Schneeballeffekt für die sichere Kommunikation

Ab April soll das deutsche E-Mail-System De-Mail E-Mails transportieren, die vom Absender bis zum Empfänger mit dem Standard PGP verschlüsselt sind. Damit reagiert die »Arbeitsgemeinschaft De-Mail« auf die anhaltende Kritik am Mail-System, das eigens für die rechtssichere Kommunikation mit Behörden und Unternehmen entwickelt wurde. Denn ohne eine solche Verschlüsselung wird die De-Mail in den Rechenzentren der Anbieter Deutsche Telekom, Frankotyp-Postalia und United Internet kurzfristig angehalten und auf Viren überprüft. Was zum Wohl des Bürgers konzipiert war, interpretierten Kritiker als Einfallstor zur Überwachung.

Rund zwei Millionen Menschen haben sich seit dem Start von De-Mail ihre persönliche De-Mail-Adresse gesichert, doch nur einige Hunderttausend haben sich auch amtlich identifiziert und besitzen damit einen funktionsfähigen Briefkasten für Mail-Einwurf und Versand. Obendrein sind viele dieser identifizierten Nutzer gar nicht an De-Mail interessiert gewesen, sondern an den Gutscheinen, die zum Beispiel in der »De-Mail-City« Dresden verschenkt wurden. In einem von der Bundesregierung veröffentlichten Sachstandsbericht war denn auch vor wenigen Wochen zu lesen, dass das neue System nicht die »kritische Masse« erreicht habe.

Dieses funktioniert nur mit eindeutig identifizierten Teilnehmern und ist laut Gesetz eine rechtssichere Zustellmöglichkeit von Bescheiden und Informationen, etwa dem jährlichen Bescheid der Deutschen Rentenversicherung. Allerdings muss jeder Bürger dieser Zustellung erst zustimmen, ehe ein Bescheid verschickt werden kann. Auch daran hapert es: Weil mit einem zugestellten Bescheid Fristen beginnen können, zögern die wenigen aktiven Teilnehmer mit dem Absenden der »konkludenten Zugangseröffnung«. Noch problematischer ist die Virenprüfung, die von den Anbietern bei jeder normalen Mail durchgeführt wird und von der nicht bekannt ist, wie sie funktioniert.

Nun soll ab April ein Plugin Abhilfe schaffen und dafür sorgen, dass das wenig genutzte System in Schwung kommt. Ein Plugin ist ein kleines Programm, dass in dem Webbrowser (Firefox oder Chrome) installiert wird - für Bürger ist De-Mail nur über solche Browser erreichbar. Dieses Plugin sorgt dafür, dass auf dem lokalen Rechner des De-Mail-Teilnehmers die nötigen Schlüssel zum Codieren nach dem PGP-Standard eingerichtet und mit einem Passwort geschützt werden.

In einem zweiten Schritt fragt das Plugin, ob man eine Aufforderung an alle dem Nutzer bekannten Teilnehmer geschickt will, doch bitte auch die Mail zu verschlüsseln. Hiervon erhoffen sich die Entwickler einen Schneeballeffekt. In einem nächsten Schritt sollen die öffentlichen Schlüssel in dem bereits existierenden öffentlichen De-Mail-Verzeichnis aufgeführt werden. Erst dies wäre ein wichtiger Fortschritt gegenüber allen bekannten Mailsystemen: So könnte ein Bürger etwa den öffentlichen Schlüssel der LINKEN-Politikerin Halina Wawzyniak nehmen, die De-Mail-Teilnehmerin ist, und ihr verschlüsselt wichtige Dokumente zukommen lassen.

Zur Vorstellung des PGP-Plugins äußerte sich denn auch das Bundesinnenministerium als Partner der »Arbeitsgemeinschaft De-Mail« recht zwiespältig. Zwei Herzen würden in der Brust des Ministeriums schlagen, bekannte Stefan Paris von der Cyber-Abwehr-Abteilung des Ministeriums. Einerseits sei die Verschlüsselung ein hohes Gut für ein zeitgemäßes Sicherheitsniveau bei der elektronischen Kommunikation. Andererseits müsse der Staat auch die Sicherheit der Bürger im Auge behalten. Im Sinne präventiver Maßnahmen bei der Gefahrenabwehr setze sein Ministerium auf Methoden, bei der Daten vor Verschlüsselung oder nach der Entschlüsselung abgegriffen werden. Wie das passieren soll, ohne dass ein Trojaner mitprotokolliert, was Bürger im Browser treiben, ließ Paris offen.