De-Mail

Motivation

• E-Mail
  • schnell und preiswert
  • unsicher (in der Regel unverschlüsselt)
  • Identitäten nicht gesichert
  • kann unbemerkt verloren gehen
  • für rechtsverbindliche Behördenkommunikation nicht einsetzbar

• Brief
  • sicher und nachweisbar (Einschreiben)
  • für rechtsverbindliche Behördenkommunikation geeignet
  • langsam
  • teuer (für Behörden und Unternehmen)

Was ist De-­Mail

• Komfort der E-Mail kombiniert mit dem Sicherheitsniveau des Briefes
• koordiniert vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
• betrieben von privaten Unternehmen (De-Mail-Providern)
• Umsetzung einer EU-Dienstleistungsrichtlinie zur rechtsverbindlichen und vertraulichen elektronischen Kommunikation mit Behörden
• eindeutig identifizierbare Sender und Empfänger
• Schutz vor Manipulation durch Signierung
• Schutz vor Mitlesen durch Verschlüsselung

Geschichte

• 2007 Projekt Bürgerportal als Vorgänger von De-Mail
• 2009-2010 Pilotprojekt in Friedrichshafen mit 800 Einwohnern und 40 Unternehmen
• ab Mitte 2010 Möglichkeit De-Mail-Adressen vorab zu reservieren
• De-Mail-Gesetz
  • 02/2011 Verabschiedung durch Bundestag
  • 03/2011 Bundesrat lässt Gesetz passieren
  • 05/2011 Gesetz tritt in Kraft
• Mentana-Claimsoft AG
  • 12/2011 Nachweis im Bereich "Sicherheit"
  • 02/2012 Datenschutz-Zertifikat
• voraussichtlicher Regulärbetrieb im zweiten Halbjahr 2012

De-Mail-Konto

• Nutzung durch natürliche und juristische Personen möglich
• Einrichten eines Kontos besteht aus zwei Schritten
  • Registrierung bei einem De-Mail-Anbieter
  • Überprüfung der Identität: z.B. durch Post-Ident oder eID-Funktion des nPA

De-Mail-Adressen

• De-Mail-Adressen haben folgende Form

 Vorname.Nachname[.Nummer]@De-Mail-Anbieter.de
 Künstlername/Ordensname[.Nummer]@De-Mail-Anbieter.de

• dabei sind auch weitere pseudonyme De-Mail-Adressen möglich

 pn_pseudoname@De-Mail-Anbieter.de

• der Domänenteil für Unternehmen hat folgende Form

 @Unternehmen.De-Mail-Anbieter.de

Anmeldeverfahren

• zwei Anmeldeverfahren zur Auswahl
• entsprechen unterschiedlichen Sicherheitsniveaus
• ermöglichen verschiedene Aktionen im De-Mail-Konto

• normal
  • Authentifizierung durch Wissen: z.B. Benutzername und Passwort

• hoch (sichere Anmeldung)
  • Zwei-Faktor-Authentifizierung durch Wissen und Besitz: z.B. zusätzlich nPA, USB-Token, mTAN

Postfach- und Versanddienst

• Versand von Nachrichten an De-Mail-Adressen
• Anbieter muss mindestens einen Web-Client zur Verfügung stellen

Versandarten

• außer dem Standardversand sind noch zusätzliche optionale Versandarten möglich

• Versandbestätigung
  • der Versanddienst bestätigt dem Absender den Versand der De-Mail
• Eingangsbestätigung
  • der Postfachdienst des Empfängers bestätigt dem Absender und dem Empfänger den Eingang der De-Mail
• Abholbestätigung (hohes Anmeldeniveau nötig, nur berechtigte öffentliche Stellen)
  • der De-Mail-Provider des Empfängers versendet nach einer sicheren Anmeldung des Empfängers eine Bestätigung
• Absenderbestätigt (hohes Anmeldeniveau nötig)
  • Nachweis zur Authentizität des Absenders
• Persönlich (hohes Anmeldeniveau nötig)
  • Nachweis zur Authentizität des Absenders und des Empfängers

• bei den Bestätigungen handelt es sich um qualifiziert elektronisch signierte Bestätigungen gemäß Signaturgesetz

Transportverschlüsselung

• Verschlüsselung des Transportkanals zwischen Benutzer und Anbieter und zwischen den Anbietern
• beim Anbieter wird die Nachricht entschlüsselt um sie auf Schadsoftware zu prüfen
• TLS ab Version 1.0 mit verschiedenen Cipher-Suites

Protokolle und Datenformate

• zwischen Nutzer und De-Mail-Provider
  • Kommunikationskanal über einen gegenseitig authentisierten und vertraulichen Kanal
  • die Wahl des Transportprotokolls erfolgt individuell zwischen De-Mail-Provider und Nutzer

• zwischen zwei De-Mail-Providern
  • die Protokolle und Datenformate sind auf Grund der Interoperabilität genau spezifiziert
  • SMTP over TLS
  • Internet Message Format (RFC 5322)

Öffentlicher Verzeichnisdienst

• Ablage der De-Mail-Adresse und weiteren Kontaktdaten
• auch Ablage von zugehörigen öffentlichen Schlüsseln möglich
• Eintragung erfordert hohes Authentisierungsniveau und erfolgt nur mit Einverständnis des Nutzers
• basiert auf LDAP

De-Safe

• Dokumentenablage für wichtige Dokumente wie Vertragsunterlagen
• optionaler Dienst
• langfristige und verschlüsselte Speicherung der Dokumente
• Entschlüsselung eines Dokumentes erfolgt erst bei Zugriff des Nutzers
• der Speicher beträgt mindestens 100 MB

De-Ident

• Identitätsbestätigungsdienst
• optionaler Dienst
• erfolgt auf Veranlassung des Nutzers
• z.B. Altersnachweis oder Registrierung bei Online-Shops
• Alternative zur eID Funktion des nPA

Akkreditierung

• IT-Sicherheit, Interoperabilität und Funktionalität
  • Prüfung durch unabhängige Prüfstellen
  • Prüfberichte werden anschließend von unabhängigen IT-Sicherheitsdienstleistern validiert
  • diese stellen bei erfolgreicher Prüfung Testate aus

• Datenschutz
  • durch Gutachter wird geprüft, ob die Auflagen für den Datenschutz erfüllt sind
  • bei erfolgreicher Prüfung stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit einen entsprechenden Nachweis aus

• außerdem sind Nachweise von Zuverlässigkeit und Fachkunde erforderlich
• daneben ist auch eine geeignete Deckungsvorsorge nachzuweisen

• sämtliche Testate und Nachweise werden beim BSI eingereicht, welches die Akkreditierung des De-Mail-Anbieters vornimmt

• spätestens alle drei Jahre muss eine erneute Prüfung stattfinden

• Folgende E-Mail-Provider haben eine Akkreditierung angekündigt
  • United Internet: GMX, WEB.de für Privatkunden
  • Deutsche Telekom: T-Online für Privatkunden, T-Systems für Unternehmen
  • Mentana Claimsoft: für Behörden und Unternehmen
  • (Deutsche Post mit dem E-Postbrief)

Technische Richtlinien des BSI

• die technischen Richtlinien des BSI (BSI TR-01201) beschreiben das technische Konzept von De-Mail und den Rahmen für die Zertifizierung
• es werden die Anforderungen an die Funktionalität, Interoperabilität und Sicherheit sowie die Anforderungen zur Prüfung dieser Eigenschaften beschrieben
• die Richtlinien sind entsprechend der De-Mail-Dienste modular aufgebaut
  • IT-Basisinfrastruktur
  • Postfach- und Versanddienst
  • Accountmanagement
  • Dokumentenablage
  • Identitätsbestätigungsdienst
  • Sicherheit

Quellen

• Webseite des Bundesamts für Sicherheit in der Informationstechnik zu De-Mail
  • https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/DeMail_node.html

• Webseite der Beauftragten der Bundesregierung für Informationstechnik zu De-Mail
  • http://www.de-mail.de/

• Tech­ni­sche Richt­li­ni­en BSI TR-01201 De-Mail
  • https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/TechnischeRichtlinien/TechnRichtlinien_node.html

• De-Mail-Gesetz vom 28. April 2011
  • http://www.gesetze-im-internet.de/de-mail-g/BJNR066610011.html

• De­-Mail - Sicherer elektronischer Nachrichtenverkehr - einfach und nachweisbar
  • Broschüre BSI-Bro11511
  • Bundesamt für Sicherheit in der Informationstechnik
  • 2011

• Aktueller Begriff - De-Mail
  • Sabine Horvath
  • Wissenschaftliche Dienste, Deutscher Bundestag
  • Nr. 32/11, 03. November 2011

• Mail offiziell - Die Anbieter von De-Mail stehen in den Startlöchern
  • Detlef Borchers
  • ct Ausgabe 11/2011, S. 78

• Impuls für sichere Infrastruktur
  • Interview mit Cornelia Rogall-Grothe, der IT-Beauftragten der Bundesregierung
  • Creditreform Ausgabe 12/2010