De-Mail

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 1. September 2016 um 20:33 Uhr durch Trollflöjten (Diskussion | Beiträge) (ist halt englisch; beides zur Standardsprache gehörend). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Zur Navigation springen Zur Suche springen
De-Mail-Logo

De-Mail [deːˈ|eːmeːl] ist der Name eines auf E-Mail-Technik beruhenden, hiervon aber technisch getrennten Kommunikationsmittels zur „sicheren, vertraulichen und meist nachweisbaren“ Kommunikation im Internet (§ 1 Abs. 1 De-Mail-Gesetz). Realisiert und betrieben wird De-Mail in der Regel von privatwirtschaftlichen Unternehmen, den De-Mail-Anbietern (oder auch: De-Mail-Provider).[1]

Hintergrund

Das Hauptziel von De-Mail ist es, Nachrichten und Dokumente über das Internet vertraulich, sicher und nachweisbar zu versenden und zu empfangen und damit ein elektronisches Pendant zur heutigen Briefpost zu etablieren. Das später in De-Mail umbenannte Projekt Bürgerportale reagierte auf die ausbleibende Akzeptanz für das Gerichts- und Verwaltungspostfach EGVP.[2] Schon 2006 wurde kritisiert, dass die behaupteten Sicherheitsvorteile des EGVP-Systems auf Basis des (XML-basierten) OSCI-Protokolls auch mit E-Mail-Spezifikationen (SMTP/S/MIME) erreichbar sind und insofern kein Bedarf für eine staatlich verordnete Zwangskommunikation über ein EGVP-System bestehe.[3] De-Mail nimmt diese Kritik teilweise auf und will es privaten Providern auf Basis internationaler Standards ermöglichen, eine sichere und rechtsverbindliche E-Mail-Kommunikation anzubieten. Der Staat erbringt den De-Mail-Dienst nicht selbst, vielmehr werden zertifizierte Anbieter damit betraut. Diese sind beliehen, werden also hoheitlich tätig, soweit sie öffentliche Zustellungen vornehmen.

Die deutsche Bundesregierung setzt mit der Einführung von De-Mail die EU-Dienstleistungsrichtlinie in nationales Recht um. Die Richtlinie verlangt, dass öffentliche Stellen bis Ende 2009 elektronische Kommunikation als verbindliches Medium akzeptieren sollten.[4]

Dienstumfang

Der Postfach- und Versanddienst De-Mail ist der zentrale Dienst für die zuverlässige und vertrauliche Kommunikation. De-Mail wird ergänzt durch eine vertrauenswürdige Dokumentenablage (De-Safe) und einen zuverlässigen Identitätsnachweis (De-Ident).

Postfach- und Versanddienst De-Mail

Über den zentralen Dienst De-Mail sollen Bürger, Wirtschaft und Verwaltung kostengünstig, zuverlässig und vertraulich elektronisch kommunizieren können. Die sichere Kommunikation basiert hauptsächlich auf TLS-gesicherten Kommunikationskanälen (Transportverschlüsselung).[5] Die Ende-zu-Ende-Verschlüsselung stellt gemäß der Technischen Richtlinie[6] eine zusätzliche Option dar, die der Diensteanbieter zu unterstützen hat (Kriterienkatalog Ziffer 3.1.3).[7]

Mit De-Mail sind verschiedene Versandarten möglich, die auch unabhängig voneinander genutzt werden können:

De-Mail
Die technische Richtlinie[6] schreibt Verschlüsselungs- und Prüfsummenmechanismen vor, die zum Schutz der Nachrichten vor dem Verlust von Vertraulichkeit und Integrität beitragen sollen.
De-Mail-Einschreiben
Der Absender erhält zusätzlich qualifiziert signierte Bestätigungen, wann er die Nachricht verschickt hat und wann sie an das Postfach des Empfängers ausgeliefert wurde.

Außerdem kann ein Absender auch folgende Optionen vor dem Versand einer De-Mail wählen:

Persönlich
Das erforderliche Authentisierungsniveau von Absender und Empfänger muss mindestens hoch sein, um die Nachricht lesen zu können, beispielsweise wegen der besonderen Vertraulichkeit der Nachricht.
Absender-Bestätigt
Das erforderliche Authentisierungsniveau des Absenders muss wegen der besonderen Verbindlichkeit der Nachricht mindestens hoch sein. Der De-Mail-Provider des Absenders bestätigt nach Entgegennahme der Nachricht mittels qualifizierter Signatur, dass er den angegebenen Nachrichteninhalt von dem Absender entgegengenommen hat und dieser sich mindestens mit hoch authentisiert hat. Der Empfänger erhält dadurch einen glaubwürdigen („starken“) Nachweis der Authentizität des Absenders und der Integrität der Nachricht.
Versandbestätigung
Der De-Mail-Anbieter des Absenders erstellt eine qualifiziert signierte Bestätigung, dass er eine referenzierte Nachricht zu einem bestimmten Zeitpunkt für den Versand an einen bestimmten Empfänger entgegengenommen hat.
Zugangsbestätigung
Der De-Mail-Anbieter des Empfängers erstellt nach Ablage der Nachricht in das Postfach des Empfängers eine qualifiziert signierte Bestätigung, dass er eine referenzierte Nachricht zu einem bestimmten Zeitpunkt in das Postfach des Empfängers eingestellt hat.
Abholbestätigung
Der De-Mail-Anbieter des Empfängers erstellt nach einer sicheren Anmeldung des Nutzers und bei Vorhandensein einer Nachricht mit Abholbestätigungs-Anforderung im Postfach des Empfängers eine qualifiziert signierte Bestätigung, dass der Nutzer eine Nachricht einsehen konnte.

Darüber hinaus kann der Absender seine Nachrichten zusätzlich mit seinen eigenen vorhandenen Komponenten (qualifiziert) signieren oder Ende-zu-Ende verschlüsseln. De-Mail-Anbieter sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem Nutzer unter anderem Verschlüsselungs-Zertifikate zu ihren De-Mail-Adressen hinterlegen können.

Die Versandarten und Optionen werden als Kopfzeile im fertigen Dokument notiert.[8]

De-Mail-Nutzerkonten und -Adressen

De-Mail können sowohl natürliche Personen als auch juristische Personen wie Unternehmen, Personengesellschaften oder öffentliche Stellen (Behörden und Ministerien) nutzen. Für die Eröffnung eines Benutzerkontos bei De-Mail müssen sich die Nutzer zunächst bei ihrem Anbieter registrieren und identifizieren lassen. Bei jeder Adress- sowie Namensänderung muss eine neue Registrierung erfolgen. Für natürliche Personen werden bei dieser Registrierung gemäß dem Geldwäschegesetz sämtliche Ausweisdaten wie Vor- und Nachnamen, Meldeadresse und Geburtsdatum übernommen. Bei der Identifizierung legen sie beispielsweise ihren Personalausweis beim Anbieter vor. Bei juristischen Personen – Firmen, Organisationen oder öffentliche Stellen – werden neben Angaben zu der juristischen Person selbst die Daten ihrer vertretungsberechtigten natürlichen Personen erfasst. Zur Identifizierung beim Provider legt eine vertretungsberechtige Person wie der Geschäftsführer oder Prokurist einen Auszug aus dem Handelsregister vor.

Da die zuverlässige Erstregistrierung Grundlage der erforderlichen Identifizierbarkeit der Kommunikationspartner ist, werden nur Verfahren akzeptiert, die hohen Sicherheitsanforderungen genügen, beispielsweise über den elektronischen Personalausweis oder per Identitätsfeststellung. Diese Sicherheitsanforderungen können mit denen zur Eröffnung eines Bankkontos verglichen werden. Jedem De-Mail-Konto ist mindestens eine De-Mail-Adresse in Form einer E-Mail-Adresse zugeordnet. Die Adressen einer juristischen Person müssen deren Namen enthalten, also den Firmennamen. Natürliche Personen dürfen auch zusätzliche Adressen unter einem Pseudonym unterhalten, allerdings muss das Pseudonym als solches erkennbar sein.

Die Adresse einer natürlichen Person wird voraussichtlich folgender Syntax entsprechen: <Vorname>.<Nachname>.<unterscheidungsmerkmal>@<De-Mail-Anbieter>.de-mail.de. Kommt ein Name beim selben De-Mail-Anbieter mehrfach vor, wird die Adresse um einen Punkt und eine Zahl ergänzt. Eine De-Mail-Adresse wird also dem folgenden Muster entsprechen: erika.mustermann@anbieter-XYZ.de-mail.de. Pseudonymen soll als Kennzeichnung das Präfix pn_ vorangestellt werden, so dass eine solche Adresse etwa pn_fantasiename@provider-XYZ.de-mail.de lauten könnte. Juristische Personen sollen als Namensraum für ihre De-Mail-Adressen eine eigene Domain der Form <Domain-Name>.de-mail.de erhalten können. So kann die juristische Person verschiedene Unterkonten einrichten, etwa mit den Namen einzelner Mitarbeiter oder Abteilungen.[9]

De-Ident

Im Rahmen der De-Mail-Dienste wird es eine einfache Möglichkeit zur Identitätsfeststellung geben. Auf Anforderung des Nutzers erstellt der De-Mail-Anbieter eine Ident-Bestätigung, die anschließend per De-Mail an die De-Mail-Adresse des Empfängers gesandt wird. Damit sollen Bürger sich beispielsweise bei Online-Shops registrieren können oder nachweisen, dass sie älter als 18 Jahre sind. Diese Inhalte werden vom De-Mail-Anbieter qualifiziert signiert, um die Korrektheit der übermittelten Daten zu bestätigen. Der Prozess ist in einer weiteren Technischen Richtlinie[10] festgelegt.

De-Safe

Eine häufige Anforderung ist es, dass wichtige Dokumente sicher in elektronischer Form aufbewahrt werden können. Für diesen Fall sollen die De-Mail-Anbieter Dokumentensafes bereitstellen, die eine langfristige Speicherung und den Schutz vor Verlust und Manipulation ermöglichen. Auch hier werden alle an den Safe übergebenen Dokumente unmittelbar nach der Entgegennahme verschlüsselt und integritätsgeschützt. Der Prozess ist in einer weiteren Technischen Richtlinie[11] festgelegt. Gesetzliche Anforderungen an Archivierung oder Aufbewahrung von Unterlagen, beispielsweise § 147 Abgabenordnung (AO), werden durch diesen Dienst nicht erfüllt.

Anmeldung zur Nutzung des De-Mail-Kontos

Grundlage für die Nutzung der De-Mail-Dienste ist die Anmeldung an dem De-Mail-Konto des Nutzers. Das De-Mail-Gesetz unterscheidet dabei zwei Sicherheitsstufen.

  • Die sichere Anmeldung ist der Regelfall (§ 4 Abs. 1 Satz 2 De-Mail-Gesetz). Erforderlich sind dafür zwei voneinander unabhängige Sicherungsmittel. Jeder Anbieter muss hierzu mindestens zwei verschiedene Verfahren anbieten, von denen eines die Nutzung des elektronischen Identitätsnachweis mit dem elektronischen Personalausweis ist. Typischerweise setzen solche Verfahren zwei Elemente voraus: Besitz (etwa einer Chipkarte oder eines Mobiltelefons) und Wissen (Kennwort oder PIN).
  • Auf Wunsch des Nutzers kann eine Anmeldung auch ohne diese Sicherheit erfolgen. Hierzu genügt ein einzelnes Sicherungsmittel (üblicherweise Benutzername und Kennwort, § 4 Abs. 1 Satz 3 De-Mail-Gesetz).

Der Absender einer De-Mail kann verlangen, dass der Empfänger sich sicher im oben genannten Sinne anmeldet, bevor er die Nachricht abruft (§ 5 Abs. 4 De-Mail-Gesetz); ebenso kann er von seinem Anbieter verlangen, dem Empfänger deutlich zu machen, dass er (der Absender) sich sicher angemeldet hat (§ 5 Abs. 5 De-Mail-Gesetz). Eine sichere Anmeldung ist erforderlich, um eine automatische Weiterleitung auf eine andere De-Mail-Adresse einzurichten (§ 5 Abs. 11 De-Mail-Gesetz). Bei Nutzung der Dokumentenablage kann der Nutzer für jede einzelne Datei festlegen, ob er sie nur nach sicherer Anmeldung oder auch ohne diese Erfordernisse nutzen können will (§ 8 Satz 3 De-Mail-Gesetz).

Akkreditierte Diensteanbieter

Akkreditierungsverfahren

§ 17 De-Mail-Gesetz sieht vor, dass die De-Mail-Anbieter im Rahmen einer Akkreditierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Umsetzung technischer und organisatorischer Maßnahmen nachweisen müssen, die zum Beispiel den internen oder externen Zugriff auf die Daten durch Unberechtigte verhindern.

Hierzu gehören einerseits Nachweise der Funktionalität, Interoperabilität und Sicherheit sowie andererseits der Nachweis des Datenschutzes. Die Anforderungen, die zur Funktionalität und Interoperabilität eingehalten werden sollen, sind in der Technischen Richtlinie BSI TR-0120 [TR-DM] definiert, die die folgenden Bereiche abdeckt: IT-Basisinfrastruktur, Benutzerkontenverwaltung, Postfach- und Versanddienst, Identifizierungsdienst Light, Dokumentensafe Light, Sicherheit. Für die Prüfung dieser Anforderungen wird ein Prüfbericht erstellt, der durch das BSI begutachtet wird. Bei erfolgreicher Prüfung wird ein Zertifikat ausgestellt und auf Wunsch des Anbieters auf der Website des BSI veröffentlicht.[12]

Um die Sicherheitsanforderungen zu erfüllen, muss eine ISO27001 Zertifizierung auf der Basis des IT-Grundschutzes – ergänzt um spezifische De-Mail-Anforderungen – durchgeführt werden. Der Auditor erstellt hierzu einen Audit-Bericht, der vom BSI geprüft wird. Es wird bei erfolgreicher Prüfung ein Zertifikat erstellt, das auf Wunsch veröffentlicht wird.[12]

Für die Akkreditierung muss der De-Mail-Anbieter zudem nachweisen, dass er auch die datenschutzrechtlichen Anforderungen erfüllt. Der Nachweis ist durch ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu erbringen. Dafür muss der De-Mail-Anbieter dem BfDI ein sachverständiges Gutachten vorlegen. Grundlage für die Begutachtung ist der Kriterienkatalog des BfDI.[7]

Die Akkreditierung zum De-Mail-Dienstanbieter ist keine Pflicht, bietet den Dienstanbietern jedoch auf der einen Seite den Vorteil, dass sie ein Gütezeichen erhalten, das dem Anwender die Akkreditierung signalisiert.[13] Auf der anderen Seite erfolgt der Austausch von Nachrichten in der Regel nur zwischen akkreditierten De-Mail-Dienstanbietern. Hierfür müssen sie ebenfalls nachweisen, dass sie die De-Mail-Dienste interoperabel anbieten, also auf technischer Ebene mit den anderen De-Mail-Anbietern nahtlos zusammenarbeiten.

Detaillierte und aktuelle Information zum Zertifizierungs- und Akkreditierungsverfahren werden auf der Website des BSI veröffentlicht. Die technischen Vorgaben wurden ebenfalls vom BSI veröffentlicht.[14]

Zugelassene Auditoren und Prüfstellen

Das BSI hat auf seiner Website Auditoren für die Prüfung der IT-Sicherheit, Interoperabilität und Funktionalität veröffentlicht.[15] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) geht hinsichtlich der neben der technischen Prüfung ebenfalls erforderlichen Datenschutzprüfung einen anderen Weg: Als Gutachter für die Datenschutzprüfung kommen vom Bund oder von einem Bundesland anerkannte oder öffentlich bestellte oder beliehene sachverständige Stellen für Datenschutz zum Einsatz. Sie müssen für die beiden Bereiche Recht und Technik fachlich zugelassen sein. Solche Stellen sind derzeit beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugelassen.[16]

Anbieter im Akkreditierungsverfahren

Zur Cebit 2012 wurden mit der Mentana-Claimsoft GmbH (Tochter der Francotyp-Postalia) und der Deutschen Telekom AG zwei Unternehmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Diensteanbieter für De-Mail akkreditiert.[17] Im März 2013 folgte die United Internet AG, die unter der Firmierung 1&1 De-Mail GmbH für GMX, WEB.DE, sowie als Businesslösung von 1&1, De-Mail-Produkte anbietet.

Zugangseröffnung und Nutzung

Die Nutzung des Dienstes durch die Bürger soll freiwillig sein. Die Übermittlung elektronischer Dokumente von Unternehmen und Behörden an Verbraucher ist dann zulässig, sofern der Empfänger hierfür einen Zugang eröffnet hat (sogenannte Zugangseröffnung). Im De-Mail-Gesetz ist im § 7 Abs. 3 festgelegt, dass „die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher […] allein […] nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung“ gilt. Der Verbraucher muss die Freigabe zur Zusendung explizit erklären.[18] Dazu stehen ihm folgende Wege offen.

  1. Der Verbraucher nimmt per De-Mail Kontakt mit dem Unternehmen oder der Einrichtung auf. Diese können ihm dann auf seine Anfrage antworten.
  2. Der Verbraucher erklärt auf anderem Wege sein Einverständnis, dass Unternehmen und Behörden ihn unter seiner De-Mail-Adresse erreichen können. Diese Erklärung könnte z. B. über eine Webplattform erfolgen, mit deren Hilfe Verbraucher die abgegebenen Zugangseröffnungen verwalten können.

Zugangseröffnungen können auch zurückgenommen werden. Sowohl die Einrichtung eines Postfachs als auch der Versand von Nachrichten und die Bestätigung des Versands können kostenpflichtig angeboten werden.

Sicherheit

Von unverschlüsselter E-Mail unterscheidet sich De-Mail vor allem darin, dass die Nachrichten abschnittsweise verschlüsselt versendet werden. Die vorhandenen technischen Standards sollen zum Betrieb von De-Mail jedoch nicht erweitert werden; vielmehr soll die zusätzliche Sicherheit durch die verpflichtende Nutzung von Standardfunktionen entstehen, die eigentlich als optional gelten und in der Praxis selten in vollem Umfang genutzt werden.

  • Fester Bestandteil von De-Mail soll eine verpflichtende Authentifizierung sein, so dass die Systeme von Absender und Empfänger die Identität der jeweils anderen Seite sicherstellen können. Eine Möglichkeit hierfür ist der Einsatz digitaler Zertifikate.
  • Eine abschnittsweise Verschlüsselung der Übertragungswege soll Sicherheit gegen den Zugriff durch Unbefugte bieten.

Bei besonders hohen Anforderungen an die Vertraulichkeit der Nachrichten haben De-Mail-Nutzer wie bei herkömmlichen E-Mails die Möglichkeit, die mit De-Mail übermittelten Inhalte noch zusätzlich selbst zu verschlüsseln („Ende-zu-Ende-Verschlüsselung“). In diesem Fall erfolgt die Verschlüsselung auf dem Rechner des Absenders und die Entschlüsselung der Inhalte erst auf dem Rechner des Empfängers. Hierfür ist jedoch die Installation zusätzlicher Software erforderlich, die die Ver- und Entschlüsselung durchführt. Der Verzeichnisdienst, der bei De-Mail obligatorisch durch den Diensteanbieter angeboten werden muss, unterstützt den Anwender, indem dieser seinen öffentlichen Schlüssel anderen Anwendern zur Verfügung stellen kann. Es soll also ermöglicht werden, an einer zentralen Stelle nach öffentlichen Schlüsseln von Personen suchen zu können, um mit diesen vertraulich zu kommunizieren. Dies ist bisher nur schwer möglich und stellt den wesentlichen „Hemmschuh“ für die Verbreitung von Verfahren zur Ende-zu-Ende-Verschlüsselung („Wo finde ich den gültigen Verschlüsselungsschlüssel meines Kommunikationspartners?“). Mit De-Mail soll auf diese Weise der Einsatz der Ende-zu-Ende-Verschlüsselung unterstützt und gefördert werden.

S/MIME oder OpenPGP können zusätzlich durch den Nutzer für die Abbildung der Ende-zu-Ende-Sicherheit eingesetzt werden. Die Liste der hauptsächlichen Sicherheitsfunktionen wurden in einem Dokument des BMI zusammengefasst.

Technische Konzeption

Das technische Konzept ist innerhalb von technischen Richtlinien beschrieben, die auf der Web-Seite des BSI[19] veröffentlicht sind.

Standardmäßige Transportsicherheit

Sowohl die Kommunikation der De-Mail-Nutzer mit ihren De-Mail-Provider als auch die Kommunikation von De-Mail-Anbietern untereinander verläuft grundsätzlich über TLS-gesicherte Kommunikationskanäle.[5] Reicht einem Nutzer das dadurch realisierte Sicherheitsniveau nicht aus, kann er zusätzlich seine Nachrichten und Dokumente Ende-zu-Ende-verschlüsseln oder Inhalte (qualifiziert) signieren.[6]

Versand der Nachricht vom Absender an den De-Mail-Provider

Die Nachricht wird vom Web- oder Nachrichten-Client des Nutzers an den Postfachdienst des Providers übermittelt.[6]

Prüfung und Ergänzung der Metadaten

Unmittelbar nach Entgegennahme der Nachricht vom Absender überprüft der De-Mail-Anbieter die mit der Nachricht übermittelten Metadaten. Unter anderem muss die in der Nachricht als Absenderadresse angegebene De-Mail-Adresse dem De-Mail-Konto zugeordnet sein, von dem der Absender die Nachricht verschickt. Auch muss das Authentisierungsniveau des Absenders mindestens Hoch sein, wenn er die De-Mail-spezifische Versandoption Absender-bestätigt ausgewählt hat. Nach Prüfung der Metadaten wird der Nachrichteninhalt auf Malware untersucht. Anschließend ergänzt der De-Mail-Anbieter des Absenders weitere Metadaten, darunter die aktuelle Zeit.

Integritätssicherung und Verschlüsselung

Mit dem Ziel der Integritätssicherung fügt der De-Mail-Anbieter des Absenders der Nachricht inklusive Metadaten einen Hashwert hinzu.[6] Ein Hashwert stellt allerdings keinen Integritätsschutz im Sinne eines Message Authentication Code dar.[20] Bei Nachrichten, die mit der Versandoption Absender-bestätigt versandt werden, wird der Hashwert vom Anbieter noch zusätzlich qualifiziert elektronisch signiert und die Signatur in den Metadaten der Nachricht (Header) gespeichert.

Im Anschluss verschlüsselt der De-Mail-Anbieter den Nachrichteninhalt sowohl für sich selbst als auch für die De-Mail-Anbieter der Empfänger.

Anfang März 2015 haben die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet (1&1, GMX und Web.de) angekündigt, Plugins für die Browser Firefox und Chrome anbieten zu wollen, über die Inhalte von De-Mail mit dem PGP-Verfahren Ende-zu-Ende verschlüsselt werden können.[21]

Versandbestätigung

Unmittelbar vor der Übertragung der Nachricht an den oder die Empfänger stellt der De-Mail-Anbieter des Absenders – falls vom Absender angefordert – eine qualifiziert signierte Versandbestätigung aus. Die Versandbestätigung wird dem Absender als Anhang einer De-Mail zugestellt. Die Versandbestätigung enthält unter anderem den Hashwert der ursprünglichen Nachricht und den Zeitpunkt der Übermittlung. Damit kann der Absender gegenüber Dritten nachweisen, dass er zu einem bestimmten Zeitpunkt die referenzierte Nachricht versandt hat.

Übertragung der Nachrichten an De-Mail-Provider

Die De-Mail wird vom De-Mail-Anbieter des Absenders mittels SMTP durch TLS gesichert an den De-Mail-Anbieter des Empfängers übertragen.[5] Nach Entgegennahme der Nachrichten wird eine Kopie der Nachricht temporär entschlüsselt und die Integrität der Nachricht geprüft. Ein gegebenenfalls vorhandener Nachsendeauftrag wird bearbeitet. Anschließend legt der Anbieter des Empfängers die verschlüsselte Nachricht im Postfach des Empfängers ab und verwirft die entschlüsselte Nachrichtenkopie.[6]

Zugangsbestätigung

Unmittelbar nach Ablage der Nachricht in das Postfach des Empfängers stellt der De-Mail-Anbieter des Empfängers eine Zugangsbestätigung für den Absender der Nachricht aus – sofern vom Absender gewünscht. Diese Bestätigung des Zugangs der Nachricht wird vom BSI in seiner Technischen Richtlinie auch Eingangsbestätigung genannt. Der De-Mail-Anbieter signiert die Bestätigung qualifiziert und sendet sie dem Absender als Anhang einer De-Mail zurück. Die Zugangsbestätigung enthält unter anderem den Hashwert der ursprünglichen Nachricht sowie den Zeitpunkt der Ablage der Nachricht in das Postfach des Empfängers. Der Absender der ursprünglichen Nachricht kann mit der Zugangsbestätigung gegenüber Dritten nachweisen, dass der Empfänger ab einem bestimmten Zeitpunkt Zugang zu einer bestimmten Nachricht hatte.

Protokolle und Datenformate von De-Mail

Dieser Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Für die De-Mail-Kommunikation sind zwei Kommunikationsstrecken relevant: zum einen die Strecke zwischen Nutzer und seinem De-Mail-Anbieter und zum anderen die „interne“ Strecke zwischen zwei De-Mail-Anbietern.

Für den Kommunikationskanal zwischen Nutzer und seinem Anbieter gibt es die sicherheitstechnische Anforderung, dass die Kommunikation über einen gegenseitig authentisierten und vertraulichen Kanal erfolgen muss, wie beispielsweise SSL/TLS. Dies kann aber auch über OSCI-Transport realisiert werden. Die technische Umsetzung und damit die Wahl des Transportprotokolls und auch der verwendeten Datenformate können individuell zwischen De-Mail-Provider und Nutzer erfolgen. Auch können Absender und Empfänger prinzipiell unterschiedliche Protokolle bzw. Datenformate und damit auch Client-Anwendungen nutzen. De-Mail-Anbieter müssen als Client-Anwendungen mindestens Webbrowser mit HTTPS unterstützen. Darüber hinaus sind auch E-Mail-Clients mit SMTP für den Versand und POP3 oder IMAP für den Empfang von Nachrichten – jeweils über einen sicheren Kommunikationskanal eingesetzt – möglich.

Die Protokolle und Datenformate zwischen zwei De-Mail-Anbietern sind im Unterschied zum Kanal zwischen Nutzer und De-Mail-Anbieter genau spezifiziert, so dass alle Anbieter einheitlich (interoperabel) untereinander kommunizieren können. Zur Absicherung der Kommunikation zwischen zwei De-Mail-Anbietern kommt stets SSL/TLS zum Einsatz. Über diesen verschlüsselten Kanal wird SMTP zum Übermitteln der Nachrichten und als Datenformat das Standard-E-Mail-Format (Internet Message Format) eingesetzt.

Status

Das Projekt Bürgerportal wurde von der deutschen Bundesregierung zusammen mit privatwirtschaftlichen Partnern realisiert. Das Projekt wurde öffentlich im November 2008 erstmals auf dem IT-Gipfel in Darmstadt vorgestellt. Am 4. Februar 2009 wurde ein entsprechender Gesetzentwurf der Bundesregierung beschlossen.[22]

Statt des bisherigen Gesetzentwurfs zur Regelung von Bürgerportalen wurde ein neuer Gesetzentwurf mit dem Namen „Entwurf eines Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften – De-Mail-Gesetz“ bei den Verbänden und Vereinen zur Kommentierung vorgelegt. Die Financial Times Deutschland berichtete im September 2009, dass die Deutsche Post AG das Gesetzgebungsverfahren verzögerte, um der eigenen Dienstleistung E-Postbrief einen Startvorteil zu verschaffen.[23] Ein De-Mail-Pilotprojekt im Raum Friedrichshafen lief ein halbes Jahr (Oktober 2009 bis März 2010). Die Pilot-Systeme standen den Nutzern noch zur Verfügung.

Im Jahr darauf wurde das De-Mail-Gesetz (Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften vom 28. April 2011) beschlossen und trat am 3. Mai 2011 in Kraft (BGBl. I S. 666). Die Einführung von De-Mail war zunächst für Frühjahr/Sommer 2011 geplant, jedoch verzögerte sie sich. Das BSI begründet dies mit dem langwierigen Zertifizierungsprozess der von den künftigen De-Mail-Anbietern zur Prüfung vorgelegten Dienste.[24]

Im Dezember 2011 gab das BSI per Pressemitteilung bekannt, man habe „der Mentana-Claimsoft AG ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz erteilt“. Das Zertifikat enthalte zusätzliche Aspekte aus der Technischen Richtlinie TR 01201 De-Mail.[25] Das Unternehmen ist damit das erste mit den nötigen sicherheitstechnischen Voraussetzungen für eine Akkreditierung. Am 3. Februar 2012 veröffentlichte Peter Schaar, der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), per Pressemitteilung,[26] dass er diesem Unternehmen auch ein Datenschutzzertifikat für den dort geplanten De-Mail-Dienst erteilt hat. Die Deutsche Telekom kündigte im März 2012 an, den Dienst für Großkonzerne noch im selben Monat zu starten und kleine und mittelständische Unternehmen sowie Privatkunden können ihn seit 31. August 2012 nutzen.[27] Nachdem die Deutsche Post ihren Standard-E-Postbrief nicht beim Gesetzgeber durchsetzen konnte, wollte sie ab Dezember 2012 De-Mail anbieten.[28] Im April 2013 machte die Deutsche Post einen Rückzieher und stellte ihre De-Mail-Pläne ein.[29]

Der Internetanbieter 1&1 bietet nach erfolgreicher Akkreditierung beim BSI seit der zweiten Jahreshälfte 2012 einen Dienst für Geschäftskunden an.[30] GMX und web.de, die ebenfalls zum 1&1-Konzern gehören, führten ein De-Mail-Angebot nach der Akkreditierung im März 2013 ein.

Das zentrale Gateway zur Anbindung der Bundesbehörden an De-Mail hat am 23. März 2015 seinen Betrieb aufgenommen. Jede Behörde des Bundes, die einen Zugang zu diesem Gateway hat, ist nach § 2 Abs. 2 EGovG verpflichtet, bis zum 24. März 2016 einen Zugang für De-Mail zu eröffnen.[31] Laut öffentlichem De-Mail Verzeichnis haben am Stichtag lediglich 60 Prozent der Verwaltungen und Ministerien einen entsprechenden Zugang eröffnet.[32]

Nach Angaben der De-Mail-Anbieter im Rahmen der Arbeitsgruppe De-Mail haben sich seit Marktstart im September 2012 über eine Million Privatkunden, einige zehntausend Mittelstandskunden und etwa 1000 De-Mail-Großkunden aus Wirtschaft und Verwaltung authentifiziert.[31]

Einer Studie zufolge besitzen mit Stand 2015 13 % der befragten deutschen Onliner ab 18 Jahren ein De-Mail-Konto. Weitere 12 % planen die Einrichtung. 28 % der Befragten gaben an, De-Mail nicht zu kennen. 47 % lehnten De-Mail ab.[33]

Schon in der Vergangenheit konnten De-Mail-Nutzer ihre Dokumente auf dem bereits verschlüsselten Transportweg zusätzlich Ende-zu-Ende verschlüsseln. Seit dem 20. April 2015 ist von den De-Mail-Diensteanbietern die Möglichkeit zur Nutzung der Ende-zu-Ende-Verschlüsselung bei De-Mail stark vereinfacht worden.[31]

Kritik

Sicherheit

Es gab bereits 2011 Kritik an dem System. Der Chaos Computer Club und weitere Sachverständige hatten der De-Mail in puncto Sicherheit ein katastrophales Zeugnis ausgestellt. Der zentrale Kritikpunkt ist die fehlende Ende-zu-Ende-Verschlüsselung, die den De-Mail-Providern, Polizei, Geheimdiensten und potentiellen Angreifern Zugriff auf die unverschlüsselten Kommunikationsdaten gewähre. Die geplante Aufweichung von Verwaltungsgesetzen, die trotz dieses Mangels den Einsatz von De-Mail im Behördenverkehr zukünftig rechtlich ermöglichen soll, setze sensible Daten von Bürgern fortan einem inakzeptablen Risiko aus.[34]

Linus Neumann, der 2013 als IT-Sachverständiger zum Thema De-Mail im Bundestag geladen war, stellte auf dem 30. Chaos Communication Congress (30C3) eine umfassende Analyse der De-Mail vor. In seinen Vortrag mit dem Titel Bullshit made in Germany[35] fand er deutliche Worte. De-Mail sei „absichtlich unsicher gebaut,“ um deutschen Diensten zu ermöglichen, deutsche Bürger auszuspähen. Auf Absender- und Empfänger-Seite sowie dazwischen auf den Servern der De-Mail-Anbieter könnten die Provider oder Hacker die Nachrichten theoretisch lesen. Viele Features wie der automatische Virenscan seien bei genauerer Betrachtung kein Nutzungsargument, sondern im Gegenteil: Aufgrund der wenigen Server mit sensiblen Daten erhöhe sich die Attraktivität eines Angriffes aus Hacker-Sicht sogar.[36]

Technische Konzeption

De-Mail verwendet zur Absicherung der Kommunikation sowohl zwischen Nutzer und Anbieter als auch zwischen zwei Anbietern gegenseitig authentisierte und verschlüsselte Kommunikationskanäle. Beim Versand wird daher der Nachrichteninhalt erst auf Anbieter-Seite integritätsgesichert und für den Anbieter des Empfängers verschlüsselt. Auch muss der Anbieter des Empfängers den Nachrichteninhalt vor Übertragung an ihn wieder entschlüsseln, prüfen und wiederum verschlüsseln. Hierbei kommt keine sogenannte Ende-zu-Ende-Verschlüsselung zustande. Jedoch kann der Nutzer auch bei De-Mail seine Nachrichten selbst signieren und Ende-zu-Ende-verschlüsseln. De-Mail unterstützt diese Operation durch einen Verzeichnisdienst, in dem Nutzer eigene Verschlüsselungszertifikate veröffentlichen können. Ein Prüfdienst für die qualifizierte elektronische Signatur soll es dem Nutzer einfach machen, die elektronische Unterschrift zu verifizieren.

Falls eine Nachricht vom Nutzer nicht verschlüsselt wurde, ist es prinzipiell möglich, dass Mitarbeiter der Anbieter die Nachrichten mitlesen oder verändern können. Dieser Gefahr soll durch technische und organisatorische Maßnahmen begegnet werden, die im Zertifizierungsverfahren überprüft werden. So muss der Anbieter durch die Umsetzung eines geeigneten Rollenkonzeptes und anderer technischer Maßnahmen nachweisen, dass einzelne Mitarbeiter eines Anbieters nicht auf die Nachrichten der Nutzer zugreifen können.[37]

De-Mail ist technisch nicht kompatibel zu dem etablierten elektronischen Gerichts- und Verwaltungspostfach EGVP, mit dem die elektronische Kommunikation mit Gerichten und Verwaltungen bereits heute realisiert wird. Eine Schnittstelle ist wohl jedoch geplant. Eine Kommunikation zwischen De-Mail und regulären E-Mail-Adressen wird nicht möglich sein.[38]

Datenschutz

Vor der Einrichtung eines De-Mail-Briefkastens muss man sich identifizieren, was bei einem normalen Briefkasten oder bei dem Versand von Briefen nicht erforderlich ist.[39] Aufgrund der Architektur von De-Mail fließen alle Daten und Kontakte auf die Person rückführbar an einer zentralen Stelle zusammen. Die Verwendung mehrerer, nicht in Verbindung zu bringender Identitäten ist nicht möglich.[40]

Die hinterlegten persönlichen Daten des Nutzers sind für eine Vielzahl von Sicherheitsbehörden und Geheimdiensten ohne richterliche Anordnung anforderbar (§ 113 TKG), die Identität hinter einer De-Mail-Adresse ist für etwa 250 bei der Bundesnetzagentur registrierte Behörden in einem Online-Verfahren abrufbar (§ 112 TKG), in dem bei ca. 140 Telekommunikationsanbietern täglich nahezu 100.000 Zugriffe auf Kundendaten erfolgen.[41] Nach § 16 des De-Mail-Gesetzes erhalten in bestimmten Fällen zudem Private Auskunft über Namen und Anschrift eines Nutzers. Voraussetzung ist unter anderem, dass der Dritte die Daten benötigt, um einen Rechtsanspruch gegen den Nutzer zu verfolgen, der unter Nutzung von De-Mail entstanden ist.

Eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG) schließt der Gesetzentwurf nicht normenklar aus. Nutzerkennung und Passwort zu einem De-Mail-Postfach sind auf Anforderung einer Strafverfolgungsbehörde, einer Polizeibehörde, des Bundesamts für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes ohne richterliche Anordnung herauszugeben (§ 113 TKG). Die im De-Mail-Postfach liegenden Dokumente und Informationen sind damit keineswegs so geschützt wie Papierdokumente oder Briefe in der eigenen Wohnung. Das Recht zur Passwortabfrage besteht zwar bei allen E-Mail-Konten. Dort kann man sich aber mit anonymen Postfächern, multiplen Identitäten und ausländischen Konten vor Zugriffen schützen, was bei De-Mail nicht möglich ist.

Obwohl die Beantragung einer De-Mail-Adresse freiwillig sein soll, wird befürchtet, dass Behörden und Unternehmen, die ihre Leistungen bisher anonym oder ohne Überprüfung der Kundenangaben angeboten haben, faktisch schrittweise eine personengebundene und identitätsgeprüfte E-Mail-Adresse zur Voraussetzung des Angebots ihrer Leistungen machen werden. Ziel des Vorhabens ist dem Bundesinnenministerium zufolge tatsächlich, „die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall“ zu machen.[42] Die eindeutige Identifizierung im Internet kann zum Ausschluss bestimmter Kundengruppen genutzt werden, etwa wegen angeblich mangelnder Bonität oder auch nur wegen Missliebigkeit oder Kritik am Unternehmen.

Der Arbeitskreis Vorratsdatenspeicherung zieht das Fazit, von der Benutzung von De-Mail könne „nur abgeraten werden“.[43] Um einen faktischen Zwang zur Nutzung von De-Mail zu verhindern, müsse der Dienst boykottiert werden, damit er sich nicht durchsetze.

Umsetzung

An der Umsetzung des Dienstes ist mit der Deutschen Telekom ein früherer Staatsbetrieb beteiligt.[44] Die Strato AG kritisierte die angewandte Zulassungspraxis, nachdem sie selbst nach eigenen Angaben von der Teilnahme ausgeschlossen worden war.[44] Dennoch kann der gesetzlich geforderte Nachweis eines Datenschutzkonzepts für De-Mail-Anbieter[22] die Vertrauenswürdigkeit gegenüber anderen E-Mail-Anbietern steigern.

Rechtliche Aspekte

Die Folgen der Nutzung von De-Mail hängen hauptsächlich davon ab, welche Beweiskraft De-Mail zugemessen wird. Das ist bislang ungeklärt.

Juristen wie Wolfgang Steppling, der Vizepräsident des Oberverwaltungsgerichts Rheinland-Pfalz, kritisieren die im Gesetz vorgesehene Möglichkeit, behördliche Bescheide ohne Empfangsbestätigung elektronisch zuzustellen. Damit könnten Bescheide in Bestandskraft erwachsen, ohne dass der Betroffene überhaupt davon erfährt. Denn im Unterschied zum herkömmlichen Briefkasten wären für die laufende Überwachung des elektronischen Postfachs technische und finanzielle Voraussetzungen erforderlich, deren Schaffung und Aufrechterhaltung vom Bürger nicht ohne weiteres verlangt werden kann.[45]

Keine Aussagen werden zur Veränderung der Zustellfiktion gemacht, deren Frist, anders als bei der Papierpost, auch an Sonn- und Feiertagen gelten könnte.[46] Gegenüber einer einfachen E-Mail stellt De-Mail (dank der qualifizierten elektronischen Signatur) eine Möglichkeit dar, um das Schriftformerfordernis (gemäß § 126 Abs. 3 BGB) zu erfüllen. Das eGovernment-Gesetz aus 2013 hatte das Verwaltungsverfahrensgesetz des Bundes dahingehend geändert und auch die Bundesländer haben im Jahr 2014 überwiegend Ihre Landesverwaltungsverfahrensgesetze entsprechend angepasst.

Ungeklärt ist, wer die Beweislast für einen Missbrauch tragen soll. Der Chaos Computer Club befürchtet, dass die Beweislast – ähnlich wie beim Missbrauch von EC-Karten – beim Verbraucher (Anwender) liegen könnte.[47] Da die Kontrolle der Identität nun in Telekom-Shops und Hermes-Annahmestellen durchgeführt wird, kann kaum sichergestellt werden, dass die Identität sicher geprüft wurde.

Finanzierung

Eine Finanzierung des De-Mail Dienstes erfolgt über monatliche Beiträge und eine elektronische Frankierung („e-Porto“).[48][49] Im März 2014 wurden kostenfreie Angebote für Privatkunden eingeführt.[50]

Abgrenzung zu anderen Angeboten

E-Postbrief

Beobachter sehen, dass das herkömmliche Briefeschreiben durch De-Mail-Angebote substituiert wird. Der erwartete Rückgang der herkömmlichen Briefpost werde nach Christian Schlesiger das Geschäftsmodell der Deutschen Post stark verändern.[51] Nicht zuletzt deshalb hat das Unternehmen ein Konkurrenzprodukt mit ähnlichen Sicherheitsmerkmalen auf den Markt gebracht: den E-Postbrief, der am 14. Juli 2010 den Betrieb aufnahm. Mitunter wurde der Unterschied von E-Postbrief und De-Mail in der Öffentlichkeit nicht wahrgenommen.[52][53]

Da durch die Politik jedoch nur die De-Mail-Lösung als gesetzlich verbindlich festgelegt wurde, können Behörden bei rechtsverbindlicher Kommunikation nur mit Produkten arbeiten, die dem De-Mail-Standard entsprechen. Auf Gesetzesebene setzte sich die De-Mail in diesem Bereich daher gegen den E-Postbrief durch.

Die Deutsche Post AG stellte den Versuch, ihren bereits bestehenden E-Postbrief-Dienst als De-Mail-Angebot akkreditieren zu lassen,[54] im April 2013 ein. Der Versuch scheiterte an den Anforderungen des Datenschutzes zur Datenvermeidung beim eingesetzten PostIdent-Verfahren.[55][56]

Vergleichbare Dienste in Europa

Siehe auch

Weblinks

Einzelnachweise

  1. IT-Beauftragte der Bundesregierung – Häufig gestellte Fragen. Abgerufen am 5. November 2011.
  2. Uwe Berlit: Das Elektronische Gerichts- und Verwaltungspostfach. JurPC 13/2006.
  3. Raoul Kirmes: Elektronischer Rechtsverkehr im Intermediärmodell. In: Kommunikation & Recht (K&R) 10/2006, Verlag Recht und Wirtschaft.
  4. De-Mail-Gesetz auf cio.bund.de
  5. a b c Technische Richtlinie – IT-Basisinfrastruktur Interoperabilitätsspezifikation (PDF).
  6. a b c d e f Technische Richtlinie – Postfach- und Versanddienst Funktionalitätsspezifikation (PDF; 2,6 MB).
  7. a b BfDI: De-Mail Kriterienkatalog (PDF; 468 KB) BAnz AT 01.07.2014 B4.
  8. [TR BP IO] Technische Richtlinie Interoperabilitätsspezifikation Postfach- und Versanddienst eines Bürgerportals, Entwurf, Version 0.99. (PDF; 739 kB) Bundesamt für Sicherheit in der Informationstechnik (BSI), 2009, S. 10, abgerufen am 23. Juli 2010: „Übersicht über die Header von Bürgerportal-Nachrichten“
  9. Technische Richtlinie – Accountmanagement Funktionalitätsspezifikation (PDF; 404 kB).
  10. Technische Richtlinie – Identifizierungsdienst Funktionalitätsspezifikation (PDF; 671 kB).
  11. Technische Richtlinie – Datensafe Funktionalitätsspezifikation (PDF; 1,7 MB).
  12. a b Schumacher, A.: Akkreditierung und Zertifizierung von De-Mail-Diensteanbietern. In: Datenschutz und Datensicherheit. Nr. 9, 2010, S. 302–307.
  13. BSI (2011):Akkreditierung von De-Mail-Diensteanbietern (abgerufen am 25. April 2012)
  14. BSI, Eine Übersicht über die technischen Vorgaben zur Gewährleistung der sicheren Kommunikationsinfrastruktur, 15. Juni 2010.
  15. BSI, Zertifizierung als Auditor De-Mail.
  16. ULD, Gütesiegel beim Unabhängigen Landeszentrum für Datenschutz – Sachverständigenregister.
  17. De-Mail-Diensteanbieter akkreditiert. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 10. September 2012: „[…] Mentana-Claimsoft GmbH, Telekom Deutschland GmbH und T-Systems International GmbH können nun ihre De-Mail-Dienste Unternehmen, Verwaltungen und Privatpersonen anbieten. […]“
  18. De-Mail-Gesetz
  19. De-Mail-Web-Seite des BSI
  20. Charlie Kaufman, Radia Perlman, Mike Speciner: Netzwerksicherheit: Private Kommunikation in einer öffentlichen Welt. Prentice Hall PTR, Upper Saddle River, New Jersey 2002, ISBN 0-13-046019-2, S. 123–124 (amerikanisches Englisch: Network security: private communication in a public world. Zitat: The obvious thought is that MD(m) is a MAC for message m. But it isn't. Anyone can compute MD(m). (Deutsch: Der naheliegende Gedanke ist, dass MD(m) ein MAC für Nachricht m ist. Aber das ist nicht so. Jeder kann MD(m) berechnen.)).
  21. spiegel.de
  22. a b Drucksache 174/09 – Entwurf eines Gesetzes zur Regelung von Bürgerportalen und zur Änderung weiterer Vorschriften. (PDF; 472 kB) Bundesrat, 20. Februar 2009, abgerufen am 25. Juli 2010.
  23. Financial Times Deutschland: Post torpediert Regierungsprojekt (Memento vom 27. September 2009 im Internet Archive), abgerufen am 24. September 2009 (kostenpflichtig).
  24. Aussagen des BSI an die „Wirtschaftswoche“
  25. De-Mail: BSI erteilt ISO-Zertifikat an Mentana-Claimsoft.
  26. De-Mail: BfDI erteilt Datenschutzzertifikat an Mentana-Claimsoft.
  27. Telekom De-Mail Startseite
  28. onlinekosten.de: Deutsche Post setzt auch auf De-Mail, 7. März 2012, Zugriff am 17. März 2012.
  29. SpiegelOnline Netzwelt: Deutsche Post steigt bei De-Mail aus, Zugriff am 28. Juni 2013.
  30. Christian Wolf: 1&1: De-Mail-Registrierung für Firmenkunden startet, onlinekosten.de, 27. April 2012, Zugriff am 5. Mai 2012.
  31. a b c BT-Drs. 18/5440
  32. Computerwoche: Die De-Mail ist immer noch kein Behördenstandard Abgerufen am 14. Juli 2016.
  33. Initiative D21; ipima (Hrsg.): eGovernment MONITOR 2015. Nutzung und Akzeptanz von elektronischen Bürgerdiensten im internationalen Vergleich (PDF-Datei; 1,97MB), 2015, S. 21.
  34. Stellungnahme des CCC
  35. Linus Neumann: Bullshit made in Germany. (-Seite mit eingebettetem Video) So hosten Sie Ihre De-Mail, E-Mail und Cloud direkt beim BND! In: 30. Chaos Communication Congress (30C3). Chaos Computer Club e.V., 28. Dezember 2013, abgerufen am 24. März 2016 (Video-Download in verschiedenen Formaten, dazu Slides im PDF-Format).
  36. Angeblich sichere De-Mail absichtlich unsicher gebaut, Die Zeit, 29. Dezember 2013
  37. Technische Richtlinie – IT-Sicherheit Übergeordnete Komponenten (PDF; 994 kB)
  38. Fortschritte bei der De-Mail – Hybridmail: Briefpost per E-Mail wird billiger als Standardporto – Golem.de. 6. Juli 2010, S. 2, abgerufen am 6. Juli 2010.
  39. vorratsdatenspeicherung.de (PDF; 136 kB): Stellungnahme des Arbeitskreis Vorratsdatenspeicherung, S. 12 f.
  40. vorratsdatenspeicherung.de (PDF; 136 kB)
  41. bundesnetzagentur.de: Jahresbericht 2012 der Bundesnetzagentur, S. 112.
  42. E-Government 2.0 – Das Programm des Bundes. IT-Stab im Bundesministerium des Innern, November 2006, S. 15, abgerufen am 25. Juli 2010: „Bürger-Portale geben Bürgerinnen und Bürgern im Internet ein Gesicht. Sie machen die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall […]“
  43. Stellungnahme zur Dialogveranstaltung „Datenschutz und Datensicherheit im Internet“. (PDF; 136 kB) Arbeitskreis Vorratsdatenspeicherung (AK Vorrat), 16. Januar 2010, S. 12, abgerufen am 25. Juli 2010: „De-Mail und elektronischer Personalausweis können nicht für besseren Selbstdatenschutz eingesetzt werden. Umgekehrt kann von der Benutzung dieser Angebote nur abgeraten werden.“
  44. a b Thomas Wendel: Heftige Kritik an Bundes-E-Mail. Financial Times Deutschland, 9. Oktober 2008, archiviert vom Original am 10. Oktober 2008; abgerufen am 25. Juli 2010 (kostenpflichtig).
  45. Witte: Neue Juristische Wochenschrift. Nr. 18, 2009, S. III.
  46. Jürgen Kuri: Rechtssichere Bürger-E-Post De-Mail: Besonderheiten und Fallstricke (heise.de, 13. Juli 2010)
  47. E. Jung: Regierungspläne zum IT-Gipfel „Nie mehr Spam“. Sueddeutsche.de, 20. November 2008, S. 2, abgerufen am 26. Mai 2015 (Zitat: „Wir befürchten, dass ähnlich wie bei EC-Karten dem Bürger pauschal die Beweislast im Missbrauchsfall auferlegt wird“, sagt Frank Rosengart vom Chaos Computer Club.).
  48. De-Mail Web im Überblick. (PDF) Telekom Deutschland GmbH, Januar 2014, abgerufen am 11. März 2014.
  49. De-Mail Telekom für Geschäftskunden. Deutsche Telekom AG, abgerufen am 11. März 2014.
  50. CeBIT Kostenlose De-Mail bei GMX und Web.de. Heise Zeitschriften Verlag GmbH & Co.KG, 10. März 2014, abgerufen am 11. März 2014.
  51. Christian Schlesiger: De-Mail-System: Kampf um die elektronische Post. Wirtschaftswoche, 4. Juni 2009, S. 1, abgerufen am 25. Juli 2010: „Und wie die drahtlose Technik vor 18 Jahren […] so wird De-Mail das Briefeschreiben auf Dauer nahezu auslöschen – und die Deutsche Post in ihren Grundfesten erschüttern.“
  52. Arndt Ohler: Post gibt Startschuss für Online-Brief. Frankfurter Allgemeine Zeitung, 13. Juli 2010, abgerufen am 22. Juli 2010: „Neben der Deutschen Post bieten auch andere Unternehmen wie die Deutsche Telekom, GMX und Web.de das neue De-Mail-Verfahren an“
  53. Tina Klopp: Online-Brief für 20 Cent. Zeit online GmbH, 8. Februar 2010, abgerufen am 23. Juli 2010: „Im Sommer soll es soweit sein: Die Deutsche Post will die schon länger diskutierte DE-Mail ab Juni bundesweit anbieten.“
  54. Deutsche Post – E-Postbrief: E-Postbrief jetzt mit TÜV-Siegel, abgerufen am 2. Januar 2012.
  55. E-Post vs. De-Mail: Deutsche Post steigt endgültig bei De-Mail aus, Heise online, abgerufen am 12. April 2013.
  56. Deutsche Post will keine De-Mails zustellen, Frankfurter Allgemeine Zeitung, abgerufen am 12. April 2013.
  57. posti.fi
  58. postacertificata.gov.it
  59. datoveschranky.info
Abgerufen von „https://de.wikipedia.org/w/index.php?title=De-Mail&oldid=157581639