Skip to main content
main-content

08.05.2013 | IT-Sicherheit | Im Fokus | Onlineartikel

Auf die Verschlüsselung kommt es an

Autor:
Peter Pagel
1:30 Min. Lesedauer

Der von der Bundesregierung initiierte E-Mail-Standard De-Mail macht den elektronischen Austausch sensibler Daten rechtssicher. Doch die komplizierte Handhabung wirft weiterhin Fragen auf.

Im April wurde vom Bundestag eine Gesetzesänderung zur Förderung der elektronischen Verwaltung verabschiedet. Sie soll die Nutzung des E-Mail-Standards De-Mail bei der Übermittlung sensibler Daten an Behörden und Dienstleister abschließend regeln. Der Beschluss ist eine Reaktion der Politik auf die Bedenken von IT-Experten und Datenschützern, die dem gesicherten Mail-Verfahren in der Vergangenheit massive technische Mängel attestierten. Diese sind nun zwar nicht behoben, die De-Mail wurde dennoch per Gesetz zum sicheren und damit rechtsverbindlichen Übermittlungsweg erklärt.

Sender-Identifikation durch vorherige Registrierung

Voraussetzung zur Teilnahme am De-Mail-Verfahren ist die eindeutige Authentifizierung von Versender und Empfänger. Diese wird durch eine einmalige Registrierung bei einem vom Bundesamt für Sicherheit in der Informationstechnik zertifizierten De-Mail-Anbieter gewährleistet. Zur Nutzung des Verfahrens ist außerdem die Einrichtung einer speziellen De-Mail-Adresse erforderlich, über die der gesicherte E-Mail-Verkehr abgewickelt wird. Was die De-Mail von einer herkömmlichen E-Mail unterscheidet, ist die Zwischenschaltung eines authorisierten Diensteanbieters, der die Nachricht auf seinem Server entgegennimmt, auf Schadsoftware und Viren prüft und über den Provider des Empfängers an dessen De-Mail-Postfach weiterleitet.

De-Mail-Provider tragen große Verantwortung

Auch wenn bei der Diskussion um die De-Mail viel Polemik im Spiel ist, die vom Gesetz vorgeschriebene Überprüfung der Daten auf Malware durch den De-Mail-Anbieter stellt einen Bruch der End-to-End-Verschlüsselung dar. Theoretisch sind die Nachrichten also von jedem MItarbeiter, der Zugang zu den Servern hat, einsehbar – gestaffelte Zugriffsrechte sollen dies in der Praxis unterbinden. Eine weitere Befürchtung von Sicherheitsexperten: Die Rechenzentren der Provider, in denen die eingehenden De-Mails entschlüsselt, geprüft und weitergeleitet werden, könnten zum Einfallstor für Hacker werden. Wer diese Sicherheitslücke schließen will, muss für seine sensiblen Daten eine Zusatzverschlüsselung erzeugen und diese Daten in die De-Mail einfügen. Das dürfte vielen Nutzern zu umständlich sein. So bleibt die De-Mail ein zwar rechtssicherer, aber dennoch angreifbarer Versandweg.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Premium Partner

    Bildnachweise