|  |
De-Mail - Sicherheit und Datenschutz so einfach wie möglich
Interview mit Dr. Heike Stach, Leiterin des Projektes Bürgerportale/De-Mail beim Bundesministerium des Inneren (BMI) und seit 2006 im IT-Stab des BMI Leiterin des Projekts Bürgerportale.
Das Aufgabenspektrum des BMI reicht von der Gewährleistung der Inneren Sicherheit, über Ausländer- und Asylpolitik, den Öffentlichen Dienst, die Modernisierung der Verwaltung oder das Verfassungsrecht bis hin zum Sport.
Die De-Mail geht 2009 in den Probebetrieb. Kann demnächst "jeder mit jedem" sicher kommunizieren?
Ja. Die Anwender müssen dazu bei einem akkreditierten Provider ihrer Wahl ein De-Mail-Konto eröffnen. Das Akkreditierungsverfahren für die Provider verlangt Zertifizierungen in den Bereichen Datenschutz, Sicherheit sowie Interoperabilität. Bislang engagieren sich im Rahmen des geplanten Pilotprojekts T-Systems, United Internet und kleinere Anbieter wie Mentana Claimsoft als Provider. Eine Akkreditierung ist mit Verkündung des Gesetzes, also voraussichtlich ab Q3 oder Q4 2009 möglich.
Worin besteht der "Kern" der De-Mail?
Aus einem persönlichen Postfach und dem sicheren, vertraulichen und verbindlichen Versand von De-Mails. Sobald die De-Mail eingeführt ist, wird es auch Bedarf nach einem digitalen Speicherplatz geben, in dem die Dokumente sicher abgelegt sind. Das soll mit dem De-Safe gewährleistet werden. Kern des Vorhabens ist auch, Sicherheit und Datenschutz so einfach wie möglich zu machen. De-Mail soll für jede und jeden einfach nutzbar sein. Das war von Anfang an die zentrale Design-Maxime.
Wer wird für die De-Mail trommeln?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steuert die Akkreditierung und Zertifizierung der De-Mail-Anbieter. Für die spezifischen De-Mail-Angebote werden nach ihrer Akkreditierung natürlich die Provider trommeln, das Bundesministerium des Inneren (BMI) und das BSI werden Anlaufstelle für Informationen sein.
Soll die De-Mail im Rahmen der Gerichtsbarkeit Verwendung finden?
Diesen Bereich regelt die ZPO, die Zivilprozessordnung. Der im Kabinett verabschiedete Gesetzentwurf sieht eine Änderung der ZPO vor, um die De-Mail zur Zustellung einsetzen zu können. Ein Gericht mit De-Mail-Account kann dann per De-Mail Unterlagen und Dokumente an einen Bürger elektronisch versenden. Die Eröffnung eines Accounts ist dabei für beide Seiten natürlich freiwillig. Zudem muss der Bürger explizit einwilligen, vom Gericht Post elektronisch auf diesem Weg zu bekommen.
Wie sehen die technischen Rahmenbedingungen der De-Mail aus?
Wir schaffen mit der De-Mail erstens Sicherheit in der Registrierung für ein De-Mail-Postfach und damit authentische Kommunikationspartner: Ähnlich wie bei der Eröffnung eines Bankkontos muss man sich bei der Eröffnung eines De-Mail-Accounts z. B. durch Vorlage des Personalausweises ausweisen.
Beim Versand sind De-Mails auf allen Strecken und auch bei der Speicherung beim Provider standardmäßig verschlüsselt und vor Veränderungen geschützt. Das gewährleistet sicheren und vertraulichen Informationsaustausch.
Drittens wird eine Reihe von Versandarten eingeführt, die von allen Anbietern angeboten werden – besonders die normale De-Mail und das De-Mail-Einschreiben. Mit dem De-Mail-Einschreiben kann die Zustellung einer Nachricht vor Gericht beweiskräftig nachgewiesen werden. Dazu erstellt der Provider des Empfängers mit einer qualifizierten elektronischen Signatur eine Empfangsbestätigung, sobald die De-Mail im Postfach des Empfängers eingegangen ist.
Eine Option für professionelle oder technisch versiertere Anwender, beispielsweise Anwälte oder Ärzte, ist die Möglichkeit einer End-to-End-Verschlüsselung oder die Nutzung von Versandoptionen, die die Authentizität des Empfängers oder des Absenders auf besonders hohem Niveau sicherstellen. Alle Provider müssen dazu für die Anmeldung am Account ein hohes Sicherheitslevel anbieten, bei dem sich der Nutzer mit "Besitz und Wissen" authentifiziert. Der elektronische Personalausweis soll in diesem Niveau von allen Providern unterstützt werden. Zugelassen werden können aber auch USB-Token, Token, die die ELSTER-Policy erfüllen, oder moderne Bankkarten.
Diese Anwendungen reichen schnell in den geschäftlichen Bereich rein...
Ja, dafür haben wir die De-Mail ja gemacht.
Wer steuert die technische Umsetzung?
Für die Umsetzung der Zertifizierung sorgt das BSI. Das BSI hat Anfang Februar die technischen Richtlinien veröffentlicht, damit Unternehmen und Verbände darauf zugreifen und sich auf die neue Technologie einstellen können.
Warum reichen Ihrer Ansicht nach die vorhandenen technischen Möglichkeiten nicht aus?
Insgesamt sehen wir einige Defizite. Natürlich kann man PGP/End-to-End-Verschlüsselung machen, doch damit haben Sie immer noch nicht die Authentizität der Kommunikationspartner gesichert. Das ist die Stärke der De-Mail. Zudem hat die De-Mail ihre Stärken bei der Nachweisbarkeit der Zustellung, anders als End-to-End-verschlüsselte E-Mails. Schließlich wollen wir auch diejenigen mit einer praktikablen Lösung erreichen, die technisch weniger versiert sind. Nur schätzungsweise weniger als 5 Prozent aller E-Mail-Nutzer setzen eine End-to-End-Verschlüsselung ein, weil die Technik und das Schlüsselhandling als zu umständlich und schwierig empfunden werden.
Wie sieht die Roadmap für die Umsetzung aus?
Die Vorbereitungen für einen ersten Piloten in Friedrichshafen laufen, wir rechnen mit dem Betrieb ab Sommer dieses Jahres. Mit diesem Pilotprojekt wollen wir die Gesamtkonzeption prüfen und sehen, wie die De-Mail von den Anwendern, den Bürgern und Unternehmen, angenommen wird. Es geht also im Wesentlichen um Usability und Akzeptanz. Wir rechnen mit 3-6 Monaten Laufzeit des Piloten. Im Rahmen der Konzeption hatten wir die Forschung mit im Boot, die Fachhochschule für Technik und Wirtschaft (FHTW) in Berlin, die in unserem Auftrag eine Usability-Studie gemacht hat, nach deren Ergebnissen wir uns maßgeblich gerichtet haben.
Und Anfang 2010 gibt es die De-Mail für alle?
Wir bekommen mit dem Gesetz hoffentlich noch in diesem Jahr die rechtlichen Grundlagen, ab Verkündung können die Provider ihre Anträge auf Akkreditierung beim BSI einreichen. Der Start der De-Mail wird sich dann nach der Dauer der anschließenden Zertifizierungen richten. Dafür will sich das BSI auch zugelassener Auditoren und Prüfstellen bedienen.
Welche Chancen, welche Möglichkeiten bietet die De-Mail der Wirtschaft?
Es bieten sich zum einen Möglichkeiten für die IT-Wirtschaft: Das Gesetz schafft den Rahmen für einen neuen Markt, in dem akkreditierte Unternehmen den sicheren und vertraulichen Versand per De-Mail anbieten können. Andere IT-Dienstleister werden den Anschluss größerer Organisationen implementieren. Als Grundlage dazu werden wir ein Gateway auf Open-Source-Basis anbieten. Der sichere elektronische Versand kann also relativ einfach in die IT eines Unternehmens integriert werden.
Zum anderen bieten sich neue Möglichkeiten für die Wirtschaft insgesamt: Mit der De-Mail lassen sich Medienbrüche vermeiden. Vieles, was bisher über Papierpost versendet wurde, kann künftig elektronisch erledigt werden. Das spart Zeit und Geld auf allen Seiten. Wir haben errechnet, dass De-Mail in Deutschland ca. 1-1,4 Mrd. Euro jährlich einsparen kann, 80 % davon auf Seiten der Wirtschaft.
Treten Sie da nicht in Konkurrenz zu Herstellern und Dienstleistern in der Wirtschaft?
Wir wollen mit der De-Mail einen Massenmarkt erschließen und möglichst viele Bürgerinnen und Bürger erreichen. Hersteller und Firmen, die auch jetzt schon Dienste im Bereich sicherer und vertraulicher E-Mail anbieten, können ihr Know-how nutzen, um sich auf diesem Markt zu positionieren. De-Mail kann für diese Player durchaus eine Chance sein.
Ergänzend: Die De-Mail
Die De-Mail soll als quasi staatlich geprüftes Kommunikationsmittel den sicheren Austausch von Dokumenten und Informationen zwischen Bürgern, Behörden und Unternehmen ermöglichen. Das Projekt wird von der deutschen Bundesregierung in Zusammenarbeit mit Unternehmen aus der Wirtschaft umgesetzt, die in einem Akkreditierungsverfahren bestimmte Anforderungen erfüllen müssen. Mit der De-Mail wird die EU-Dienstleistungsrichtlinie in nationales Recht umgesetzt, wonach die Verwaltung und öffentliche Einrichtungen bis Ende 2009 elektronische Kommunikation verbindlich akzeptieren müssen.
Ob der Dienst kostenpflichtig sein wird, ist noch unklar, es steht ein "e-porto" im Raum. Sowohl die Preisstruktur als auch die Auswahl der Anbieter und die nach Ansicht einiger NGOs unklare Stellung des Bundesministeriums des Inneren zu wichtigen Fragen des Datenschutzes haben zu diversen Diskussionen geführt.
Weiterführende Informationen
- Informationsflyer zu De-Mail
- Pressemeldung des BMI zu De-Mail
Der Beitrag erschien in der Ausgabe 2-09 des Fachmagazins DOK.
|
DOK
|
|
DOK informiert über Technologien, Strategien und Services rund um das digitale Dokument. Die wichtigsten Themengebiete sind DMS & ECM, Wissensmanagement, E-Mail, Social Media, digitale Geschäftsprozessse und -kommunikation, Input- und Output-Management sowie Archivierung.
Weitere Informationen...
|
07/2009, Uwe Hentschel
| |
Mehr Informationen zu DOK
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Zur Archivierung von E-Mails besteht für Organisationen häufig mehr als ein einziger Anlass. Die mit der Archivierung von E-Mails einhergehenden Ziele sind allerdings entscheidend für die Auswahl der geeigneten Lösung... | |  | | Während wir das Internet mit Hilfe von Websuchmaschinen relativ effizient und effektiv nach Informationen durchsuchen können, ist die Lage unternehmensintern oftmals wesentlich unübersichtlicher... | |  | | Man kann es kaum noch ertragen, die immer gleichen Argumente um in der Wirtschaftskrise Optimismus zu verbreiten: "Die Krise als Chance nutzen"... | |  | | Backup-Outsourcing liegt voll im Trend. Denn einerseits können damit Hard- und Software-Kosten eingespart und andererseits auch die IT-Administration vereinfacht werden... | |  | | Das richtige DMS für das eigene Unternehmen zu finden, ist keine einfache Aufgabe. Wer jedoch bereits im Vorfeld strukturiert plant, profitiert schneller und umfassender von den Vorteilen der Softwarelösung... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Im Jahre 2005 hat sich das Naturawerk für die ERP-Lösung Semiramis von Comarch (vormals SoftM) entschieden. Das System wird in nahezu allen Unternehmensbereichen eingesetzt... | |  | | Modernes Content Management sieht sich vor neuen Herausforderungen. Mit den Veränderungen in den Nutzungsgewohnheiten des Internets sind auch die Anforderungen an Content Management Systeme gewachsen... | |  | | Im Interview spricht der Schirmherr der Initiative Prof. Dieter Spath über "Das Konstruktionsbüro für Dienstleistungen" und vieles mehr. Am 12. Oktober eröffnet Prof. Dieter Spath den VOICE Days plus Kongress... | |
| | | |
