Bundesamt für Sicherheit in der Informationstechnik

De-Mail – Merkmale und Funktionen

De-Mail Postfach- und Versanddienst

Der De-Mail Postfach- und Versanddienst ist der zentrale Dienst von De-Mail. Er gewährleistet zuverlässige und vertrauliche Kommunikation. Das bedeutet:

Eine Nachricht ist beim Versand gegen den Verlust der Vertraulichkeit, gegen Änderungen des Nachrichteninhaltes und der sog. Metadaten (z. B. Absenderadresse, Versandzeit, Versandoptionen) geschützt.

Zusätzlich können De-Mails qualifiziert versendet werden, dabei gibt es folgende vier Versandoptionen:

  • Persönlich:
    Die Wahl dieser Option bedeutet, dass das erforderliche Anmeldeniveau des Empfängers mindestens "hoch" sein muss, um die Nachricht lesen zu können. Um diese Option wählen zu können, muss auch das Anmeldeniveau des Absenders "hoch" sein.
  • Absenderbestätigt:
    Mit der Wahl dieser Option bringt der Absender zum Ausdruck, dass er sich verbindlich an den von ihm versendeten Nachrichteninhalt gebunden fühlt. Um diese Option wählen zu können, muss das Anmeldeniveau des Absenders "hoch" sein. Der Empfänger erfährt, dass der Absender beim Versand der Nachricht "hoch" angemeldet war.
  • Versandbestätigung:
    Bei Wahl dieser Option wird eine Versandbestätigung vom Versanddienst des Absenders erzeugt und dem Absender per Nachricht zugestellt.
  • Eingangsbestätigung:
    Bei Wahl dieser Option wird eine Zugangsbestätigung vom Postfachdienst des Empfängers erzeugt und dem Absender sowie dem Empfänger der ursprünglichen Nachricht per Nachricht zugestellt.

Diese vier Optionen können vom Nutzer in beliebiger Kombination gewählt werden.

Darüber hinaus kann der Absender seine Nachrichten zusätzlich mit seinen eigenen Komponenten (qualifiziert elektronisch) signieren und/oder Ende-zu-Ende verschlüsseln. De-Mail-Anbieter sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem De-Mail-Nutzer öffentliche Schlüssel/Verschlüsselungs-Zertifikate zu ihren De-Mail-Adressen hinterlegen können. So wird die Möglichkeit der Ende-zu-Ende-Verschlüsselung für den Nutzer erheblich vereinfacht.

Hoher Nutzerkomfort bei gleichzeitig hoher Sicherheit

Gegenwärtig werden über 95 Prozent aller E-Mails unverschlüsselt versendet. Ungesicherte E-Mails können im Internet wie eine Postkarte von jedem Unberechtigten abgefangen, mitgelesen und verändert werden. Damit sich eine sichere E-Mail-Kommunikation in Deutschland möglichst schnell verbreitet, soll De-Mail für den Anwender möglichst einfach zu nutzen sein. Daher wird bei De-Mail bewusst darauf verzichtet, dass der Anwender zusätzliche Installationen auf seinem Computer vornehmen muss. Im einfachsten Fall nutzt der Anwender De-Mail über ein Web-Portal, so wie die meisten Anwender heute E-Mails über die bekannten E-Mail-Portale verschicken.

Um auf zusätzliche Installationen beim Anwender verzichten zu können, ist De-Mail so konzipiert, dass die Nachrichten auf ihrem Weg zwischen Anwender und Diensteanbieter sowie zwischen den Diensteanbietern jeweils verschlüsselt sind. Dafür wird eine Transportverschlüsselung (SSL bzw. TLS) genutzt, bei der die Nachrichten über gesicherte Kanäle ("Tunnel") zwischen Absender, Diensteanbietern und Empfänger versendet werden.

Bei der Transportverschlüsselung handelt es sich um eine Punkt-zu-Punkt-Verschlüsselung. Es wird dabei ein Kanal zwischen dem Anwender und dem Diensteanbieter aufgebaut und alle Daten, die durch den Kanal übertragen werden, werden automatisch verschlüsselt. Dies hat zur Folge, dass die Daten am Ende des Kanals wieder als Klartext vorliegen. Aufgrund dieser Tatsache ist es möglich, dass die Nachrichten auf Schadsoftware geprüft werden können. Erkennt das System einen Virus oder Trojaner an einer De-Mail, wird die Nachricht entsprechend elektronisch gekennzeichnet. Diese Maßnahme schützt den Empfänger und dessen Technik und damit den gesamten De-Mail-Informationsverbund. Nach der Prüfung werden die Nachrichten verschlüsselt abgelegt.

Der Prüfprozess selbst läuft auf Servern in geprüften Sicherheitsrechenzentren ab, die den Vorgaben des BSI entsprechen müssen. Die Einhaltung von IT-Sicherheit und Datensicherheit überprüft das BSI im Rahmen des umfangreichen Zertifizierungsprozesses. Dies beinhaltet auch Testangriffe, die das BSI durchführt, damit eventuelle Sicherheitsmängel im Vorfeld erkannt und beseitigt werden können. Nur zertifizierte Anbieter, die den strengen Sicherheitsanforderungen des De-Mail-Gesetzes an Technik, Organisation und Personal nachweislich genügen, werden De-Mail anbieten dürfen und die notwendige Akkreditierung erhalten können.

Einfache Nutzung zusätzlicher Verschlüsselung

Bei besonders hohen Anforderungen an die Vertraulichkeit der Nachrichten haben De-Mail-Nutzer die Möglichkeit, die mit De-Mail übermittelten Inhalte noch zusätzlich selbst zu verschlüsseln (so genannte „Ende-zu-Ende-Verschlüsselung“). In diesem Fall erfolgt die Verschlüsselung auf dem Rechner des Absenders und die Entschlüsselung der Inhalte erst auf dem Rechner des Empfängers. Hierfür ist jedoch ggf. die Installation zusätzlicher Software erforderlich, die die Ver- und Entschlüsselung durchführt. Der Verzeichnisdienst, der bei De-Mail obligatorisch durch den Diensteanbieter angeboten werden muss, unterstützt den Anwender, indem der Anwender seinen öffentlichen Schlüssel anderen Anwendern zur Verfügung stellen kann. Es ist dem Anwender also möglich an einer zentralen Stelle nach öffentlichen Schlüsseln von Personen zu suchen mit denen er vertraulich kommunizieren möchte. Dies ist bisher nur schwer möglich und stellt den wesentlichen „Hemmschuh“ für die Verbreitung von Technologien zur Ende-zu-Ende-Verschlüsselung („Wo finde ich den gültigen Verschlüsselungsschlüssel meines Kommunikationspartners?“). Mit De-Mail soll auf diese Weise der Einsatz der Ende-zu-Ende-Verschlüsselung unterstützt und gefördert werden.

Authentizität und Integrität

Neben den beschriebenen Maßnahmen zur Vertraulichkeit sind ebenso Authentizität und Integrität bei De-Mail von hoher Bedeutung. Um die Authentizität der Kommunikation bei De-Mail zu gewährleisten, ist es notwendig, dass jeder Nutzer einmalig eindeutig identifiziert wird. Auf diese Weise ist jedes Konto einer Person eindeutig zuordbar. Des weiteren werden zusätzliche Anforderungen an die Authentisierung gestellt, wie z.B. eine Zwei-Faktor-Authentisierung (etwa mit Besitz und Wissen) um Missbrauch zu erschweren/verhindern.

Die Integrität wird bei den Nachrichten durch eine Prüfsumme oder durch eine qualifizierte elektronische Signatur gesichert. Diese integritätssichernden Maßnahmen werden direkt nach dem Eingang der Nachrichten bei dem Diensteanbieter angebracht und an den Empfänger mit übermittelt.

Ziel der vom BSI zu verantwortenden Sicherheitsanforderungen ist es insgesamt, potentiellen Anbietern zu ermöglichen, ein angemessenes Sicherheitsniveau zu erreichen, gleichzeitig aber genügend Spielraum für die individuelle Gestaltung der Einsatzumgebung zu lassen. Damit haben Anbieter die Möglichkeit, ihre bereits bestehende Infrastruktur zu nutzen oder anzupassen.