Umstrittenes E-Mail-Verfahren De-Mail bekommt durchgehende Verschlüsselung

De-Mail ist bislang ein Flop: Das angeblich sichere E-Mail-Verfahren wird von den Kunden wenig angenommen und ist bei Experten höchst umstritten. Jetzt gehen die Anbieter auf das wichtigste Argument der Kritiker ein.
De-Mail Rechenzentrum der Telekom in Frankfurt: In der "Champions League der Sicherheit"

De-Mail Rechenzentrum der Telekom in Frankfurt: In der "Champions League der Sicherheit"

Foto: DPA

Berlin - Jetzt also doch: Das bislang nur mäßig erfolgreiche E-Mail-System De-Mail soll künftig eine durchgängige Verschlüsselung erhalten. Private Anwender, Ämter und Unternehmen könnten damit per De-Mail künftig leichter vertrauliche Inhalte Ende-zu-Ende - also durchgehend vom Absender bis zum Empfänger - schützen. Das haben die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet (1&1, GMX und Web.de) jetzt angekündigt.

Die De-Mail ist eine rechtsverbindliche E-Mail-Variante, die für elektronische Nachrichten an Behörden oder Unternehmen gedacht ist. Kritiker des Projekts, darunter vor allem der Chaos Computer Club (CCC), hatten immer wieder bemängelt, dass die Verschlüsselung des Systems nicht vom Computer des Absenders bis zum Computer des Empfängers gelte. Stattdessen finde lediglich eine Verschlüsselung der Nachrichten nur auf dem Transportweg statt - damit etwa Strafverfolgungsbehörden im Falle eines entsprechenden Gerichtsbeschlusses trotzdem an die Inhalte der Nachrichten kommen.

Trotz dieser immer wieder vehement geäußerten Kritik der Experten erklärte der Bundestag das Verfahren im Jahr 2013 kurzerhand für sicher. Die Nutzer blieben trotzdem fern.

Jetzt reagieren die De-Mail-Anbieter auf den Hauptvorwurf und werden das auch vom CCC anerkannte Verfahren PGP ("Pretty Good Privacy") für die Verschlüsselung einsetzen. Sie stützen sich dabei auf die offene Erweiterung "Mailvelope" für die Webbrowser Firefox und Google Chrome. Das Angebot soll im April starten.

Anbieter sieht sich in der "Champions League der Sicherheit"

De-Mail-Nutzer hätten bislang auch schon ihre Mails verschlüsseln können, sagte Dirk Backofen, Leiter Marketing Geschäftskunden bei der Telekom. "Dies erforderte aber ein gewisses technisches Know-how." Künftig werde dies für alle Kunden möglich sein. Wenn ein Absender seine E-Mails mit PGP verschlüsselt, können die Provider nicht mehr die Inhalte sehen. In diesem Fall entfalle auch die Überprüfung der E-Mail-Anhänge, um Computerviren und andere Schadprogramme herauszufiltern. Die Anbieter verfügten auch nicht über den Schlüssel, um eine unlesbare Nachricht zu entschlüsseln. "Wir spielen damit in der Champions League der Sicherheit", sagte Hans Szymanski, Vorstandssprecher der Francotyp-Postalia Holding AG.

Bundesinnenminister Thomas de Maizière (CDU) erklärte, Verschlüsselung sei eine wichtige Voraussetzung dafür, damit Deutschland wie in der Digitalen Agenda vorgesehen bei der Nutzung digitaler Dienste eine Vorreiterrolle einnehmen könne. Dabei hatte er erst im Januar Verschlüsselung als Problem dargestellt: Sicherheitsbehörden müssten "befugt und in der Lage sein, verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen".

Die Bundesregierung lehne das Einbauen von Hintertüren in Verschlüsselungssysteme ab, sagte Stefan Paris, der im Innenministerium für Cybersicherheit zuständig ist. "Es schlagen hier zwei Herzen in unserer Brust. Wir sind für die IT-Sicherheit verantwortlich und da benötigen wir eine gute Verschlüsselung, hundert Prozent ohne irgendwelche Abstriche. Auf der anderen Seite wollen wir als Sicherheitsministerium, dass der Kriminalität über das Netz Einhalt geboten wird." Dazu müssten Sicherheitsbehörden wie das Bundeskriminalamt oder der Verfassungsschutz zumindest vor oder nach der Verschlüsselung nach den Regeln der sogenannten Quellen-TKÜ auf die Inhalte zugreifen.

Anmeldung soll jetzt "einfacher" über ein Bankkonto erfolgen

Um schneller eine kritische Masse an De-Mail-Anwendern aufzubauen, vereinfachen die Anbieter auch das Anmeldeverfahren. Bislang mussten die Kunden ihre Identität mit dem Personalausweis bestätigten. Künftig kann man sich auch über ein existierendes Bankkonto anmelden. "Bankkunden müssen sich bei der Eröffnung ihrer Konten bereits auf hohem Niveau ausweisen. Das können wir ausnutzen", sagte Backofen. Mit einem Online-Bankkonto könnten Kunden sich bei De-Mail vom Computer aus anmelden.

Die De-Mail war auf der Technik-Ausstellung IFA 2012 als sichere Alternative zur herkömmlichen E-Mail in Deutschland eingeführt worden. "Bequem wie die Mail, aber rechtsverbindlich und sicher wie der unterschriebene Brief", lautete das Versprechen der Anbieter. Bürger können über das System mit Banken, Versicherungen oder anderen Unternehmen Geschäftsbriefe per E-Mail abwickeln. Inzwischen laufen auch in großen Organisationen wie der Deutschen Rentenversicherung oder bei der Bundesagentur für Arbeit Projekte, um Papierpost durch Digitalbriefe via De-Mail zu ersetzen. Das Innenministerium geht davon aus, dass bis Ende 2015 bis zu 200 weitere Behörden und Einrichtungen des Bundes über De-Mail kommunizieren können.

juh/dpa