Die Beauftragte für den Datenschutz und die Informationsfreiheit

Technische Aspekte

Die technischen Aspekte von De-Mail sowie die einzelnen De-Mail-Dienste werden hier näher erklärt.


Das De-Mail-Gesetz fordert:

  • Der akkreditierte De-Mail-Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.
  • Der Versand von einem De-Mail-Diensteanbieter zu jedem anderen De-Mail-Diensteanbieter muss über einen verschlüsselten gegenseitig authentisierten Kanal erfolgen.
  • Der Inhalt einer De-Mail-Nachricht muss vom De-Mail-Diensteanbieter des Versenders zum De-Mail-Diensteanbieter des Empfängers verschlüsselt übertragen werden.

Die technischen Details lassen sich wie folgt zusammenfassen:

  • Die Nachricht vom Versender an seinen De-Mail-Diensteanbieter und weiter vom De-Mail-Diensteanbieter des Empfängers an den Empfänger ist auf der Transportebene jeweils durch Transportverschlüsselung gesichert (TCP + SSL/TLS). Die Authentisierung des Clients erfolgt automatisch mittels SSL-Handshake. Eine zertifikatsbasierte Clientauthentifizierung wird optional unterstützt.
  • Die Nachricht ist zwischen dem De-Mail-Diensteanbieter des Versenders und dem De-Mail-Diensteanbieter des Empfängers doppelt gesichert: auf Anwendungsebene durch Inhaltsverschlüsselung und Signatur der Nachricht (S/MIME) sowie auf Transportebene durch Transportverschlüsselung (TCP + implizites SSL/TLS). Eine gegenseitige Clientauthentisierung muss zwingend zertifikatsbasiert erfolgen.
  • Die Transportverschlüsselung (TLS) ist eine Punkt-zu-Punkt-Verschlüsselung (SSL-Handshake), weshalb die Nachricht nach dem Versand wieder unverschlüsselt vorliegt. Auf Transportebene liegt die Nachricht also in einem zufälligen Bitmuster vor, jedoch wäre sie auf Anwendungsebene ohne weiteres im Klartext zu lesen.
  • Die Inhaltsverschlüsselung (S/MIME) ist eine Ende-zu-Ende-Verschlüsselung, wird aber gemäß der Technischen Richtlinie De-Mail nur zwischen zwei De-Mail-Diensteanbietern gefordert.

Verschlüsselung bei De-Mail Verschlüsselung bei De-MailAbbildung: Verschlüsselung bei De-Mail

Prüfung der De-Mails auf Schadsoftware

§ 3 Absatz 4 Nummer 4 De-Mail-Gesetz sieht vor, dass der De-Mail-Diensteanbieter die De-Mail auf Befall mit Schadsoftware überprüfen muss. Vor dem Versand der Nachricht an den De-Mail-Diensteanbieter des Empfängers liegt diese beim De-Mail-Diensteanbieter des Versenders unverschlüsselt vor, so dass er sie zu diesem Zeitpunkt auf Schadsoftwarebefall hin prüfen kann. Anschließend leitet er die Nachricht zusätzlich zur Transportverschlüsselung inhaltsverschlüsselt an den De-Mail-Diensteanbieter des Empfängers weiter. Ist die Nachricht beim De-Mail-Diensteanbieter des Empfängers eingegangen, wird die Inhaltsverschlüsselung aufgehoben und die Nachricht wiederum auf Schadsoftwarebefall hin geprüft. Abschließend wird die Nachricht verschlüsselt im Postfach des Empfängers abgelegt. Nach jeder Prüfung wird die Nachricht in den Metadaten mit einem Hinweis versehen, ob die Überprüfung zu einem Befund geführt hat. Dieser Prüfprozess erfolgt automatisiert auf Servern in einem Rechenzentrum des De-Mail-Diensteanbieters, das den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik entspricht. Zudem gibt es weitere technische und organisatorische Maßnahmen, die einen Zugriff durch einen Innen- wie auch einen Außentäter verhindern sollen. Gleichwohl besteht ein Restrisiko, dass insbesondere Administratoren des Anbieters vom Nachrichteninhalt Kenntnis nehmen können.

Ende-zu-Ende-Verschlüsselung

Im Gegensatz dazu stellt die Ende-zu-Ende-Verschlüsselung eine durchgängige Verschlüsselung zwischen Versender und Empfänger dar und bietet sich daher für eine Versendung besonders schutzbedürftiger Daten an. Dies wird vom De-Mail-Gesetz jedoch nicht gefordert. Für den De-Mail-Diensteanbieter ergeben sich dementsprechend keine Pflichten. Er darf den Versand Ende-zu-Ende-verschlüsselter Nachrichten lediglich nicht verhindern. Faktisch bedeutet dies, dass sich die Nutzer selbst um die Installation und Nutzung einer Verschlüsselungssoftware kümmern müssen. Hierzu können Nutzer Ihre eigenen Verschlüsselungskomponenten einsetzen oder kostenlose Zusatzprogramme der De-Mail-Anbieter für die durchgängige Verschlüsselung ihrer De-Mails verwenden. Diese sind in der Regel einfach zu handhaben, sodass sie sich auch für Anwender ohne spezielle Vorkenntnisse eignen. Eine Prüfung auf Schadsoftware kann der De-Mail-Diensteanbieter bei der Ende-zu-Ender-Verschlüsselung allerdings nicht durchführen. Zudem ist der durchgängig verschlüsselte Versand nur dann möglich, wenn auch der Empfänger eine entsprechende Verschlüsselungssoftware einsetzt.

Postfach- und Versanddienst

Der Postfach- und Versanddienst ist der zentrale Bestandteil von De-Mail. Dieser hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Er funktioniert grundsätzlich wie ein herkömmliches E-Mail-Postfach. Optional können beim Versand von Nachrichten verschiedene Bestätigungen angefordert werden:

  • eine Versandbestätigung (Nachweis des Versands der Nachricht inklusive des Zeitpunkts),
  • eine Eingangsbestätigung (Nachweis der Zustellung der Nachricht) und
  • eine Abholbestätigung (Nachweis der sicheren Anmeldung nach Eingang der Nachricht bei förmlichen Zustellungen durch öffentliche Stellen),
  • eine Bestätigung, dass der Absender beim Versand der Nachricht sicher angemeldet war. Die so genannte sichere Anmeldung soll den Zugriff auf das Postfach besonders gegen unberechtigte Dritte schützen, indem sich der Nutzer zusätzlich zum Benutzernamen und Passwort mit einem weiteren Sicherungsmittel (zum Beispiel MobileTAN) anmeldet.

Alle Bestätigungen versieht der De-Mail-Diensteanbieter mit einer qualifizierten elektronischen Signatur. Außerdem gewährleistet der Postfach- und Versanddienst standardmäßig die Verschlüsselung von Nachrichten während des Transportes zwischen den Diensteanbietern und zwischen einem De-Mail-Nutzer und seinem De-Mail-Konto. Darüber hinaus können optional zusätzliche Sicherheitsmaßnahmen genutzt werden.

Verzeichnisdienst

Der Verzeichnisdienst ist eine Art elektronisches Telefonbuch, in dem der Nutzer freiwillig seine De-Mail-Adresse, seinen öffentlichen Schlüssel für die Ende-zu-Ende-Verschlüsselung und weitere Kontaktdaten veröffentlichen kann. Diese Daten kann er jederzeit zurückziehen. Wenn Sie die De-Mail-Adresse des Empfängers nicht kennen oder wissen möchten ob dieser im Besitz einer De-Mail-Adresse ist, stellen Sie einfach eine Suchanfrage im Verzeichnisdienst ihres De-Mail-Diensteanbieters. Dieser recherchiert dann in allen Verzeichnisdiensten des De-Mail-Verbundes nach der gesuchten Adresse.

Dokumentenablage

De-Mail-Nutzer sollen ihren Schriftverkehr und andere Dokumente verschlüsselt auf den Servern ihrer De-Mail-Diensteanbieter ablegen können. Diesem Zweck dient die Dokumentenablage. Darin können die Nutzer Unterlagen gegen Manipulation und Verlust geschützt ablegen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt, dass zur Sicherstellung der Vertraulichkeit und Integrität des Verfahrens diese Sicherung durch eine ausschließlich vom Nutzer zu steuernde Verschlüsselung erfolgen sollte. Von den De-Mail-Diensteanbietern wird die Dokumentenablage zuzeit noch nicht angeboten.

Identitätsbestätigungsdienst

Der Identitätsbestätigungsdienst soll es De-Mail-Nutzern ermöglichen, zuverlässig die Identitätsdaten eines anderen De-Mail-Nutzers zu erhalten (Beispiel: der Web-Shop möchte vor einem Online-Einkauf die Identitätsdaten seines Kunden bestätigt haben). Auf Initiative des De-Mail Nutzers, in unserem Beispiel des Kunden, übermittelt der Identitätsbestätigungsdienst die im De-Mail-Konto des Nutzers hinterlegten und vom Nutzer explizit für diese Zwecke freigegebenen Identitätsattribute an den Web-Shop. Zusammen mit den Identitätsdaten wird immer der Zeitpunkt der Verifikation übertragen, so dass der Empfänger entscheiden kann, ob die Aktualität der Identitätsbestätigungsdienst für seinen Geschäftsvorfall ausreichend ist. Von den De-Mail-Diensteanbietern wird der Identitätsbestätigungsdienst zurzeit noch nicht angeboten.

Technische Richtlinien De-Mail

Die Technischen Richtlinien De-Mail des Bundesamtes für Sicherheit in der Informationstechnik beschreiben die Anforderungen an die Funktionalität, Interoperabilität und Sicherheit, die innerhalb des De-Mail-Dienstes erfüllt sein müssen. Dazu gehören neben den technischen Rahmenbedingungen die Sicherheitsanforderungen an den Postfach- und Versanddienst sowie die weiteren De-Mail-Dienste, Beschreibung potentieller Bedrohungen und deren Abwehr oder eine Beschreibung der zugrundeliegenden IT-Infrastruktur.

Rechtliche Aspekte von De-Mail: