Pressemitteilung

DE-Mail für Schriftverkehr mit Behörden muss standardmäßig Ende-zu-Ende-verschlüsselt werden

Im April hat der Bundestag das „Gesetz zur Förderung der elektronischen Verwaltung“ verabschiedet, das den Schriftverkehr mit Behörden um elektronische Kommunikationsmöglichkeiten, vorrangig der De-Mail, erweitert. Dabei soll für die Bürgerinnen und Bürger die Kommunikation mit den Behörden erleichtert und gleichzeitig die Sicherheit gegenüber der herkömmlichen E-Mail erhöht werden.

Hartmut Pohl, Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI): „Grundsätzlich begrüßen wir die Möglichkeit eines Kontaktes mit Behörden auf elektronischem Weg. Allerdings bietet die De-Mail in ihrer derzeitigen Form keine wirklich höhere Sicherheit gegenüber der herkömmlichen E-Mail. Bürgerinnen und Bürgern darf hier nicht falsche Sicherheit vorgetäuscht werden.“

De-Mails werden nämlich standardmäßig nicht Ende-zu-Ende-verschlüsselt, obwohl die Möglichkeit dieser Verschlüsselung prinzipiell vorgesehen ist. Irreführenderweise ist die standardmäßig eingestellte Verschlüsselung eine reine Transportverschlüsselung, die den Datentransfer von Server zu Server gegen Abhören absichert – allerdings alle Mails in den Servern unverschlüsselt zwischenspeichert. Diese Transportverschlüsselung ist nicht neu, sondern wird vielmehr schon seit Jahren von E-Mail-Anbietern verwendet.

Pohl: „Eine tatsächliche Ende-zu-Ende-Verschlüsselung des Inhalts der E-Mail ist allerdings nicht vorgeschrieben und auch nicht voreingestellt, obwohl sie Stand der Technik und für Geschäftskommunikationen und Industrie unverzichtbar ist. Diese Ende-zu-Ende-Verschlüsselung ist erst die Voraussetzung für einen sicheren E-Mail-Verkehr.“ Dabei sind die technischen Voraussetzungen für eine Ende-zu-Ende-Verschlüsselung gegeben: De-Mail-Anbieter sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem jeder Teilnehmer seinen öffentlichen Schlüssel hinterlegen kann, und mit dem man vertraulich mit ihm Kontakt aufnehmen kann. Mittels der im Signaturgesetz festgelegten und im neuen elektronischen Personalausweis implementierten qualifizierten elektronischen Signatur wäre sogar eine vollkommen vertrauliche Kommunikation zwischen nachweisbar identifizierten (authentifizierten) Personen möglich. Wird die Verwendung von Ende-zu-Ende-Verschlüsselung jedoch nicht vorgeschrieben, ist zu befürchten, dass sie in der Praxis nicht verwendet wird. Pohl: „Unter diesen Umständen bleibt die De-Mail im Kern unsicher und für behördlichen und vielen privaten (z.B. mit Ärzten, Banken) Schriftverkehr ungeeignet. Deshalb sollte die Ende-zu-Ende-Verschlüsselung in der Kommunikation mindestens mit Behörden Pflicht werden.“

11. Juni 2013, Cornelia Winter, Tel. 0228/302-147 

Gesellschaft für Informatik e.V. (GI)
Ahrstr. 45
53175 Bonn
Tel 0228/302-145 (Geschäftsstelle)
Fax 0228/302-167

Für weitere Fragen stehen wir Ihnen gerne unter Kontakt zur Verfügung.

Wenn Sie unsere Pressemeldungen regelmäßig erhalten möchten, tragen Sie sich bitte in den GI-Presseverteiler ein: E-Mail

Bitte geben Sie Ihren Namen und Redaktion an.