Experten stellen Sicherheit von De-Mail in Frage

Die von der Bundesregierung als besonders sicher beworbene elektronische Post, die sogenannte De-Mail, weist nach Ansicht von Experten erhebliche Sicherheitslücken auf. Sie raten davon ab, die rechtsverbindliche E-Mail in ihrer jetzigen Form wie geplant im kommenden Jahr einzuführen, da die Daten nicht durchgängig verschlüsselt würden.

„Ich habe schwere Bedenken und bin gegen das De-Mail-Gesetz. Die Sicherheitslücken sind nicht zu übersehen“, sagte Thomas Lapp, Anwalt und IT-Experte der Bundesrechtsanwaltskammer, der Frankfurter Rundschau.

Laut Lapp ist zwar die Übertragung der De-Mails vom Nutzer zum zentralen Server der Anbieter sicher, jedoch würden die elektronischen Briefe dort aus technischen Gründen kurz ent- und wieder verschlüsselt. Bei der Weiterleitung an einen anderen De-Mail-Anbieter wiederholt sich dieser Vorgang. In diesen Momenten könnten Angreifer, die sich – wie in der Vergangenheit bereits geschehen – Zugang zum Server des Anbieters verschafft haben, Inhalte kopieren oder manipulieren.

Gert Metternich, Projektleiter der Telekom, bestätigte gegenüber der Zeitung, dass die Nachrichten kurz geöffnet werden: „Im De-Mail-System werden die Mails für den Bruchteil einer Sekunde auf den Servern der Provider entschlüsselt und sofort wieder verschlüsselt und dann weitergeschickt.“ Dies geschehe auf Servern, die staatlich überprüften Sicherheitsstandards entsprächen und abgeschottet seien. „Insofern haben wir überhaupt keine Bedenken, dass die De-Mails nicht sicher sind.“

Lapp sieht das anders: Das System funktioniere wie ein Brief, der bis zu zweimal unterwegs geöffnet und in ein neues Kuvert gesteckt werde. „Das Versprechen, so sicher wie ein Brief zu sein, wird damit nicht eingehalten.“ Auch Elmar Müller, Vorstandschef des Deutschen Verbands für Post, Informationstechnologie und Telekommunikation (DVPT), der die De-Mail eigentlich befürwortet, vertritt die Meinung, dass „diese Lücke dringend geschlossen werden muss“.

Bitkom-Präsident August-Wilhelm Scheer hält die Sicherheitsbedenken hingegen für unbegründet: „Gegenüber der bisherigen E-Mail oder dem Einschreiben und Brief in Papierform bedeutet De-Mail einen Quantensprung in puncto Sicherheit. De-Mail macht Deutschland weltweit gesehen zum Vorreiter beim sicheren Mail-Verkehr. Wir brauchen dringend eine echte digitale Alternative zum Papierbrief. Diese Chance für mehr Effizienz in Wirtschaft und Verwaltung darf nicht durch unberechtigte Bedenken zerredet werden.“

Bei der Deutschen Telekom und United Internet (GMX, Web.de) können sich Nutzer schon um eine De-Mail-Adresse bemühen. Der Start des rechtssicheren elektronischen Briefs ist für spätestens 2011 geplant.

Die rechtliche Grundlage – das De-Mail-Gesetz – soll im vierten Quartal 2010 verabschiedet werden. Danach zertifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle Provider, die einen rechtssicheren E-Mail-Dienst anbieten. Die Kriterien werden derzeit erarbeitet. Das BSI hat in seiner Richtlinie zur De-Mail eine erste Übersicht über die technischen Vorgaben (PDF) veröffentlicht.

Offizielle Partner des Projekts sind GMX, Web.de, Mentana, T-Home sowie T-Systems. Die Deutsche Post war vergangenes Jahr aus dem De-Mail-Konsortium ausgestiegen. Sie bietet seit vergangener Woche mit dem E-Postbrief ein Konkurrenzprodukt an.