1) Hintergrund
Der fehlenden Gewährleistung von Vertraulichkeit, Integrität und Authentizität der gewöhnlichen E-Mail und der Komplexität von manuellen Sicherheitsmechanismen wie der qualifizierten elektronischen Signatur und der Ende-zu-Ende-Verschlüsselung wollte der Gesetzgeber mit der De-Mail entgegenwirken.[1] Hierzu sollten die Vorteile der E-Mail, wie die einfache Handhabbarkeit und die hohe Übermittlungsgeschwindigkeit, erhalten bleiben, während die komplexen Sicherheitsaspekte aus dem Verantwortungsbereich des Bürgers hin zu externen De-Mail-Diensteanbietern (DMDA) ausgelagert werden.[2] Das De-Mail-G entstammt dabei dem Projekt „Bürgerportaldienste“, dessen „Entwurf zu einem Bürgerportalgesetz“ (BPG-E)[3] in der damaligen 16. Legislaturperiode nichtmehr verabschiedet werden konnte.[4] Erst am 7.7.2010 wurde dieses als „De-Mail-Gesetz“ seitens des Bundesministeriums des Innern neu aufgegriffen, welches dann am 3.5.2011 schließlich in Kraft treten konnte.[5]
Die De-Mail Dienste umfassen zuvorderst einen Postfach- und Versanddienst (§ 5 De-Mail-G) zum sicheren Empfang und Versand von elektronischen Nachrichten an andere De-Mail-Teilnehmer, sowie einen Verzeichnisdienst (§ 7 De-Mail-G) als eine Art elektronisches Adressbuch, in welchem der De-Mail-Nutzer seine Identität optional veröffentlichen kann. Weitere Dienste, wie der Identitätsbestätigungsdienst (§ 6 De-Mail-G) und die Dokumentenablage (§ 8 De-Mail-G), sind gem. § 1 Abs. 2 De-Mail-G als Zusatzdienste möglich.
2) Sicherheitskonzept
Nach der Definition des § 1 Abs. 1 De-Mail-G soll die De-Mail einen „sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet sicherstellen“. Voraussetzung hierfür ist, dass zunächst der Anmeldevorgang zum De-Mail-Konto, dann jedoch auch der konkrete Nachrichtenversand hinreichend gesichert ist.
a) Sichere Anmeldung zum De-Mail-Konto nach § 4 De-Mail-G
Im Gegensatz zur gewöhnlichen E-Mail setzt § 4 Abs. 1 De-Mail für die De-Mail eine „sichere Anmeldung“, auch „Authentisierungsniveau hoch“ genannt,[6] mit „zwei geeignete[n] und voneinander unabhängige[n] Sicherungsmittel[n]“ voraus. Hierzu kommen regelmäßig zwei durch unmittelbaren Besitz (bspw. Codekarte, nPA (eID-Funktion), TAN-Verfahren) und durch Wissen (bspw. Passwort, Sicherheitsphrase) voneinander getrennte Sicherungsmittel zum Einsatz.[7] Nur auf Verlangen des Nutzers soll von einer solchen „sicheren Anmeldung“ abgewichen werden können, so dass dann auch eine „einfache Anmeldung“ mit nur einem einzigen Sicherungsmittel, wie bspw. nur mittels des Account-Passworts, erfolgen kann.[8] Hat der Nutzer daher momentan keinen Zugriff auf eines seiner Sicherungsmittel, kann er dennoch auf sein De-Mail-Konto zugreifen, doch ggf. einige Funktionen dann nicht nutzen.[9]
Grund für das Erfordernis zweier Sicherungsmittel ist der bezweckte Beweiswert der De-Mail. Laut Rechtsprechung[10] erwecke die einfache Anmeldung nur mittels Passworts, also die Verwendung nur eines Sicherungsmittels, keinen Anscheinsbeweis für eine rechtlich relevante Handlung. Laut Literatur[11] erfordere dies vielmehr eine Anmeldung von durch „Besitz“ und „Wissen“ getrennten Sicherungsmitteln. Nach § 4 Abs. 2 De-Mail-G soll dabei auch der nPA i.S.d. eID-Funktion gem. § 18 PAuswG zum Einsatz kommen.
b) Verschlüsselung beim De-Mail-Verfahren
Standardmäßig erfolgt in der De-Mail-Infrastruktur die Kommunikation zwischen Endnutzer und De-Mail-Diensteanbieter (DMDA) zunächst gem. § 4 Abs. 3 De-Mail-G über eine Transportverschlüsselung. Die Kommunikation zwischen den DMDA (also von dem Versender-DMDA zum Empfänger-DMDA) hat nach § 5 Abs. 3 S. 2 De-Mail-G weiterhin sowohl via Transportverschlüsselung, als auch durch eine Inhaltsverschlüsselung gesichert, zu erfolgen. Die Datenverbindung zwischen den DMDA erfolgt demnach doppelt verschlüsselt. Zur Anwendung kommt dabei i.S.d. Transportverschlüsselung der, auch im Web häufig verwendete, SSL-Standard auf Transportebene (TCP + SSL/TLS)[12] und zur Inhaltsverschlüsselung der S/MIME“-Standard[13],[14] eine Erweiterung des „MIME“-Standards („Multipurpose Internet Mail Extension Protocol“), welcher auch zur Darstellung gewöhnlicher E-Mails verwendet wird.[15]
Dadurch, dass bei der De-Mail standardmäßig eine Verschlüsselung jeweils nur vom Endnutzer zum DMDA und dann erst wieder zur Übertragung zwischen den DMDA erfolgt, also zunächst keine durchgängige Verschlüsselung zwischen den Endnutzern gegeben ist, liegen die Nachrichten bei den DMDA (zumindest kurzzeitig) bis zum Weiterversand im Klartext vor.[16] Dies wird dazu genutzt, die De-Mail auf eventuellen Schadsoftwarebefall zu prüfen, was der Wahrung der Integrität und Sicherheit der De-Mail-Infrastruktur dienen soll.[17] Hierzu hat der De-Mail-Nutzer gem. § 3 Abs. 4 Nr. 4 De-Mail-G bei der Registrierung auch einzuwilligen. Eine Prüfung des De-Mail-Inhalts finde dabei nicht statt.[18]
Mittlerweile wurde dem De-Mail-Nutzer jedoch eine Möglichkeit an die Hand gegeben, auch Ende-zu-Ende-verschlüsselte Nachrichten über die De-Mail-Infrastruktur zu versenden. Hierfür wird im Browser des Versenders ein Plug-In installiert, das die Ver- und Entschlüsselung der Nachrichteninhalte und -anhänge übernimmt.[19]
[1] Probst, DSB 4/2011, 12; Heckmann, in: Internetrecht-PK, Kap. 5 Rn. 165 ff., dort auch im folgenden Text.
[2] Schallbruch/Keller-Herder, in: Bauer/Heckmann/Ruge/Schallbruch-VwVfG, De-Mail-G, Einl. Rn. 2.
[3] BR-Drs. 174/09.
[4] Roßnagel, CR 2011, 23 f.
[5] BT-Drs. 17/3630; BT-Drs. 17/4145.
[6] Terminologie der Technischen Richtlinie 01201 De-Mail des BSI, eBanz AT40 2011 B1, S. 79; Keller-Herder, in: Bauer/Heckmann/Ruge/Schallbruch-VwVfG, De-Mail-G, §4 Rn. 3.
[7] BT-Drs. 17/3630, 27; Keller-Herder, in: Bauer/Heckmann/Ruge/Schallbruch-VwVfG, De-Mail-G, §4 Rn. 3.
[8] Vgl. Roßnagel, NJW 2011, 1473, 1474.
[9] Bspw. ist ein Schriftformersatz mittels De-Mail gem. § 3a Abs. 2 Nr. 2, Nr. 3 VwVfG einer Authentifizierung mittels „sicherer Anmeldung“ nach § 5 Abs. 5 De-Mail-G vorbehalten.
[10] OLG Köln, v. 6.9.2002, Rs. 19 U 16/02, ZUM-RD 2003, 199.
[11] Roßnagel, NJW 2011, 1473, 1475; BT-Drs. 17/3630, 28.
[12] BfDI, Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail, S. 2.
[13] RFC 3850, 3851.
[14] Vgl. BfDI, Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail, S. 2.
[15] Eckert, IT-Sicherheit, 9. Aufl., München 2014, S. 807, dort auch im folgenden Text.
[16] Keller-Herder, in: Bauer/Heckmann/Ruge/Schallbruch-VwVfG, De-Mail-G, §4 Rn. 11, dort auch im folgenden Text.
[17] BT-Drs. 17/3630 S. 29.
[18] Keller-Herder, in: Bauer/Heckmann/Ruge/Schallbruch-VwVfG, De-Mail-G, §4 Rn. 15.
[19]Vgl. De-Mail : Ende-zu-Ende-Verschlüsselung mit PGP gestartet, abrufbar unter: http://www.heise.de/security/meldung/De-Mail-Ende-zu-Ende-Verschluesselung-mit-PGP-gestartet-2616388.html .