoche: Die De-Mail ist immer noch kein Behördenstandard Abgerufen am 14. Juli 2016.
  40. a b BT-Drs. 18/5440
  41. De-Mail: Elektronisches Pendant zur Briefpost kostete 6,5 Mio. Euro und wird kaum genutzt. Bundesrechnungshof, 30. November 2021, archiviert vom Original (nicht mehr online verfügbar) am 23. Dezember 2021; abgerufen am 23. Dezember 2021.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bundesrechnungshof.de
  42. 1&1 De-Mail. Abgerufen am 17. Mai 2024.
  43. Stellungnahme des CCC
  44. Linus Neumann: Bullshit made in Germany. (-Seite mit eingebettetem Video) So hosten Sie Ihre De-Mail, E-Mail und Cloud direkt beim BND! In: 30. Chaos Communication Congress (30C3). Chaos Computer Club e. V., 28. Dezember 2013, abgerufen am 24. März 2016 (Video-Download in verschiedenen Formaten, dazu Slides im PDF-Format).
  45. Angeblich sichere De-Mail absichtlich unsicher gebaut, Die Zeit, 29. Dezember 2013
  46. vgl. BSI TR 01201 Teil 3.1 S. 24f
  47. Technische Richtlinie – IT-Sicherheit Übergeordnete Komponenten (Memento vom 3. September 2014 im Internet Archive) (PDF; 994 kB)
  48. Henning Müller: ERV mit den Gerichten ab 1.1.2018 – ohne beA: Welche Möglichkeiten gibt es noch?. Am 28. Dezember 2017 auf ervjustiz.de, abgerufen am 21. Juli 2018
  49. Fehlermeldungen: "Die ausgewählte Datei kann nicht hinzugefügt werden! Die Größe der ausgewählten Anlagen überschreitet die zulässige Gesamtgröße von 21 MB. Die Größe von De-Mails inklusive aller Anlagen und im Text enthaltenen Bilder darf 21 MB nicht überschreiten." und "Die ausgewählte Datei kann nicht hinzugefügt werden! Die Anlage ist größer als 20 MB. Die Größe einer einzelnen Anlage für De-Mails darf 20 MB nicht überschreiten."
  50. vorratsdatenspeicherung.de (PDF; 136 kB): Stellungnahme des Arbeitskreises Vorratsdatenspeicherung, S. 12 f.
  51. vorratsdatenspeicherung.de (PDF; 136 kB)
  52. bundesnetzagentur.de (Memento vom 22. Mai 2012 im Internet Archive): Jahresbericht 2012 der Bundesnetzagentur, S. 112.
  53. E-Government 2.0 – Das Programm des Bundes. IT-Stab im Bundesministerium des Innern, November 2006, S. 15, abgerufen am 25. Juli 2010: „Bürger-Portale geben Bürgerinnen und Bürgern im Internet ein Gesicht. Sie machen die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall […]“
  54. Stellungnahme zur Dialogveranstaltung „Datenschutz und Datensicherheit im Internet“. (PDF; 136 kB) Arbeitskreis Vorratsdatenspeicherung (AK Vorrat), 16. Januar 2010, S. 12, abgerufen am 25. Juli 2010: „De-Mail und elektronischer Personalausweis können nicht für besseren Selbstdatenschutz eingesetzt werden. Umgekehrt kann von der Benutzung dieser Angebote nur abgeraten werden.“
  55. a b Thomas Wendel: Heftige Kritik an Bundes-E-Mail. Financial Times Deutschland, 9. Oktober 2008, archiviert vom Original am 10. Oktober 2008; abgerufen am 25. Juli 2010 (kostenpflichtig).
  56. WELT: Sogar die Bundesbehörden meiden die sichere De-Mail. Abgerufen am 10. August 2021.
  57. BitMAT: Numeri record per la PEC: attive 11.5 milioni di caselle. Abgerufen am 10. August 2021.
  58. § 130a ZPO, § 32a StPO, § 55a VwGO, § 65a SGG, § 46c ArbGG, § 52 FGO
  59. so § 130a Abs. 3 S. 1 ZPO, § 32a Abs. 4 Ziff. 1 StPO
  60. so im Verkehr mit Strafgerichten nach § 10 ERVV
  61. Witte: Neue Juristische Wochenschrift. Nr. 18, 2009, S. III.
  62. (§ 41 Absatz 2a VwVfG)
  63. Juraindividuell: Fristen im öff. Recht; a. A. Jürgen Kuri: Rechtssichere Bürger-E-Post De-Mail: Besonderheiten und Fallstricke (heise.de, 13. Juli 2010)
  64. E. Jung: Regierungspläne zum IT-Gipfel „Nie mehr Spam“. Sueddeutsche.de, 20. November 2008, S. 2, abgerufen am 26. Mai 2015: „„Wir befürchten, dass ähnlich wie bei EC-Karten dem Bürger pauschal die Beweislast im Missbrauchsfall auferlegt wird“, sagt Frank Rosengart vom Chaos Computer Club.“
  65. BVerfG, Beschluss Spruchkoerper_1__Senat_4__Kammer vom 19. November 2018 - 1 BvR 2391/18 - Rn. (1-7). Abgerufen am 7. Dezember 2018.
  66. Das BVerfG gibt sich beim Elektronischen Rechtsverkehr spröde, Verfassungsbeschwerden per De-Mail sind unzulässig. Abgerufen am 18. Dezember 2018.
  67. Zehntes Gesetz zur Änderung des Bundesverfassungsgerichtsgesetzes – Einführung des elektronischen Rechtsverkehrs mit dem Bundesverfassungsgericht. Abgerufen am 15. Juni 2023.
  68. Bundesgesetzblatt Teil I - Zehntes Gesetz zur Änderung des Bundesverfassungsgerichtsgesetzes – Einführung des elektronischen Rechtsverkehrs mit dem Bundesverfassungsgericht - Bundesgesetzblatt. Abgerufen am 19. April 2024.
  69. De-Mail Web im Überblick. (PDF) Telekom Deutschland GmbH, Januar 2014, archiviert vom Original am 22. Januar 2014; abgerufen am 11. März 2014.
  70. De-Mail Telekom für Geschäftskunden. Deutsche Telekom AG, archiviert vom Original (nicht mehr online verfügbar) am 5. Dezember 2020; abgerufen am 21. Dezember 2020.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/geschaeftskunden.telekom.de
  71. CeBIT Kostenlose De-Mail bei GMX und Web.de. Heise Zeitschriften Verlag GmbH & Co.KG, 10. März 2014, abgerufen am 11. März 2014.
  72. Alexander Kuch: Deutsche Post stellt elektronischen E-Postbrief ein. In: Teltarif.de. 14. November 2019, abgerufen am 11. August 2022.
  73. Arndt Ohler: Post gibt Startschuss für Online-Brief. Frankfurter Allgemeine Zeitung, 13. Juli 2010, abgerufen am 22. Juli 2010: „Neben der Deutschen Post bieten auch andere Unternehmen wie die Deutsche Telekom, GMX und Web.de das neue De-Mail-Verfahren an“
  74. Tina Klopp: Online-Brief für 20 Cent. Zeit online GmbH, 8. Februar 2010, abgerufen am 23. Juli 2010: „Im Sommer soll es soweit sein: Die Deutsche Post will die schon länger diskutierte DE-Mail ab Juni bundesweit anbieten.“
  75. Deutsche Post – E-Postbrief: E-Postbrief jetzt mit TÜV-Siegel, abgerufen am 2. Januar 2012.
  76. E-Post vs. De-Mail: Deutsche Post steigt endgültig bei De-Mail aus, Heise online, abgerufen am 12. April 2013.
  77. Deutsche Post will keine De-Mails zustellen, Frankfurter Allgemeine Zeitung, abgerufen am 12. April 2013.
  78. www.posti.fi (englisch)
  79. www.poste.it (italienisch)
  80. datoveschranky.info (Memento des Originals vom 28. Februar 2009 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.datoveschranky.info (tschechisch)
  81. corporate.e-boks.com (englisch)
  82. epuap.gov.pl (englisch)