De-Mail: Difference between revisions
Jump to navigation
Jump to search
No edit summary |
|||
Line 74: | Line 74: | ||
==== Versandarten ==== |
==== Versandarten ==== |
||
* außer dem Standardversand sind noch zusätzliche optionale Versandarten möglich |
* außer dem Standardversand sind noch zusätzliche optionale Versandarten möglich |
||
⚫ | |||
* Versandbestätigung |
|||
⚫ | |||
⚫ | |||
⚫ | |||
* Eingangsbestätigung |
|||
⚫ | |||
⚫ | |||
⚫ | |||
* Abholbestätigung (hohes Anmeldeniveau nötig, nur berechtigte öffentliche Stellen) |
|||
⚫ | |||
⚫ | |||
** Nachweis zur Authentizität des Absenders |
|||
* Persönlich (hohes Anmeldeniveau nötig) |
|||
⚫ | |||
* bei den Bestätigungen handelt es sich um qualifiziert elektronisch signierte Bestätigungen gemäß Signaturgesetz |
* bei den Bestätigungen handelt es sich um qualifiziert elektronisch signierte Bestätigungen gemäß Signaturgesetz |
Revision as of 02:18, 14 February 2012
Motivation
- E-Mail
- schnell und preiswert
- unsicher (in der Regel unverschlüsselt)
- Identitäten nicht gesichert
- kann unbemerkt verloren gehen
- für rechtsverbindliche Behördenkommunikation nicht einsetzbar
- Brief
- sicher und nachweisbar (Einschreiben)
- für rechtsverbindliche Behördenkommunikation geeignet
- langsam
- teuer (für Behörden und Unternehmen)
Was ist De-Mail
- Komfort der E-Mail kombiniert mit dem Sicherheitsniveau des Briefes
- koordiniert vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
- betrieben von privaten Unternehmen (De-Mail-Providern)
- Umsetzung einer EU-Dienstleistungsrichtlinie zur rechtsverbindlichen und vertraulichen elektronischen Kommunikation mit Behörden
- eindeutig identifizierbare Sender und Empfänger
- Schutz vor Manipulation durch Signierung
- Schutz vor Mitlesen durch Verschlüsselung
Geschichte
- 2007 Projekt Bürgerportal als Vorgänger von De-Mail
- 2009-2010 Pilotprojekt in Friedrichshafen mit 800 Einwohnern und 40 Unternehmen
- ab Mitte 2010 Möglichkeit De-Mail-Adressen vorab zu reservieren
- De-Mail-Gesetz
- 02/2011 Verabschiedung durch Bundestag
- 03/2011 Bundesrat lässt Gesetz passieren
- 05/2011 Gesetz tritt in Kraft
- Mentana-Claimsoft AG
- 12/2011 Nachweis im Bereich "Sicherheit"
- 02/2012 Datenschutz-Zertifikat
- voraussichtlicher Regulärbetrieb im zweiten Halbjahr 2012
De-Mail-Konto
- Nutzung durch natürliche und juristische Personen möglich
- Einrichten eines Kontos besteht aus zwei Schritten
- Registrierung bei einem De-Mail-Anbieter
- Überprüfung der Identität: z.B. durch Post-Ident oder eID-Funktion des nPA
De-Mail-Adressen
- De-Mail-Adressen haben folgende Form
Vorname.Nachname[.Nummer]@De-Mail-Anbieter.de Künstlername/Ordensname[.Nummer]@De-Mail-Anbieter.de
- dabei sind auch weitere pseudonyme De-Mail-Adressen möglich
pn_pseudoname@De-Mail-Anbieter.de
- der Domänenteil für Unternehmen hat folgende Form
@Unternehmen.De-Mail-Anbieter.de
Anmeldeverfahren
- zwei Anmeldeverfahren zur Auswahl
- entsprechen unterschiedlichen Sicherheitsniveaus
- ermöglichen verschiedene Aktionen im De-Mail-Konto
- normal
- Authentifizierung durch Wissen: z.B. Benutzername und Passwort
- hoch (sichere Anmeldung)
- Zwei-Faktor-Authentifizierung durch Wissen und Besitz: z.B. zusätzlich nPA, USB-Token, mTAN
Postfach- und Versanddienst
- Versand von Nachrichten an De-Mail-Adressen
- Anbieter muss mindestens einen Web-Client zur Verfügung stellen
Versandarten
- außer dem Standardversand sind noch zusätzliche optionale Versandarten möglich
- Versandbestätigung
- der Versanddienst bestätigt dem Absender den Versand der De-Mail
- Eingangsbestätigung
- der Postfachdienst des Empfängers bestätigt dem Absender und dem Empfänger den Eingang der De-Mail
- Abholbestätigung (hohes Anmeldeniveau nötig, nur berechtigte öffentliche Stellen)
- der De-Mail-Provider des Empfängers versendet nach einer sicheren Anmeldung des Empfängers eine Bestätigung
- Absenderbestätigt (hohes Anmeldeniveau nötig)
- Nachweis zur Authentizität des Absenders
- Persönlich (hohes Anmeldeniveau nötig)
- Nachweis zur Authentizität des Absenders und des Empfängers
- bei den Bestätigungen handelt es sich um qualifiziert elektronisch signierte Bestätigungen gemäß Signaturgesetz
Transportverschlüsselung
- Verschlüsselung des Transportkanals zwischen Benutzer und Anbieter und zwischen den Anbietern
- beim Anbieter wird die Nachricht entschlüsselt um sie auf Schadsoftware zu prüfen
- TLS ab Versionen 1.0 mit verschiedenen Cipher-Suites
Protokolle und Datenformate
- zwischen Nutzer und De-Mail-Provider
- Kommunikationskanal über einen gegenseitig authentisierten und vertraulichen Kanal
- die Wahl des Transportprotokolls erfolgt individuell zwischen De-Mail-Provider und Nutzer
- zwischen zwei De-Mail-Providern
- die Protokolle und Datenformate sind auf Grund der Interoperabilität genau spezifiziert
- SMTP over TLS
- Internet Message Format (RFC 5322)
Öffentlicher Verzeichnisdienst
- Ablage der De-Mail-Adresse und weiteren Kontaktdaten
- auch Ablage von zugehörigen öffentlichen Schlüsseln möglich
- Eintragung erfordert hohes Authentisierungsniveau und erfolgt nur mit Einverständnis des Nutzers
- basiert auf LDAP
De-Safe
- Dokumentenablage für wichtige Dokumente wie Vertragsunterlagen
- optionaler Dienst
- langfristige und verschlüsselte Speicherung der Dokumente
- Entschlüsselung eines Dokumentes erfolgt erst bei Zugriff des Nutzers
- der Speicher beträgt mindestens 100 MB
De-Ident
- Identitätsbestätigungsdienst
- optionaler Dienst
- erfolgt auf Veranlassung des Nutzers
- z.B. Altersnachweis oder Registrierung bei Online-Shops
- Alternative zur eID Funktion des nPA
Akkreditierung
- IT-Sicherheit, Interoperabilität und Funktionalität
- Prüfung durch unabhängige Prüfstellen
- Prüfberichte werden anschließend von unabhängigen IT-Sicherheitsdienstleistern validiert
- diese stellen bei erfolgreicher Prüfung Testate aus
- Datenschutz
- durch Gutachter wird geprüft, ob die Auflagen für den Datenschutz erfüllt sind
- bei erfolgreicher Prüfung stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit einen entsprechenden Nachweis aus
- außerdem sind Nachweise von Zuverlässigkeit und Fachkunde erforderlich
- daneben ist auch eine geeignete Deckungsvorsorge nachzuweisen
- sämtliche Testate und Nachweise werden beim BSI eingereicht, welches die Akkreditierung des De-Mail-Anbieters vornimmt
- spätestens alle drei Jahre muss eine erneute Prüfung stattfinden
- Folgende E-Mail-Provider haben eine Akkreditierung angekündigt
- United Internet: GMX, WEB.de für Privatkunden
- Deutsche Telekom: T-Online für Privatkunden, T-Systems für Unternehmen
- Mentana Claimsoft: für Behörden und Unternehmen
- (Deutsche Post mit dem E-Postbrief)
Technische Richtlinien des BSI
- die technischen Richtlinien des BSI (BSI TR-01201) beschreiben das technische Konzept von De-Mail und den Rahmen für die Zertifizierung
- es werden die Anforderungen an die Funktionalität, Interoperabilität und Sicherheit sowie die Anforderungen zur Prüfung dieser Eigenschaften beschrieben
- die Richtlinien sind entsprechend der De-Mail-Dienste modular aufgebaut
- IT-Basisinfrastruktur
- Postfach- und Versanddienst
- Accountmanagement
- Dokumentenablage
- Identitätsbestätigungsdienst
- Sicherheit
Quellen
- Webseite des Bundesamts für Sicherheit in der Informationstechnik zu De-Mail
- Webseite der Beauftragten der Bundesregierung für Informationstechnik zu De-Mail
- Technische Richtlinien BSI TR-01201 De-Mail
- De-Mail-Gesetz vom 28. April 2011
- De-Mail - Sicherer elektronischer Nachrichtenverkehr - einfach und nachweisbar
- Broschüre BSI-Bro11511
- Bundesamt für Sicherheit in der Informationstechnik
- 2011
- Aktueller Begriff - De-Mail
- Sabine Horvath
- Wissenschaftliche Dienste, Deutscher Bundestag
- Nr. 32/11, 03. November 2011
- Mail offiziell - Die Anbieter von De-Mail stehen in den Startlöchern
- Detlef Borchers
- ct Ausgabe 11/2011, S. 78
- Impuls für sichere Infrastruktur
- Interview mit Cornelia Rogall-Grothe, der IT-Beauftragten der Bundesregierung
- Creditreform Ausgabe 12/2010