Vertrauenswürdige De-Mail-Dienste
Regierungsentwurf zur Regelung von De-Mail-Diensten
Verbaucherverbände fordern, eine "Ende-zu-Ende-Verschlüsselung" der Daten vorzusehen
(11.02.11) - Der Gesetzentwurf der Deutschen Bundesregierung zur Regelung von "De-Mail-Diensten" (17/3630; 17/4145) stößt bei Experten auf ein unterschiedliches Echo. Dies wurde bei einer öffentlichen Sachverständigen-Anhörung des Innenausschusses deutlich. Während dabei etwa der Vertreter des IT-Branchenverbandes Bitkom, Bernhard Rohleder, dafür plädierte, das Gesetz so schnell wie möglich zu verabschieden, betonte Oliver Vossius vom Deutschen Notarverein, er persönlich werde sich De-Mail "nicht antun".
Mit dem Gesetzentwurf soll der rechtliche Rahmen geschaffen werden, der "zur Einführung vertrauenswürdiger De-Mail-Dienste im Internet benötigt wird". Wie die Regierung in der Vorlage erläutert, soll mit den De-Mail-Diensten eine zuverlässige und geschützte Infrastruktur eingeführt werden, "die die Vorteile der E-Mail mit Sicherheit und Datenschutz verbindet".
De-Mail-Dienste akkreditierter Diensteanbieter ermöglichen dem Entwurf zufolge im elektronischen Geschäftsverkehr "sichere Kommunikationslösungen, bei denen sich die Teilnehmer der Vertraulichkeit ihrer Kommunikation und der Identität ihrer Kommunikationspartner hinreichend sicher sein können". Zudem würden die Möglichkeiten verbessert, die Authentizität von Willenserklärungen in elektronischen Geschäftsprozessen zu beweisen und Erklärungen nachweisbar zustellen zu können.
In der Anhörung unterstützte unter anderem Michael Bobrowski von dem Verbraucherzentrale Bundesverband die auch vom Bundesrat erhobene Forderung, eine "Ende-zu-Ende-Verschlüsselung" der Daten vorzusehen. Der Bundesrat hatte in seiner Stellungnahme bemängelt, dass nach dem Gesetzentwurf lediglich eine "Verschlüsselung durch gängige Standards für sicheren Mailversand" gewährleistet sei. Sie werde zudem nur innerhalb des De-Mail-Netzwerkes aufrecht erhalten. Verschlüsselt werde allein der Transport, nicht aber die Nachricht selbst. "Die Nachrichten werden zur Überprüfung von Viren und zur Prüfung, ob es sich um eine Spam-Mail handelt, kurzfristig entschlüsselt", heißt es in der Stellungnahme. Während dieses Vorgangs seien die Nachrichten einem "erhöhten Risiko des Angriffes durch unbefugte Dritte ausgesetzt".
Lesen Sie zum Thema "Verschlüsselung" auch: IT SecCity.de (www.itseccity.de)
Bobrowski argumentierte, die Bundesregierung fordere in dem Gesetzentwurf ein sehr hohes Sicherheitsniveau. "Wenn man es daran misst, kommt man unseres Erachtens an der Ende-zu-Ende-Verschlüsselung nicht vorbei", sagte Bobrowski. Er wandte sich zugleich gegen Darstellungen, wonach dies für Anwender zu kompliziert sei. Demgegenüber hatte die Bundesregierung in ihrer Gegenäußerung zu der Bundesrats-Stellungnahme betont, eine Ende-zu-Ende-Verschlüsselung gefährde "das gesamte Ziel von De-Mail, die einfache – und ohne spezielle Softwareinstallation mögliche – Nutzbarkeit durch die Bürgerinnen und Bürger". De-Mail-Nutzer hätten aber "bei De-Mail zusätzlich die Möglichkeit, die mit De-Mail übermittelten Inhalte selbst zu verschlüsseln (sog. 'Ende-zu-Ende-Verschlüsselung'), wenn sie die hierfür zusätzlich erforderlichen Installationen auf ihren Computern vorgenommen haben".
Stefan Brink, Mitarbeiter des rheinland-pfälzischen Landesbeauftragten für den Datenschutz, sagte, der Gesetzentwurf sei nicht perfekt, weil er etwa keine durchgängige Verschlüsselung vorsehe. Der Entwurf sei aber nützlich, weil er "einen Standard setzt, der über das bisherige Sicherheitsniveau elektronischer Kommunikation hinausgeht".
Werner Hülsmann vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung kritisierte, der Gesetzentwurf erfülle nicht die an ihn gestellten Erwartungen. So sei ihm ein Rätsel, wie De-Mail etwa vor Spam schützen solle. Auch sei die Ende-zu-Ende-Verschlüsselung erforderlich, um "wirklich dem Post- und Fernmeldegeheimnis Rechnung zu tragen".
Bitkom-Vertreter Rohleder sagte, es gebe einen "deutlichen Fortschritt in der Transport-Verschlüsselung". Bei der Frage, ob es auch eine Ende-zu-Ende-Verschlüsselung geben müsse, solle sich jedes Unternehmen und jede Privatperson selbst aussuchen können, wie viel Sicherheit man möchte. Wer absolute Sicherheit wolle, solle die Ende-zu-Ende-Verschlüsselung wählen. Wer sich dagegen mit "der 99,9-Prozent-Sicherheit" zufrieden gebe, solle es bei der Standardanwendung belassen.
Professor Gerald Spindler von der Georg-August-Universität Göttingen unterstützte diese Position. Man brauche ein "relativ hohes" Maß an Sicherheit. Er persönlich sei zwar für die Ende-zu-Ende-Verschlüsselung, doch solle das der Markt entscheiden. Wenn der Markt die Ende-zu-Ende-Verschlüsselung anbiete, solle es "den Leuten überlassen bleiben, ob sie es wollen oder nicht wollen".
Vossius kritisierte, De-Mail biete "keinen optimalen Schutz" etwa vor Viren, Trojanern und Spam. Der Gesetzentwurf löse "sein Sicherheitsversprechen derzeit nicht ein".
Harald Welte vom Chaos Computer Club monierte unter anderem, mit dem vorliegenden De-Mail-Entwurf sei das Briefgeheimnis nicht gegeben. Dass keine Ende-zu-Ende-Verschlüsselung vorgesehen sei, führe zu einem erheblichen technischen, organisatorischen und finanziellen Aufwand. (Deutscher Bundestag: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>