De-Mail

De-Mail-Logo

De-Mail ist der Name eines auf E-Mail-Technik beruhenden, hiervon aber technisch getrennten Kommunikationsmittels zur „sicheren, vertraulichen und nachweisbaren“ Kommunikation im Internet. Das maßgebliche De-Mail-Gesetz geht zurück auf ein vom deutschen Bundesministerium des Innern initiiertes Projekt, das zunächst unter der Bezeichnung Bürgerportale geführt wurde.^[1] Realisiert und betrieben wird De-Mail in der Regel von privatwirtschaftlichen Unternehmen, den De-Mail-Anbietern (oder umganggspr. auch: De-Mail-Providern).^[1]

Hintergrund [Bearbeiten]

Das Hauptziel von De-Mail ist es, Nachrichten und Dokumente über das Internet vertraulich, sicher und nachweisbar zu versenden und zu empfangen und damit ein elektronisches Pendant zur heutigen Briefpost zu etablieren. Die Ende-zu-Ende-Verschlüsselung stellt gemäß der Technischen Richtlinie^[2] eine zusätzliche Option dar. Der Staat erbringt den De-Mail-Dienst nicht selbst, vielmehr werden zertifizierte Anbieter damit betraut. Diese sind beliehen, werden also hoheitlich tätig.

Die deutsche Bundesregierung setzt mit der Einführung von De-Mail die EU-Dienstleistungsrichtlinie in nationales Recht um. Die Richtlinie verlangt, dass öffentliche Stellen bis Ende 2009 elektronische Kommunikation als verbindliches Medium akzeptieren sollten.^[3]

Dienstumfang [Bearbeiten]

Der Postfach- und Versanddienst De-Mail ist der zentrale Dienst für die zuverlässige und vertrauliche Kommunikation. De-Mail wird ergänzt durch eine vertrauenswürdige Dokumentenablage (De-Safe) und einen zuverlässigen Identitätsnachweis (De-Ident).

Postfach- und Versanddienst De-Mail [Bearbeiten]

Über den zentralen Dienst De-Mail sollen Bürger, Wirtschaft und Verwaltung kostengünstig, zuverlässig und vertraulich elektronisch kommunizieren können. Die sichere Kommunikation basiert hauptsächlich auf TLS-gesicherten Kommunikationskanälen (Transportverschlüsselung).^[4]

Mit De-Mail sind verschiedene Versandarten möglich, die auch unabhängig voneinander genutzt werden können:

De-Mail

Die technische Richtlinie^[2] schreibt Verschlüsselungs- und Prüfsummenmechanismen vor, die zum Schutz der Nachrichten vor dem Verlust von Vertraulichkeit und Integrität beitragen sollen.

De-Mail-Einschreiben

Der Absender erhält zusätzlich qualifiziert signierte Bestätigungen, wann er die Nachricht verschickt hat und wann sie an das Postfach des Empfängers ausgeliefert wurde.

Außerdem kann ein Absender auch folgende Optionen vor dem Versand einer De-Mail wählen:

Persönlich

Das erforderliche Authentisierungsniveau von Absender und Empfänger, beispielsweise wegen der besonderen Vertraulichkeit der Nachricht, muss mindestens Hoch sein, um die Nachricht lesen zu können.

Absender-Bestätigt

Das erforderliche Authentisierungsniveau des Absenders muss wegen der besonderen Verbindlichkeit der Nachricht mindestens Hoch sein. Der De-Mail-Provider des Absenders bestätigt nach Entgegennahme der Nachricht mittels qualifizierter Signatur, dass er den angegebenen Nachrichteninhalt von dem Absender entgegengenommen hat und dieser sich mindestens mit hoch authentisiert hat. Der Empfänger erhält dadurch einen glaubwürdigen („starken“) Nachweis der Authentizität des Absenders und der Integrität der Nachricht.

Versandbestätigung

Der De-Mail-Anbieter des Absenders erstellt eine qualifiziert signierte Bestätigung, dass er eine referenzierte Nachricht zu einem bestimmten Zeitpunkt für den Versand an einen bestimmten Empfänger entgegengenommen hat.

Zugangsbestätigung

Der De-Mail-Anbieter des Empfängers erstellt nach Ablage der Nachricht in das Postfach des Empfängers eine qualifiziert signierte Bestätigung, dass er eine referenzierte Nachricht zu einem bestimmten Zeitpunkt in das Postfach des Empfängers eingestellt hat.

Abholbestätigung

Der De-Mail-Anbieter des Empfängers erstellt nach einer sicheren Anmeldung des Nutzers und bei Vorhandensein einer Nachricht mit Abholbestätigungs-Anforderung im Postfach des Empfängers eine qualifiziert signierte Bestätigung, dass der Nutzer eine Nachricht einsehen konnte.

Darüber hinaus kann der Absender seine Nachrichten zusätzlich mit seinen eigenen vorhandenen Komponenten (qualifiziert) signieren oder Ende-zu-Ende verschlüsseln. De-Mail-Anbieter sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem Nutzer unter anderem auch Verschlüsselungs-Zertifikate zu ihren De-Mail-Adressen hinterlegen können.

Die Versandarten und Optionen werden als Kopfzeile im fertigen Dokument notiert.^[5]

De-Mail-Nutzerkonten und -Adressen [Bearbeiten]

De-Mail können sowohl natürliche Personen, also Bürger, als auch juristische Personen wie zum Beispiel Unternehmen, Personengesellschaften oder öffentliche Stellen, also Behörden und Ministerien, nutzen. Für die Eröffnung eines Benutzerkontos bei De-Mail müssen sich die Nutzer zunächst einmal bei ihrem Anbieter registrieren und identifizieren lassen. Bei jeder Adress- sowie Namensänderung muss eine neue Registrierung erfolgen. Für natürliche Personen werden bei dieser Registrierung gemäß dem Geldwäschegesetz sämtliche Ausweisdaten wie beispielsweise Vor- und Nachnamen, Meldeadresse und Geburtsdatum übernommen. Bei der Identifizierung legen sie etwa ihren Personalausweis beim Anbieter vor. Bei juristischen Personen – etwa Firmen, Organisationen oder öffentliche Stellen – werden neben Angaben zu der juristischen Person selbst auch die Daten ihrer vertretungsberechtigten natürlichen Personen erfasst. Zur Identifizierung beim Provider legt eine vertretungsberechtige Person wie der Geschäftsführer oder Prokurist einen Auszug aus dem Handelsregister vor.

Da die zuverlässige Erstregistrierung Grundlage der erforderlichen Identifizierbarkeit der Kommunikationspartner ist, werden nur Verfahren akzeptiert, die hohen Sicherheitsanforderungen genügen, beispielsweise über den elektronischen Personalausweis oder per Identitätsfeststellung. Diese Sicherheitsanforderungen können mit denen zur Eröffnung eines Bankkontos verglichen werden.

Jedem De-Mail-Konto ist mindestens eine De-Mail-Adresse in Form einer E-Mail-Adresse zugeordnet. Die Adressen einer juristischen Person müssen deren Namen enthalten, also den Firmennamen. Natürliche Personen dürfen auch zusätzliche Adressen unter einem Pseudonym unterhalten, allerdings muss das Pseudonym als solches erkennbar sein.

Die Adresse einer natürlichen Person wird voraussichtlich folgender Syntax entsprechen: <Vorname>.<Nachname>@<De-Mail-Anbieter>.de-mail.de. Kommt ein Name beim selben De-Mail-Anbieter mehrfach vor, wird die Adresse um einen Punkt und eine Zahl ergänzt. Eine De-Mail-Adresse wird also dem folgenden Muster entsprechen: erika.mustermann@anbieter-XYZ.de-mail.de. Pseudonymen soll als Kennzeichnung das Präfix pn_ vorangestellt werden, so dass eine solche Adresse etwa pn_fantasiename@provider-XYZ.de-mail.de lauten könnte. Juristische Personen sollen als Namensraum für ihre De-Mail-Adressen eine eigene Domain der Form <Domain-Name>.de-mail.de erhalten können. So kann die juristische Person verschiedene Unterkonten einrichten, etwa mit den Namen einzelner Mitarbeiter oder Abteilungen.^[6]

De-Ident [Bearbeiten]

Im Rahmen der De-Mail-Dienste wird es eine einfache Möglichkeit zur Identitätsfeststellung geben. Auf Anforderung des Nutzers erstellt der De-Mail-Anbieter eine Ident-Bestätigung, die anschließend per De-Mail an die De-Mail-Adresse des Empfängers gesandt wird. Damit sollen Bürger sich beispielsweise bei Online-Shops registrieren können oder nachweisen, dass sie älter als 18 Jahre alt sind. Diese Inhalte werden vom De-Mail-Anbieter qualifiziert signiert, um die Korrektheit der übermittelten Daten zu bestätigen. Der Prozess ist in einer weiteren Technischen Richtlinie^[7] festgelegt.

De-Safe [Bearbeiten]

Eine häufige Anforderung ist, dass wichtige Dokumente sicher in elektronischer Form aufbewahrt werden können. Für diesen Fall sollen die De-Mail-Anbieter Dokumentensafes bereitstellen, die eine langfristige Speicherung und den Schutz vor Verlust und Manipulation ermöglichen. Auch hier werden alle an den Safe übergebenen Dokumente unmittelbar nach der Entgegennahme verschlüsselt und integritätsgeschützt. Der Prozess ist in einer weiteren Technischen Richtlinie^[8] festgelegt. Gesetzliche Anforderungen an Archivierung oder Aufbewahrung von Unterlagen, beispielsweise § 147 Abgabenordnung (AO), werden durch diesen Dienst nicht erfüllt.

Anmeldung zur Nutzung des De-Mail-Kontos [Bearbeiten]

Grundlage für die Nutzung der De-Mail-Dienste ist die Anmeldung an dem De-Mail-Konto des Nutzers. Das De-Mail-Gesetz unterscheidet dabei zwei Sicherheitsstufen:

Die sichere Anmeldung ist der Regelfall (§ 4 Abs. 1 Satz 2 De-Mail-G). Erforderlich sind dafür zwei voneinander unabhängige Sicherungsmittel. Jeder Anbieter muss hierzu mindestens zwei verschiedene Verfahren anbieten, von denen eines die Nutzung des elektronischen Identitätsnachweis mit dem elektronischen Personalausweis ist. Typischerweise setzen solche Verfahren zwei Elemente voraus: Besitz (etwa einer Chipkarte oder eines Mobiltelefons) und Wissen (Kennwort oder PIN).

Auf Wunsch des Nutzers kann eine Anmeldung auch ohne diese Sicherheit erfolgen. Hierzu genügt ein einzelnes Sicherungsmittel (üblicherweise Benutzername und Kennwort, § 4 Abs. 1 Satz 3 De-Mail-G).

Der Absender einer De-Mail kann verlangen, dass der Empfänger sich sicher im oben genannten Sinne anmeldet, bevor er die Nachricht abruft (§ 5 Abs. 4 De-Mail-G); ebenso kann er von seinem Anbieter verlangen, dem Empfänger deutlich zu machen, dass er (der Absender) sich sicher angemeldet hat (§ 5 Abs. 5 De-Mail-G). Eine sichere Anmeldung ist erforderlich, um eine automatische Weiterleitung auf eine andere De-Mail-Adresse einzurichten (§ 5 Abs. 11 De-Mail-G). Bei Nutzung der Dokumentenablage kann der Nutzer für jede einzelne Datei festlegen, ob er sie nur nach sicherer Anmeldung oder auch ohne diese Erfordernisse nutzen können will (§ 8 Satz 3 De-Mail-G).

Akkreditierte Diensteanbieter [Bearbeiten]

Akkreditierungsverfahren [Bearbeiten]

§ 17 De-Mail-G sieht vor, dass die De-Mail-Anbieter im Rahmen einer Akkreditierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Umsetzung technischer und organisatorischer Maßnahmen nachweisen müssen, die zum Beispiel den internen oder externen Zugriff auf die Daten durch Unberechtigte verhindern.

Hierzu gehören einerseits Nachweise der Funktionalität, Interoperabilität und Sicherheit sowie andererseits der Nachweis des Datenschutzes. Die Anforderungen, die zur Funktionalität und Interoperabilität eingehalten werden sollen, sind in der Technischen Richtlinie BSI TR-0120 [TR-DM] definiert, die die folgenden Bereiche abdeckt: IT-Basisinfrastruktur, Benutzerkontenverwaltung, Postfach- und Versanddienst, Identifizierungsdienst Light, Dokumentensafe Light, Sicherheit. Für die Prüfung dieser Anforderungen wird ein Prüfbericht erstellt, der durch das BSI begutachtet wird. Bei erfolgreicher Prüfung wird ein Zertifikat ausgestellt und auf Wunsch des Anbieters auf der Website des BSI veröffentlicht.^[9]

Um die Sicherheitsanforderungen zu erfüllen, muss eine ISO27001 Zertifizierung auf der Basis des IT-Grundschutzes – ergänzt um spezifische De-Mail-Anforderungen – durchgeführt werden. Der Auditor erstellt hierzu einen Audit-Bericht, der vom BSI geprüft wird. Auch hier wird bei erfolgreicher Prüfung ein Zertifikat erstellt, das auf Wunsch veröffentlicht wird.^[9]

Für die Akkreditierung muss der De-Mail-Anbieter zudem nachweisen, dass er auch die datenschutzrechtlichen Anforderungen erfüllt. Der Nachweis ist durch ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu erbringen. Dafür muss der De-Mail-Anbieter dem BfDI ein sachverständiges Gutachten vorlegen. Grundlage für die Begutachtung ist der Kriterienkatalog des BfDI.^[10]

Die Akkreditierung zum De-Mail-Dienstanbieter ist keine Pflicht, bietet den Dienstanbietern jedoch auf der einen Seite den Vorteil, dass sie ein Gütezeichen erhalten, das dem Anwender die Akkreditierung signalisiert.^[11] Auf der anderen Seite erfolgt der Austausch von Nachrichten in der Regel nur zwischen akkreditierten De-Mail-Dienstanbietern. Hierfür müssen sie ebenfalls nachweisen, dass sie die De-Mail-Dienste interoperabel anbieten (also auf technischer Ebene mit den anderen De-Mail-Anbietern nahtlos zusammenarbeiten).

Detaillierte und aktuelle Information zum Zertifizierungs- und Akkreditierungsverfahren werden auf der Website des BSI veröffentlicht. Die technischen Vorgaben wurden ebenfalls vom BSI veröffentlicht.^[12]

Zugelassene Auditoren und Prüfstellen [Bearbeiten]

Das BSI hat auf seiner Website Auditoren für die Prüfung der IT-Sicherheit, Interoperabilität und Funktionalität veröffentlicht.^[13] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) geht hinsichtlich der neben der technischen Prüfung ebenfalls erforderlichen Datenschutzprüfung einen anderen Weg: Als Gutachter für die Datenschutzprüfung kommen vom Bund oder von einem Bundesland anerkannte oder öffentlich bestellte oder beliehene sachverständige Stellen für Datenschutz zum Einsatz. Sie müssen für die beiden Bereiche Recht und Technik fachlich zugelassen sein. Solche Stellen sind derzeit beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugelassen.^[14]

Anbieter im Akkreditierungsverfahren [Bearbeiten]

Zur Cebit 2012 wurden mit der Mentana-Claimsoft GmbH (Tochter der Francotyp-Postalia) und der Deutschen Telekom AG zwei Unternehmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Diensteanbieter für De-Mail akkreditiert.^[15] Im März 2013 folgte die die 1&1 Mail and Media GmbH mit ihren Marken GMX und web.de.

Zugangseröffnung und Nutzung [Bearbeiten]

Die Nutzung des Dienstes durch die Bürger soll freiwillig sein. Die Übermittlung elektronischer Dokumente von Unternehmen und Behörden an Verbraucher ist dann zulässig, sofern der Empfänger hierfür einen Zugang eröffnet hat (sogenannte Zugangseröffnung). Im De-Mailgesetz ist im § 7 Abs. 3 festgelegt, dass „die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher … allein … nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung“ gilt. Der Verbraucher muss die Freigabe zur Zusendung explizit erklären.^[16] Dazu stehen ihm folgende Wege offen:

1. Der Verbraucher nimmt per De-Mail Kontakt mit dem Unternehmen oder der Einrichtung auf. Diese können ihm dann auf seine Anfrage antworten.

2. Der Verbraucher erklärt auf anderem Wege sein Einverständnis, dass Unternehmen und Behörden ihn unter seiner De-Mail-Adresse erreichen können. Diese Erklärung könnte z. B. über eine Webplattform erfolgen, mit deren Hilfe Verbraucher die abgegebenen Zugangseröffnungen verwalten können.

Zugangseröffnungen können auch zurückgenommen werden.

Sowohl die Einrichtung eines Postfachs als auch der Versand von Nachrichten und die Bestätigung des Versands können kostenpflichtig angeboten werden. Voraussetzung zur Einführung des Dienstes ist der Abschluss des gesetzgeberischen Verfahrens zum De-Mail-Gesetz mit Zustimmung der Bundesländer.^[17]

Sicherheit [Bearbeiten]

Von unverschlüsselter E-Mail zeichnet sich De-Mail vor allem dadurch aus, dass die Nachrichten verschlüsselt versendet werden.

Die vorhandenen technischen Standards sollen zum Betrieb von De-Mail jedoch nicht erweitert werden; vielmehr soll die zusätzliche Sicherheit durch die verpflichtende Nutzung von Standardfunktionen entstehen, die eigentlich als optional gelten und in der Praxis selten in vollem Umfang genutzt werden:

• Fester Bestandteil von De-Mail soll eine verpflichtende Authentifizierung sein, so dass die Systeme von Absender und Empfänger die Identität der jeweils anderen Seite sicherstellen können. Eine Möglichkeit hierfür ist der Einsatz digitaler Zertifikate.
• Eine Verschlüsselung der Übertragungswege soll Sicherheit gegen den Zugriff durch Unbefugte bieten.

Bei besonders hohen Anforderungen an die Vertraulichkeit der Nachrichten haben De-Mail-Nutzer die Möglichkeit, die mit De-Mail übermittelten Inhalte noch zusätzlich selbst zu verschlüsseln (sogenannte „Ende-zu-Ende-Verschlüsselung“). In diesem Fall erfolgt die Verschlüsselung auf dem Rechner des Absenders und die Entschlüsselung der Inhalte erst auf dem Rechner des Empfängers. Hierfür ist jedoch ggf. die Installation zusätzlicher Software erforderlich, die die Ver- und Entschlüsselung durchführt. Der Verzeichnisdienst, der bei De-Mail obligatorisch durch den Diensteanbieter angeboten werden muss, unterstützt den Anwender, indem dieser seinen öffentlichen Schlüssel anderen Anwendern zur Verfügung stellen kann. Es soll also ermöglicht werden, an einer zentralen Stelle nach öffentlichen Schlüsseln von Personen suchen zu können, um mit diesen vertraulich zu kommunizieren. Dies ist bisher nur schwer möglich und stellt den wesentlichen „Hemmschuh“ für die Verbreitung von Verfahren zur Ende-zu-Ende-Verschlüsselung („Wo finde ich den gültigen Verschlüsselungsschlüssel meines Kommunikationspartners?“). Mit De-Mail soll auf diese Weise der Einsatz der Ende-zu-Ende-Verschlüsselung unterstützt und gefördert werden.^[18]

S/MIME oder OpenPGP können zusätzlich durch den Nutzer für die Abbildung der Ende-zu-Ende-Sicherheit eingesetzt werden. Die Liste der hauptsächlichen Sicherheitsfunktionen wurden in einem Dokument des BMI zusammengefasst.^[19]

Kritik [Bearbeiten]

Der Chaos Computer Club und weitere Sachverständige hatten bereits vor zwei Jahren der De-Mail in puncto 'Sicherheit' ein katastrophales Zeugnis ausgestellt. Das Ziel der Gesetzesänderung sei es nach einer Schätzung des CCC, durch die Vermeidung echter Ende-zu-Ende-Verschlüsselung eine Abhör-Hintertür für Polizei und Geheimdienste zu eröffnen, die auch zum Einschleusen von staatlichen Trojanern genutzt werden kann.^[20]

Technische Konzeption [Bearbeiten]

Das technische Konzept ist innerhalb von technischen Richtlinien beschrieben, die auf der Web-Seite des BSI^[21] veröffentlicht sind.

Standardmäßige Transportsicherheit [Bearbeiten]

Sowohl die Kommunikation der De-Mail-Nutzer mit ihren De-Mail-Provider als auch die Kommunikation von De-Mail-Anbietern untereinander verläuft grundsätzlich über TLS-gesicherte Kommunikationskanäle.^[4] Reicht einem Nutzer das dadurch realisierte Sicherheitsniveau nicht aus, kann er zusätzlich seine Nachrichten beziehungsweise Dokumente Ende-zu-Ende-verschlüsseln und/oder Inhalte (qualifiziert) signieren.^[2]

Versand der Nachricht vom Absender an den De-Mail-Provider [Bearbeiten]

Die Nachricht wird vom Web- oder Nachrichten-Client des Nutzers an den Postfachdienst des Providers übermittelt.^[2]

Prüfung und Ergänzung der Metadaten [Bearbeiten]

Unmittelbar nach Entgegennahme der Nachricht vom Absender überprüft der De-Mail-Anbieter die mit der Nachricht übermittelten Metadaten. Unter anderem muss die in der Nachricht als Absenderadresse angegebene De-Mail-Adresse dem De-Mail-Konto zugeordnet sein, von dem der Absender die Nachricht verschickt. Auch muss das Authentisierungsniveau des Absenders mindestens Hoch sein, wenn er die De-Mail-spezifische Versandoption Absender-bestätigt ausgewählt hat. Nach Prüfung der Metadaten wird der Nachrichteninhalt auf Malware untersucht. Anschließend ergänzt der De-Mail-Anbieter des Absenders weitere Metadaten, darunter die aktuelle Zeit.

Integritätssicherung und Verschlüsselung [Bearbeiten]

Mit dem Ziel der Integritätssicherung fügt der De-Mail-Anbieter des Absenders der Nachricht inklusive Metadaten einen Hashwert hinzu.^[2] Ein Hashwert stellt allerdings keinen Integritätsschutz im Sinne eines Message Authentication Code dar.^[22] Bei Nachrichten, die mit der Versandoption Absender-bestätigt versandt werden, wird der Hashwert vom Anbieter noch zusätzlich qualifiziert elektronisch signiert und die Signatur in den Metadaten der Nachricht (Header) gespeichert.

Im Anschluss verschlüsselt der De-Mail-Anbieter den Nachrichteninhalt sowohl für sich selbst als auch für die De-Mail-Anbieter der Empfänger.

Versandbestätigung [Bearbeiten]

Unmittelbar vor der Übertragung der Nachricht an den oder die Empfänger stellt der De-Mail-Anbieter des Absenders – falls vom Absender angefordert – eine qualifiziert signierte Versandbestätigung aus. Die Versandbestätigung wird dem Absender als Anhang einer De-Mail zugestellt.

Die Versandbestätigung enthält unter anderem den Hashwert der ursprünglichen Nachricht und den Zeitpunkt der Übermittlung. Damit kann der Absender gegenüber Dritten nachweisen, dass er zu einem bestimmten Zeitpunkt die referenzierte Nachricht versandt hat.

Übertragung der Nachrichten an De-Mail-Provider [Bearbeiten]

Die De-Mail wird vom De-Mail-Anbieter des Absenders mittels SMTP durch TLS gesichert an den De-Mail-Anbieter des Empfängers übertragen.^[4] Nach Entgegennahme der Nachrichten wird eine Kopie der Nachricht temporär entschlüsselt und die Integrität der Nachricht geprüft. Ein gegebenenfalls vorhandener Nachsendeauftrag wird bearbeitet. Anschließend legt der Anbieter des Empfängers die verschlüsselte Nachricht im Postfach des Empfängers ab und verwirft die entschlüsselte Nachrichtenkopie.^[2]

Zugangsbestätigung [Bearbeiten]

Unmittelbar nach Ablage der Nachricht in das Postfach des Empfängers stellt der De-Mail-Anbieter des Empfängers eine Zugangsbestätigung für den Absender der Nachricht aus – sofern vom Absender gewünscht. Diese Bestätigung des Zugangs der Nachricht wird vom BSI in seiner Technischen Richtlinie auch Eingangsbestätigung genannt. Der De-Mail-Anbieter signiert die Bestätigung qualifiziert und sendet sie dem Absender als Anhang einer De-Mail zurück. Die Zugangsbestätigung enthält unter anderem den Hashwert der ursprünglichen Nachricht sowie den Zeitpunkt der Ablage der Nachricht in das Postfach des Empfängers. Der Absender der ursprünglichen Nachricht kann mit der Zugangsbestätigung gegenüber Dritten nachweisen, dass der Empfänger ab einem bestimmten Zeitpunkt Zugang zu einer bestimmten Nachricht hatte.

Protokolle und Datenformate von De-Mail [Bearbeiten]

Dieser Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Die fraglichen Angaben werden daher möglicherweise demnächst entfernt. Bitte hilf der Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst. Näheres ist eventuell auf der Diskussionsseite oder in der Versionsgeschichte angegeben. Bitte entferne zuletzt diese Warnmarkierung. Siehe Diskussionsseite, Abschnitt „fehlende Belege“. --JensLechtenboerger 16:47, 9. Nov. 2011 (CET)

Für die De-Mail-Kommunikation sind zwei Kommunikationsstrecken relevant: zum einen die Strecke zwischen Nutzer und seinem De-Mail-Anbieter und zum anderen die „interne“ Strecke zwischen zwei De-Mail-Anbietern.

Für den Kommunikationskanal zwischen Nutzer und seinem Anbieter gibt es die sicherheitstechnische Anforderung, dass die Kommunikation über einen gegenseitig authentisierten und vertraulichen Kanal erfolgen muss, wie beispielsweise SSL/TLS. Dies kann aber auch über OSCI-Transport realisiert werden. Die technische Umsetzung und damit die Wahl des Transportprotokolls und auch der verwendeten Datenformate können individuell zwischen De-Mail-Provider und Nutzer erfolgen. Auch können Absender und Empfänger prinzipiell unterschiedliche Protokolle bzw. Datenformate und damit auch Client-Anwendungen nutzen. De-Mail-Anbieter müssen als Client-Anwendungen mindestens Webbrowser mit HTTPS unterstützen. Darüber hinaus sind auch E-Mail-Clients mit SMTP für den Versand und POP3 oder IMAP für den Empfang von Nachrichten – jeweils über einen sicheren Kommunikationskanal eingesetzt – möglich. Im Gegensatz zum Kommunikationskanal zwischen Nutzer und De-Mail-Anbieter sind die Protokolle und Datenformate zwischen zwei De-Mail-Anbietern genau spezifiziert, so dass alle Anbieter einheitlich (interoperabel) untereinander kommunizieren können.

Zur Absicherung des Kommunikationskanals zwischen zwei De-Mail-Anbietern kommt SSL/TLS zum Einsatz. Über diesen sicheren Kommunikationskanal wird SMTP zum Übermitteln der Nachrichten und als Datenformat das Standard-E-Mail-Format (Internet Message Format) eingesetzt.

Status [Bearbeiten]

Das Projekt „Bürgerportal“ wird von der deutschen Bundesregierung zusammen mit privatwirtschaftlichen Partnern realisiert. Das Projekt wurde im November 2008 erstmals auf dem IT-Gipfel in Darmstadt öffentlich vorgestellt. Am 4. Februar 2009 wurde ein entsprechender Gesetzentwurf der Bundesregierung beschlossen.^[23]

Statt dem bisherigen Gesetzentwurf zur Regelung von Bürgerportalen liegt nun ein neuer Gesetzentwurf mit dem Namen „Entwurf eines Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften – De-Mail-Gesetz” bei den Verbänden und Vereinen zur Kommentierung vor.

Die Financial Times Deutschland berichtete im September 2009, dass die Deutsche Post AG das Gesetzgebungsverfahren verzögerte, um der eigenen Dienstleistung E-Postbrief einen Startvorteil zu verschaffen.^[24]

Ein De-Mail-Pilotprojekt im Raum Friedrichshafen lief ein halbes Jahr (Oktober 2009 bis März 2010). Die Pilot-Systeme stehen den bisherigen Nutzern noch zur Verfügung.

Im Jahr darauf wurde das De-Mail-Gesetz (Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften vom 28. April 2011) beschlossen und trat am 3. Mai 2011 in Kraft.^[25]

Die Einführung von De-Mail war zunächst für Frühjahr/Sommer 2011 geplant, jedoch verzögert sie sich schon seit einigen Monaten. Das BSI begründet dies mit dem langwierigen Zertifizierungsprozess der von den künftigen De-Mail-Anbietern zur Prüfung vorgelegten Dienste.^[26]

Im Dezember 2011 gab das BSI per Pressemitteilung bekannt: Man habe "der Mentana-Claimsoft AG ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz erteilt. Das Zertifikat enthält zusätzliche Aspekte aus der Technischen Richtlinie TR 01201 De-Mail. Somit hat das Unternehmen den Nachweis im Bereich "Sicherheit" von De-Mail erbracht und kann beim BSI das für die Akkreditierung als De-Mail-Diensteanbieter notwendige Testat im Bereich "Sicherheit" beantragen."^[27] Die Mentana-Claimsoft GmbH ist damit das erste Unternehmen mit den nötigen sicherheitstechnischen Voraussetzungen für eine Akkreditierung.

Am 3. Februar 2012 veröffentlichte der BfDI Peter Schaar (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) per Pressemitteilung,^[28] dass er der Mentana-Claimsoft GmbH ein Datenschutzzertifikat für den dort geplanten De-Mail-Dienst erteilt hat. Darin wird bestätigt, dass die Mentana-Claimsoft GmbH die datenschutzrechtlichen Anforderungen des De-Mail-Gesetzes erfüllt. Die Mentana-Claimsoft GmbH ist damit das erste Unternehmen im De-Mail-Verbund, das über das für die Akkreditierung notwendige Datenschutzzertifikat verfügt.

Die Deutsche Telekom kündigte im März an, den Dienst für Großkonzerne noch im selben Monat zu starten. Kleine und mittelständische Firmen sowie Privatkunden können ihn seit 31. August 2012 nutzen.^[29] Nachdem die Deutsche Post ihren Standard-E-Postbrief nicht beim Gesetzgeber durchsetzen konnte, will auch sie ab Dezember 2012^[veraltet] De-Mail anbieten.^[30]

Auch der Internetanbieter 1&1 will nach erfolgreicher Akkreditierung beim BSI in der zweiten Jahreshälfte 2012^[veraltet] einen Dienst für Geschäftskunden anbieten.^[31]

Beim Dienst GMX (United Internet) heißt es bei der Account-Anmeldung für De-Mail im GMX-Webportal: "GMX befindet sich aktuell in der Akkreditierung. Die Freischaltung Ihres Accounts erfolgt mit Abschluss der Akkreditierung" (Stand: 22. September 2012)

Kritik [Bearbeiten]

Technische Konzeption [Bearbeiten]

De-Mail verwendet zur Absicherung der Kommunikation sowohl zwischen Nutzer und Anbieter als auch zwischen zwei Anbietern gegenseitig authentisierte und verschlüsselte Kommunikationskanäle. Beim Versand wird daher der Nachrichteninhalt erst auf Anbieter-Seite integritätsgesichert und für den Anbieter des Empfängers verschlüsselt. Auch muss der Anbieter des Empfängers den Nachrichteninhalt vor Übertragung an ihn wieder entschlüsseln, prüfen und wiederum verschlüsseln. Hierbei kommt keine sogenannte Ende-zu-Ende-Verschlüsselung zustande.

Jedoch kann der Nutzer auch bei De-Mail seine Nachrichten selbst signieren und Ende-zu-Ende-verschlüsseln. De-Mail unterstützt diese Operation u. a. durch einen Verzeichnisdienst, in dem Nutzer eigene Verschlüsselungszertifikate veröffentlichen können. Ein Prüfdienst für die qualifizierte elektronische Signatur soll es dem Nutzer einfach machen, die elektronische Unterschrift zu verifizieren.

Falls eine Nachricht vom Nutzer nicht verschlüsselt wurde, ist es prinzipiell möglich, dass Mitarbeiter der Anbieter die Nachrichten mitlesen oder verändern können. Dieser Gefahr soll durch technische und organisatorische Maßnahmen begegnet werden, die im Zertifizierungsverfahren überprüft werden. So muss der Anbieter u. a. durch die Umsetzung eines geeigneten Rollenkonzeptes und anderer technischer Maßnahmen nachweisen, dass einzelne Mitarbeiter eines Anbieters nicht auf die Nachrichten der Nutzer zugreifen können.^[32]

De-Mail ist technisch nicht kompatibel zu dem etablierten elektronischen Gerichts- und Verwaltungspostfach EGVP, mit dem die elektronische Kommunikation mit Gerichten und Verwaltungen bereits heute realisiert wird. Eine Schnittstelle ist wohl jedoch geplant. Eine Kommunikation zwischen De-Mail und regulären E-Mail-Adressen wird nicht möglich sein.^[33]

Datenschutz [Bearbeiten]

Vor der Einrichtung eines De-Mail-Briefkastens muss man sich identifizieren, was bei einem normalen Briefkasten oder bei dem Versand von Briefen nicht erforderlich ist.^[34] Aufgrund der Architektur von De-Mail fließen alle Daten und Kontakte auf die Person rückführbar an einer zentralen Stelle zusammen; die Verwendung mehrerer, nicht in Verbindung zu bringender Identitäten ist nicht möglich.^[35]

Die hinterlegten persönlichen Daten des Nutzers sind für eine Vielzahl von Sicherheitsbehörden und Geheimdiensten ohne richterliche Anordnung anforderbar (§ 113 TKG), die Identität hinter einer De-Mail-Adresse ist für etwa 250 bei der Bundesnetzagentur registrierte Behörden in einem Online-Verfahren abrufbar (§ 112 TKG), in dem bei ca. 140 Telekommunikationsanbietern täglich nahezu 100.000 Zugriffe auf Kundendaten erfolgen.^[36] Nach § 16 des De-Mail-Gesetzes erhalten in bestimmten Fällen zudem Private Auskunft über Namen und Anschrift eines Nutzers. Voraussetzung ist unter anderem, dass der Dritte die Daten benötigt, um einen Rechtsanspruch gegen den Nutzer zu verfolgen, der unter Nutzung von De-Mail entstanden ist.

Eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG) schließt der Gesetzentwurf nicht normenklar aus.

Nutzerkennung und Passwort zu einem De-Mail-Postfach sind auf Anforderung einer Strafverfolgungsbehörde, einer Polizeibehörde, des Bundesamts für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes ohne richterliche Anordnung herauszugeben (§ 113 TKG). Die im De-Mail-Postfach liegenden Dokumente und Informationen sind damit keineswegs so geschützt wie Papierdokumente oder Briefe in der eigenen Wohnung. Das Recht zur Passwortabfrage besteht zwar bei allen E-Mail-Konten. Dort kann man sich aber mit anonymen Postfächern, multiplen Identitäten und ausländischen Konten vor Zugriffen schützen, was bei De-Mail nicht möglich ist.

Obwohl die Beantragung einer De-Mail-Adresse freiwillig sein soll, wird befürchtet, dass Behörden und Unternehmen, die ihre Leistungen bisher anonym oder ohne Überprüfung der Kundenangaben angeboten haben, faktisch schrittweise eine personengebundene und identitätsgeprüfte E-Mail-Adresse zur Voraussetzung des Angebots ihrer Leistungen machen werden. Ziel des Vorhabens ist dem Bundesinnenministerium zufolge tatsächlich, „die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall” zu machen.^[37] Die eindeutige Identifizierung im Internet kann beispielsweise zum Ausschluss bestimmter Kundengruppen genutzt werden, etwa wegen angeblich mangelnder Bonität oder auch nur wegen Missliebigkeit oder Kritik am Unternehmen.

Der Arbeitskreis Vorratsdatenspeicherung zieht das Fazit, von der Benutzung von De-Mail könne „nur abgeraten werden”.^[38] Um einen faktischen Zwang zur Nutzung von De-Mail zu verhindern, müsse der Dienst boykottiert werden, damit er sich nicht durchsetze.

Umsetzung [Bearbeiten]

An der Umsetzung des Dienstes ist mit der Deutschen Telekom ein früherer Staatsbetrieb beteiligt.^[39] Die Strato AG kritisierte die angewandte Zulassungspraxis, nachdem sie selbst nach eigenen Angaben von der Teilnahme ausgeschlossen worden war.^[39]

Dennoch kann der gesetzlich geforderte Nachweis eines Datenschutzkonzepts für De-Mail-Anbieter^[23] die Vertrauenswürdigkeit gegenüber anderen E-Mail-Anbietern steigern.

Rechtliche Aspekte [Bearbeiten]

Die Folgen der Nutzung von De-Mail hängen hauptsächlich davon ab, welche Beweiskraft De-Mail zugemessen wird. Das ist noch ungeklärt.

Juristen wie Wolfgang Steppling, der Vizepräsident des Oberverwaltungsgerichts Rheinland-Pfalz, kritisieren die im Gesetz vorgesehene Möglichkeit, behördliche Bescheide ohne Empfangsbestätigung elektronisch zuzustellen. Damit könnten Bescheide in Bestandskraft erwachsen, ohne dass der Betroffene überhaupt davon erfährt. Denn im Unterschied zum herkömmlichen Briefkasten wären für die laufende Überwachung des elektronischen Postfachs technische und finanzielle Voraussetzungen erforderlich, deren Schaffung und Aufrechterhaltung vom Bürger nicht ohne weiteres verlangt werden kann.^[40]

Keine Aussagen werden zur Veränderung der Zustellfiktion gemacht, deren Frist, anders als bei der Papierpost, auch an Sonn- und Feiertagen gelten könnte.^[41]

Weiterhin bietet De-Mail ebenso wie E-Mail keine Funktionalität, um das sogenannte Schriftformerfordernis (§ 126 BGB) zu erfüllen. Sollen Dokumente, welche dies benötigen, mittels De-Mail versendet werden, so muss der Anwender eine digitale Signatur erstellen. Denn gemäß § 2 Nr. 2 SigG kann ein qualifiziert elektronisch signiertes Dokument versandt werden, das die gleichen rechtlichen Eigenschaften aufweist. Die digitale Signatur muss der Anwender allerdings eigenhändig mit einem unabhängigen Programm erstellen. Jedoch soll nach derzeitigem Stand das für 2013 geplante eGovernment-Gesetz die Notwendigkeit einer Signatur durch die einfache De-Mail ersetzen.^[42]

Ungeklärt ist auch, wer die Beweislast für einen Missbrauch tragen soll. Der Chaos Computer Club befürchtet, dass die Beweislast – ähnlich wie beim Missbrauch von EC-Karten – beim Verbraucher (Anwender) liegen könnte.^[43]

Finanzierung [Bearbeiten]

Bislang ist noch unklar, wie der Betrieb des Dienstes langfristig finanziert wird.^[39] Der Gesetzentwurf weist für Unternehmen auf das Einsparpotential durch Wegfall des Briefportos hin und erwartet, dass der Versand von Nachrichten für den Bürger portofrei ist.^[23] Möglicherweise wird der Dienst um eine elektronische Frankierung („e-Porto“) ergänzt.^[44] Auch eine Beteiligung der Unternehmen an den Kosteneinsparungen der Behörden wird geprüft. Durch eine Aufteilung in kostenlose Basis- und kostenpflichtige Mehrwertdienste könnten zusätzliche Einnahmen erzielt werden.

Abgrenzung zu anderen Angeboten [Bearbeiten]

E-Postbrief [Bearbeiten]

Beobachter sehen, dass das herkömmliche Briefeschreiben durch De-Mail-Angebote substituiert wird. Der erwartete Rückgang der herkömmlichen Briefpost werde nach Christian Schlesiger das Geschäftsmodell der Deutsche Post stark verändern.^[45] Nicht zuletzt deshalb hat das Unternehmen ein Konkurrenzprodukt mit ähnlichen Sicherheitsmerkmalen auf den Markt gebracht: Den E-Postbrief, der am 14. Juli 2010 den Betrieb aufnahm. Mitunter wurde der Unterschied von E-Postbrief und De-Mail in der Öffentlichkeit nicht wahrgenommen.^[46][47]

Da durch die Politik jedoch nur die De-Mail-Lösung als gesetzlich verbindlich festgelegt wurde, können Behörden bei rechtsverbindlicher Kommunikation nur mit dem De-Mail-Standard entsprechenden Produkten arbeiten. Auf Gesetzesebene setzte sich die De-Mail in diesem Bereich daher gegen den E-Postbrief durch.

Die Deutsche Post AG stellte den Versuch, ihren bereits bestehenden E-Postbrief-Dienst als De-Mail-Angebot akkreditieren zu lassen^[48], im April 2013 ein. Der Versuch scheiterte an den Anforderungen des Datenschutzes zur Datenvermeidung beim eingesetzten PostIdent-Verfahren.^[49][50]

Siehe auch [Bearbeiten]

• E-Government
• EGVP (Elektronisches Gerichts- und Verwaltungspostfach)
• Hybridpost
• E-Postbrief, ePost

Weblinks [Bearbeiten]

• www.de-mail.de – Offizielle Webseite von De-Mail
• De-Mail-Gesetz
• vom BSI veröffentlichte technische Richtlinien
• Unternehmer-Magazin Creditreform: Interview mit der IT-Beauftragten der Bundesregierung, Cornelia Rogall-Grothe, Dezember 2010 (PDF abgerufen am 15. Dezember 2010; 275 kB)
• DE-Mail (PDF; 65 kB) in der Reihe Aktueller Begriff der Wissenschaftlichen Dienste vom 3. November 2011, Herausgeber: Deutscher Bundestag, Verfasserin: Sabine Horvath
• Informationen zu De-Mail vom Bundesministerium des Inneren

Einzelnachweise [Bearbeiten]

1. ↑ ^{a b} IT-Beauftragte der Bundesregierung - Häufig gestellte Fragen. Abgerufen am 5. November 2011.
2. ↑ ^{a b c d e f} Technische Richtlinie – Postfach- und Versanddienst Funktionalitätsspezifikation (PDF; 2,6 MB)
3. ↑ Bürgerportale und die EU-Dienstleistungsrichtlinie auf www.cio.bund.de
4. ↑ ^{a b c} Technische Richtlinie – IT-Basisinfrastruktur Interoperabilitätsspezifikation
5. ↑ [TR BP IO] Technische Richtlinie Interoperabilitätsspezifikation Postfach- und Versanddienst eines Bürgerportals, Entwurf, Version 0.99 (PDF; 739 kB) Bundesamt für Sicherheit in der Informationstechnik (BSI). 2009. Abgerufen am 23. Juli 2010: „Übersicht über die Header von Bürgerportal-Nachrichten“
6. ↑ Technische Richtlinie – Accountmanagement Funktionalitätsspezifikation (PDF; 404 kB)
7. ↑ Technische Richtlinie – Identifizierungsdienst Funktionalitätsspezifikation (PDF; 671 kB)
8. ↑ Technische Richtlinie – Datensafe Funktionalitätsspezifikation (PDF; 1,7 MB)
9. ↑ ^{a b}  Schumacher, A.: Akkreditierung und Zertifizierung von De-Mail-Diensteanbietern. In: Datenschutz und Datensicherheit. Nr. 9, 2010, S. 302-307.
10. ↑ BfDI: De-Mail Kriterienkatalog (abgerufen am 25. April 2012).
11. ↑ BSI (2011):Akkreditierung von De-Mail-Diensteanbietern (abgerufen am 25. April 2012)
12. ↑ BSI, Eine Übersicht über die technischen Vorgaben zur Gewährleistung der sicheren Kommunikationsinfrastruktur, 15. Juni 2010.
13. ↑ BSI, Zertifizierung als Auditor De-Mail.
14. ↑ ULD, Gütesiegel beim Unabhängigen Landeszentrum für Datenschutz – Sachverständigenregister.
15. ↑ De-Mail-Diensteanbieter akkreditiert. Bundesamt für Sicherheit in der Informationstechnik. Abgerufen am 10. September 2012: „[...] Mentana-Claimsoft GmbH, Telekom Deutschland GmbH und T-Systems International GmbH können nun ihre De-Mail-Dienste Unternehmen, Verwaltungen und Privatpersonen anbieten. [...]“
16. ↑ De-Mail-Gesetz
17. ↑ De-Mail – so einfach wie E-Mail und so sicher wie Papierpost. IT-Beauftragte (CIO) der Bundesregierung. Abgerufen am 25. Juli 2010: „Rechtliche Voraussetzung für die Zulassung ist ein Gesetz. Es konnte als Bürgerportal-Gesetz in der letzten Wahlperiode vom Bundestag aus Zeitgründen nicht mehr verabschiedet werden.“
18. ↑ Informationen zur Ende-zu-Ende-Verschlüsselung vom BSI
19. ↑ [1] Sicherheitsfunktionen
20. ↑ Stellungnahme des CCC
21. ↑ De-Mail-Web-Seite des BSI
22. ↑  Charlie Kaufman, Radia Perlman, Mike Speciner: Netzwerksicherheit: Private Kommunikation in einer öffentlichen Welt. Prentice Hall PTR, Upper Saddle River, New Jersey 2002 (Originaltitel: Network security: private communication in a public world), ISBN 0-13-046019-2, S. 123-124.
23. ↑ ^{a b c} Drucksache 174/09 - Entwurf eines Gesetzes zur Regelung von Bürgerportalen und zur Änderung weiterer Vorschriften. Bundesrat, 20. Februar 2009, abgerufen am 25. Juli 2010 (PDF; 472 kB). 
24. ↑ Financial Times Deutschland: Post torpediert Regierungsprojekt, abgerufen am 24. September 2009 (kostenpflichtig)
25. ↑ Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften vom 28. April 2011 (BGBl. I S. 666)
26. ↑ Aussagen des BSI an die "Wirtschaftswoche"
27. ↑ De-Mail: BSI erteilt ISO-Zertifikat an Mentana-Claimsoft
28. ↑ De-Mail: BfDI erteilt Datenschutzzertifikat an Mentana-Claimsoft
29. ↑ Telekom startet De-Mail am 31. August bundesweit
30. ↑ onlinekosten.de: Deutsche Post setzt auch auf De-Mail, 7. März 2012, Zugriff am 17. März 2012
31. ↑ Christian Wolf: 1&1: De-Mail-Registrierung für Firmenkunden startet, onlinekosten.de, 27. April 2012, Zugriff am 5. Mai 2012
32. ↑ Technische Richtlinie – IT-Sicherheit Übergeordnete Komponenten (PDF; 994 kB)
33. ↑ Fortschritte bei der De-Mail – Hybridmail: Briefpost per E-Mail wird billiger als Standardporto – Golem.de. S. 2. 6. Juli 2010. Abgerufen am 6. Juli 2010.
34. ↑ vorratsdatenspeicherung.de (PDF; 136 kB): Stellungnahme des Arbeitskreis Vorratsdatenspeicherung, S. 12 f.
35. ↑ vorratsdatenspeicherung.de (PDF; 136 kB)
36. ↑ bundesnetzagentur.de: Jahresbericht 2012 der Bundesnetzagentur, S. 112.
37. ↑ E-Government 2.0 - Das Programm des Bundes. IT-Stab im Bundesministerium des Innern. S. 15. 2006. Abgerufen am 25. Juli 2010: „Bürger-Portale geben Bürgerinnen und Bürgern im Internet ein Gesicht. Sie machen die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall [...]“
38. ↑ Stellungnahme zur Dialogveranstaltung „Datenschutz und Datensicherheit im Internet“ (PDF; 136 kB) Arbeitskreis Vorratsdatenspeicherung (AK Vorrat). S. 12. 16. Januar 2010. Abgerufen am 25. Juli 2010: „De-Mail und elektronischer Personalausweis können nicht für besseren Selbstdatenschutz eingesetzt werden. Umgekehrt kann von der Benutzung dieser Angebote nur abgeraten werden.“
39. ↑ ^{a b c} Thomas Wendel: Heftige Kritik an Bundes-E-Mail. Financial Times Deutschland, 9. Oktober 2008, abgerufen am 25. Juli 2010 (kostenpflichtig). 
40. ↑  Witte: In: Neue Juristische Wochenschrift. Nr. 18, 2009, S. III.
41. ↑ [2] Jürgen Kuri: Rechtssichere Bürger-E-Post De-Mail: Besonderheiten und Fallstricke (heise.de, 13. Juli 2010)
42. ↑ Borchers (2012): E-Government-Gesetz kommt voran [heise] (abgerufen am 20. April 2012).
43. ↑ E. Jung: Regierungspläne zum IT-Gipfel „Nie mehr Spam”. Sueddeutsche.de, 20. November 2008, S. 2, abgerufen am 25. Juli 2010: „"Wir befürchten, dass ähnlich wie bei EC-Karten dem Bürger pauschal die Beweislast im Missbrauchsfall auferlegt wird", sagt Frank Rosengart vom Chaos Computer Club.“ 
44. ↑ Michael Marth: De-Mail: Das Ende der Warteschlange. Focus Online, 9. Oktober 2008, abgerufen am 25. Juli 2010: „Die Finanzierung soll über ein sogenanntes „e-Porto“ erfolgen – vergleichbar mit einer virtuellen Briefmarke. „Es ist wahrscheinlich, dass der De-Mail-Versand für Bürger zumindest von einigen Anbietern weitgehend kostenfrei angeboten wird“, sagt Paris.“ 
45. ↑ Christian Schlesiger: De-Mail-System: Kampf um die elektronische Post. Wirtschaftswoche, 4. Juni 2009, S. 1, abgerufen am 25. Juli 2010: „Und wie die drahtlose Technik vor 18 Jahren [...] so wird De-Mail das Briefeschreiben auf Dauer nahezu auslöschen – und die Deutsche Post in ihren Grundfesten erschüttern.“ 
46. ↑ Arndt Ohler: Post gibt Startschuss für Online-Brief. Frankfurter Allgemeine Zeitung. 13. Juli 2010. Abgerufen am 22. Juli 2010: „Neben der Deutschen Post bieten auch andere Unternehmen wie die Deutsche Telekom, GMX und Web.de das neue De-Mail-Verfahren an“
47. ↑ Tina Klopp: Online-Brief für 20 Cent. ZEIT ONLINE GmbH. 8. Februar 2010. Abgerufen am 23. Juli 2010: „Im Sommer soll es soweit sein: Die Deutsche Post will die schon länger diskutierte DE-Mail ab Juni bundesweit anbieten.“
48. ↑ Deutsche Post - E-Postbrief: E-Postbrief jetzt mit TÜV-Siegel abgerufen am 2. Januar 2012
49. ↑ E-Post vs. De-Mail: Deutsche Post steigt endgültig bei De-Mail aus, Heise Online, abgerufen am 12. April 2013
50. ↑ Deutsche Post will keine De-Mails zustellen, Frankfurter Allgemeine Zeitung, abgerufen am 12. April 2013

´