Ausgabe 09/2013 - Gute Frage

De-Mail

Was nützt die De-Mail?

• Wenn Laien einsehen, dass sie theoretische Physik nie begreifen werden, ist oft Schrödingers Katze schuld. Das imaginäre Versuchstier – erdacht vom Quantenmechaniker Erwin Schrödinger, einem Zeitgenossen Albert Einsteins – ist zugleich lebendig und tot.

Ein ähnlich paradoxes Dasein fristet in Deutschland die E-Mail. Aus Sicht von BKA, BND, Verfassungsschutz und Staatsanwaltschaft – ganz zu schweigen von der US-Behörde NSA – ist diese Art der Kommunikation quicklebendig, ein Tummelplatz für Täter, denen man anderweitig weder auf die Schliche käme noch etwas nachweisen könnte.

Im juristischen Alltag erfüllt die E-Mail hierzulande allerdings nicht die sogenannte Schriftformerfordernis im Rechtsverkehr. Behörden und Gerichte ebenso wie vorsichtige Firmen- und Vereinsjuristen hadern traditionell mit der elektronischen Post. Die Buchstaben und Unterschriften in einem angehängten Scan sind im Zweifel den Strom nicht wert, mit dem sie übertragen werden, selbst dann nicht, wenn der Absender die Nachricht mit gültigem Zertifikat signiert und verschlüsselt geschickt hat. In Deutschland jemandem anzubieten, ein juristisch relevan-tes Dokument als PDF zu mailen, ist daher zwecklos. Die Standardantwort lautet: „Können Sie es uns nicht faxen?“

Deshalb versenden Tag für Tag Tausende Deutsche wichtige Schriftstücke, die sie am Computer in brillanter Qualität eingescannt haben, über eine systembedingt schwachbrüstige Fax-Software an Empfänger, die ihrerseits keine Fax-Hardware mehr besitzen.

Sicherer ist das nicht, ganz im Gegenteil. Hat ein arglistiger Absender mit Photoshop die Unterschrift eines Ahnungslosen in das zu faxende Dokument kopiert, verschluckt das grobe Schwarz-Weiß-Raster auch noch die letzten verräterischen Schatten. Die Absenderkennung lässt sich viel leichter manipulieren als der lange Header einer E-Mail, der einen Rattenschwanz an verräterischen Daten enthält. Selbst das Verwählen ist heikler als bei E-Mails, deren Inhalt man immerhin leicht verschlüsseln kann: Der Verfasser dieses Textes bekam von einem Facharzt mehrfach Leberwerte wildfremder Mitbürger gefaxt, die eigentlich für einen ortsansässigen Hausarzt bestimmt waren. Der Arzthelferin gelang es partout nicht, die Kurzwahlliste dauerhaft zu korrigieren.

Verglichen mit diesem Sicherheitsniveau ist De-Mail (steht für „Deutschland-Mail“) ein großer Schritt nach vorn. Dieses neue Elektropostnetz hat nichts zu tun mit „Mail in Germany“, auch wenn beides parallel von den großen Mail-Dienstleistern Telekom und 1&1 (GMX, Web.de) beworben wird. Mit der „Mail in Germany“-Kampagne versuchen die Konzerne einfach nur, den US-Riesen Google, Apple und Microsoft besorgte Standard-Mail-Kunden abzuwerben.

Bei De-Mail zieht im Hintergrund das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Fäden. Technisch handelt es sich um einen Webmailer, der hermetisch vom öffentlichen E-Mail-Netz abgeschottet ist, juristisch um die erste Cloud-Anwendung mit eigenem Bundesgesetz. Im Verbund mit dem E-Government-Gesetz und dem Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten (E-Justice-Gesetz) soll das De-Mail-Gesetz helfen, jede erdenkliche Art von Vertrags- und Behördenkram, der bislang der Papierform bedurfte, gerichtsfest zu digitalisieren.

De-Mail ist kein E-Mail-Ersatz, sondern Konkurrenz für Post und Kurierdienst. So gibt es De-Mail-Einschreiben mit papierlosem Rückschein, gegen Zuschlag sogar „persönlich/vertraulich“ – als wäre das nicht automatisch gegeben. Für die höchste Absicherungsstufe ist die Autorisierung mit dem nPA nötig, dem „neuen“ Personalausweis. Auf dessen Chip muss sich der Bürger ein Zertifikat laden lassen, das ihm erlaubt, De-Mails mit einer Qualifizierten Elektronischen Signatur (QES) zu versehen. Damit dereinst der eine oder andere Behördengang entfällt, rollen neue bürokratische Prozeduren an. Schon an eine De-Mail-Adresse zu kommen ist mühsam. So muss der Aspirant einer autorisierten Person seinen Personalausweis zeigen, sei es im Telekom-Shop, einer Hermes-Paketagentur oder – nach wochenlanger Voranmeldung – an der Haustür.

Ob De-Mail den Aufwand wert ist, ist fraglich. Der Schutz vor Missbrauch lässt zu wünschen übrig. So verhelfen BSI-konforme Geheimfragen, die mindestens die halbe Verwandtschaft beantworten könnte (Großmutters Mädchenname), zu einem Ersatzpasswort, das bei der Telekom im nicht eingeschriebenen Postbrief kommt. In Erb-, Sorgerechts- und Vormundschaftssachen könnte das Angehörige auf dumme Gedanken bringen. PINs und Passwörter dürfen nicht zu lang sein. Wer den Zugang mit mobilen TANs absichert, sollte stets gut auf sein Handy achtgeben; Gleiches gilt für den nPA in der Hand- oder Brieftasche.

Der Chaos Computer Club warnte zudem schon lange vor der NSA-Affäre vor einem wunden Punkt mitten in der Sicherheitsarchitektur von De-Mail. So werden die Nachrichten zwar verschlüsselt an den Dienstleister übertragen, dort aber kurz geöffnet und auf Viren untersucht, bevor sie – sofern harmlos – erneut verschlüsselt und zugestellt werden. Will ein Nachrichtendienst mitlesen oder einen Trojaner einschmuggeln, ist dies die Achillesferse des Systems.

Offiziell dient die Verschlüsselungslücke dem Schutz des Empfängers vor Schadsoftware, aber es ist ein offenes Geheimnis, dass das BSI mit zwei Anforderungen konfrontiert war, die Sicherheitspolitikern ein Anliegen sind: Fahnder brauchen eine Schnittstelle für gerichtlich genehmigte Zugriffe, deutsche Dienste eine Hintertür.

Laut BSI können die Nutzer auf eigene Faust eine Ende-zu-Ende-Verschlüsselung hinzufügen. Für Korrespondenz mit Behörden scheidet diese Option aus, weil die Ämter genug damit zu tun haben, die gesetzlichen Minimalanforderungen umzusetzen. Gelänge es Wirtschaftsspionen, den De-Mail-Verkehr zwischen Behörden und Firmen bei Telekom, 1&1 oder dem reinen Business-Provider Francotyp Postalia abzugreifen, hätten sie Carte blanche.

Vor einem weiteren Risiko warnt Wolfgang Hackenberg, Rechtsanwalt aus Eningen bei Reutlingen. Der Teilnehmer habe mit der De-Mail eine ladungsfähige digitale Adresse, an die auch unerwartete Schriftstücke rechtswirksam zugestellt werden könnten. „Fristen beginnen mit Eingang der Post zu laufen“, sagt der Jurist. „Wer sich einen digitalen Briefkasten anschraubt, muss diesen deshalb auch leeren.“ Das dürfte leicht mal in Vergessenheit geraten, denn meist wird der De-Postkorb leer sein: De-Mails kosten Porto, Korrespondenzpartner sind noch rar. Bei der Telekom kann man sich zwar eine automatische Benachrichtigung an eine reguläre Adresse senden lassen; dieses Feature versagte aber bei einem Test der brand eins-Redaktion.

Der Jurist Hackenberg rät daher vom Einsatz der De-Mail dringend ab. Er hofft auf eine ebenfalls vom BSI abgesegnete Alternative, bei der die Nachrichten durchgängig verschlüsselt übertragen werden, das Elektronische Gerichts- und Verwaltungspostfach (EGVP). De-Mail hält er schon deshalb für ein tot geborenes Kind, weil es sich um einen nationalen Sonderweg handelt. Trotz einschlägiger EU-Projekte ist bislang nicht zu erkennen, dass andere Staaten sich anschließen werden.

Sieht aus, als sollte der Normalbürger die gute alte Faxsoftware lieber doch behalten. ---

Mehr aus diesem Heft

Verhandeln 

Die Kanalarbeiter

Der Landwehrkanal in Berlin geht kaputt und muss repariert werden. Doch auf einmal wollen alle mitreden, und die Behörden müssen sich mit den Bürgern einigen.

Lesen

Verhandeln 

Die Getriebenen

Namhafte westliche Unternehmen verpflichteten sich dazu, für mehr Sicherheit in Bangladeschs Textilfabriken zu sorgen. Sie rühmen sich heute dafür – dabei wurden sie zur Einsicht gedrängt. Ein Lehrstück über strategische Verhandlungsführung.

Lesen

Idea
Read