DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

DE-Mail und E‑Postbrief

DE-Mail und E-Postbrief

E‑Mails sind in der geschäft­lichen Kom­mu­ni­kation unver­zichtbar. Meist wird igno­riert, dass die über­tra­genen Inhalte nicht geschützt sind und leicht ver­ändert oder von Dritten ein­ge­sehen werden können. Hier ver­sprechen DE-Mail und E‑Postbrief Abhilfe.

 

Die Not­wen­digkeit der bes­seren Absi­cherung von ver­trau­lichen Infor­ma­tionen die per E‑Mail ver­sendet werden, habe ich im Januar letzten Jahres bereits geschildert. Daran hat sich nichts geändert.

Bieten DE-Mail und E‑Postbrief neue Lösungs­al­ter­na­tiven zur „umständ­lichen“ Ver­schlüs­selung?

DE-Mail

Die DE-Mail ist ein elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­dienst, der einen sicheren, ver­trau­lichen und nach­weis­baren Geschäfts­verkehr im Internet sicher­stellen soll. Sie basiert auf dem deut­schen DE-Mail-Gesetz vom 28.04.2011 und unter­liegt also gesetz­lichen Rege­lungen. Die tech­ni­schen Richt­linien zur Absi­cherung kommen dabei vom Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI).

Aller­dings wird der Dienst nicht von staat­licher Stelle ange­boten, sondern von akkre­di­tierten Pri­vat­un­ter­nehmen, wie z.B. der Telekom, 1&1 und anderen.

Sowohl Ver­sender als auch Emp­fänger benö­tigen dafür ein DE-Mail-Konto bei einem der Anbieter. Um ein Konto zu eröffnen muss sich eine Person ein­deutig iden­ti­fi­zieren. Dies geschieht in der Regel durch per­sön­liche Vorlage des Per­so­nal­aus­weises oder Rei­se­passes beim Anbieter bzw. durch Iden­ti­fi­ka­ti­ons­ver­fahren.

Soll zukünftig die sichere, ver­trau­liche und nach­weisbare elek­tro­nische Kom­mu­ni­kation mit Behörden ermög­licht werden (was derzeit noch nicht der Fall ist), wird sicherlich DE-Mail zum Einsatz kommen.

E‑Postbrief

Der E‑Postbrief der Deut­schen Post ist ein Kon­kur­renz­an­gebot, das eben­falls eine sichere, ver­trau­liche und nach­weisbare Kom­mu­ni­kation zum Ziel hat. Auch hier kann nur ein E‑Post-Konto eröffnen, wer sich per Pos­t­Ident-Ver­­­fahren sicher iden­ti­fi­ziert hat. Ein Vorteil des E‑Postbriefes mag sein, dass der Emp­fänger nicht zwingend über ein E‑Post-Konto ver­fügen muss. Hat er keines, wird der E‑Postbrief von der Deut­schen Post aus­ge­druckt und auf dem her­kömm­lichen Weg per Brief zuge­stellt.

Laut den Angaben der Deut­schen Post auf deren Inter­net­seite sind Daten­schutz und Daten­si­cherheit durch TÜV und BSI zer­ti­fi­ziert, bis zu 20 MB große Nach­richten möglich und per App jederzeit ein mobiler Zugriff auf emp­fangene E‑Postbriefe möglich.

Vor­teile beider Dienste

Im Gegensatz zu einer her­kömm­lichen E‑Mail ist bei beiden Diensten der Absender zumindest zum Zeit­punkt der Eröffnung seines Kontos iden­ti­fi­ziert worden. Eine gewisse Sicherheit, dass es sich beim Ver­sender wirklich um den ange­ge­benen Absender handelt, ist also gegeben. Beide Dienste bieten einen ver­schlüs­selten Versand der Nach­richten vom Konto des Ver­senders zum Konto des Emp­fängers und die Mög­lichkeit einer Zustell­be­stä­tigung, die dann einem auf­ge­ge­benen Ein­schreiben ähnelt.

Aber es gibt auch Nach­teile

In Daten­schutz­kreisen wird heftig kri­ti­siert, dass beide Dienste keine wirk­liche „Ende-zu-Ende-Ver­­­schlüs­­selung“ bieten. Im Falle einer DE-Mail wird die ver­schlüs­selte E‑Mail beim DE-Mail-Anbieter ent­schlüsselt, auf Schad­software geprüft, wieder ver­schlüsselt und dann erst wei­ter­ver­sendet. Auch wenn es sich um einen akkre­di­tierten Anbieter handelt: nach bzw. bei der Ent­schlüs­selung haben selbst­ver­ständlich fremde Dritte Zugriff auf die ver­sen­deten Infor­ma­tionen. Und da bei elek­tro­nisch vor­lie­genden Daten Kopien sehr leicht und schnell erstellt sind, ist Miss­trauen durchaus ange­bracht.

Der E‑Postbrief wird, wenn der Emp­fänger über kein eigenes E¬-Post-Konto verfügt, aus­ge­druckt, kuver­tiert und per Briefpost wei­ter­be­fördert. Auch hier haben Dritte Zugriff auf alle Infor­ma­tionen der Nach­richt. Zudem wirbt die Deutsche Post mit einem spe­zi­ellen Angebot für Berufs­ge­heim­nis­träger wie Ärzte, Anwälte, Steu­er­be­rater etc., welches im Sommer 2013 ver­fügbar werden soll und dann Ende-zu-Ende-Ver­­­schlüs­­selung bietet. Daraus dürfte abzu­leiten sein, dass es das Stan­dar­d­an­gebot nicht bietet.

Bei beiden Diensten handelt es sich um deutsche Beson­der­heiten, die bei inter­na­tio­naler E‑Mail-Kor­­re­­s­pondenz schwer umzu­setzen sein dürften. Ver­mutlich kann auch ein Aus­länder ein ent­spre­chendes Konto eröffnen, wenn das Problem der Iden­ti­fi­zierung gelöst wird, aber ver­suchen Sie einmal einen ame­ri­ka­ni­schen Geschäfts­partner von der Not­wen­digkeit zu über­zeugen …

Und natürlich sind die Dienste nicht kos­tenlos. Der DE-Mail-Anbieter Telekom ver­langt derzeit 39 Cent für den Versand einer DE-Mail außerhalb eines Kon­tin­gents von 3 DE-Mails pro Monat, ein E‑Postbrief kostet 58 Cent. Weitere Optionen, wie z.B. Zustell­be­stä­tigung kosten extra.

Ver­breitung in der Praxis?

Bislang habe ich weder im Bekann­ten­kreis noch bei meinen Kunden einen Anwender eines der beiden Dienste ange­troffen. Und das obwohl das Thema E‑Mail-Ver­­­schlüs­­selung immer mehr an Bedeutung gewinnt. Am meisten ver­breitet ist momentan immer noch die Ver­schlüs­selung ganzer E‑Mails inklusive der Anhänge oder nur der Anhänge per PDF und Schutz per mit dem Emp­fänger vor­ver­ein­bartem Passwort.

Oder haben Sie bereits Erfahrung mit DE-Mail oder E‑Postbrief sammeln können? Ihre Erkennt­nisse würden mich sehr inter­es­sieren.

2 Kommentare zu DE-Mail und E-Postbrief

  • Gerhard Kafka sagt:

    De-Mail und E‑Postbrief sind nicht prak­ti­kabel
    De-Mail und E‑Postbrief sind für den Mit­tel­stand keine prak­ti­kablen Lösungen. Hier die Begründung:
    1) Beide Lösungen sind nationale Insel­lö­sungen und können inter­na­tional nicht ein­ge­setzt werden
    2) Beide Lösungen sind nicht konform mit den Stan­dards des Welt­post­vereins für die elek­tro­nische Kom­mu­ni­kation, die inzwi­schen auch als DIN-Normen ver­ab­schiedet sind.
    3) Der Nutzer benötigt eine neue E‑Mailadresse — seine bekannte ist dann nicht mehr ver­fügbar
    4) Beide Dienste sind hoch­preisig im Ver­gleich zu anderen prak­ti­schen Lösungen
    5) Ende-zu Ende Ver­schlüs­selung ist nicht Standard und muss ggf. gesondert bezahlt werden; ebenso die Emp­fangs­be­stä­tigung.

  • Sven Scharioth sagt:

    Keine kom­mer­zi­ellen Angebote
    Sehr geehrter Herr Kafka, vielen Dank für Ihren Kom­mentar. Pro­dukt­werbung und vor allem kom­mer­zielle Angebote nehmen wir grund­sätzlich nicht im Blog auf. Deshalb haben wir den Link und die Hin­weise zu dem Produkt gelöscht. Wir bitten um Ihr Ver­ständnis.

Schreiben Sie einen Kommentar zu Gerhard Kafka Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.