BSI: Kritik an De-Mail unbegründet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Kritik an der Sicherheit des geplanten E-Mail-Dienstes De-Mail zurückgewiesen. De-Mail ist ein Projekt der Bundesregierung. Noch in diesem Jahr soll ein Gesetz verabschiedet werden, das es De-Mail-Nutzern ermöglicht, rechtsverbindliche E-Mails zu verschicken.

Thomas Lapp, Anwalt und IT-Experte der Bundesrechtsanwaltskammer hatte gegenüber der Frankfurter Rundschau angemerkt, dass die Übertragung der De-Mails vom Nutzer zum zentralen Server der Anbieter zwar sicher sein. Auf dem Server würden die elektronischen Briefe jedoch aus technischen Gründen kurz ent- und wieder verschlüsselt. Bei der Weiterleitung an einen anderen De-Mail-Anbieter wiederhole sich dieser Vorgang. In diesen Momenten könnten Angreifer, die sich – wie in der Vergangenheit bereits geschehen – Zugang zum Server des Anbieters verschafft hätten, Inhalte kopieren oder manipulieren.

De-Mail ziele auf die Einrichtung einer sicheren Kommunikationsinfrastruktur für Bürger, Unternehmen und Verwaltung, hieß es dazu vom BSI. Gegenwärtig würden über 95 Prozent aller E-Mails unverschlüsselt versendet. Damit sich eine sichere E-Mail-Kommunikation in Deutschland möglichst schnell verbreite, soll De-Mail für den Anwender möglichst einfach zu nutzen sein. Daher werde bei De-Mail bewusst darauf verzichtet, dass der Anwender zusätzliche Installationen auf seinem Computer vornehmen muss. Im einfachsten Fall nutzt der Anwender De-Mail über ein Web-Portal, so wie die meisten Anwender heute E-Mails über die bekannten E-Mail-Portale verschicken.

Um auf zusätzliche Installationen beim Anwender verzichten zu können, ist De-Mail laut BSI so konzipiert, dass die Nachrichten auf ihrem Weg zwischen Anwender und Provider sowie zwischen den Providern jeweils hoch verschlüsselt sind. Dazwischen würden sie für einen “sehr kurzen Moment im Bereich von wenigen Millisekunden bis zu einer Sekunde” automatisiert im Server entschlüsselt. In dieser Zeit werden die Nachrichten laut BSI zudem auf Viren und Trojaner überprüft. Erkennt das System einen Virus oder Trojaner an einer De-Mail, wird die Nachricht entsprechend gekennzeichnet. Diese Maßnahme schütze den Empfänger und seine Technik, so das BSI.

Dieser Prüfprozess laufe auf Servern in Hochsicherheitsrechenzentren in Deutschland ab, die den Vorgaben des BSI entsprechen müssen. Die Einhaltung von Sicherheit und Datenschutz überprüfe das BSI im Rahmen des Zertifizierungsprozesses. “Nur zertifizierte Anbieter, die den strengen Sicherheitsanforderungen des De-Mail-Gesetzes an Technik, Organisation und Personal genügen, werden De-Mail anbieten dürfen.”