Mit De-Mail-Diensten wird der verbindliche und vertrauliche Versand elektronischer Dokumente und Nachrichten deutlich einfacher. De-Mail ist eine sehr einfache Möglichkeit, elektronische Nachrichten verschlüsselt, authentisch und nachweisbar zu versenden. Der Versand einer De-Mail ist genauso einfach wie der einer herkömmlichen E-Mail.
In der Handhabung gleichen De-Mails den herkömmlichen E-Mails, verfügen jedoch über wichtige Eigenschaften, die der E-Mail fehlen:

• Die Identitäten von Absender und Adressat können eindeutig nachgewiesen und nicht gefälscht werden.
• Die Nachrichten werden ausschließlich über verschlüsselte Kanäle übertragen und verschlüsselt abgelegt. Sie sind für Unbefugte zu keiner Zeit zugänglich und können weder mitgelesen, noch verändert werden.

Mit De-Mail sparen Sie Zeit und Geld für den Versand oder gar die persönliche Überbringung von gedruckten Unterlagen. Sie nutzen die Schnelligkeit der E-Mail in Verbindung mit der Sicherheit eines Briefes und der Nachweisbarkeit eines Einschreibens.

Alle Vorteile und Funktionen von De-Mail

Was muss ich tun, wenn ich De-Mail nutzen will und welche Vorteile hat De-Mail gegenüber der herkömmlichen E-Mail?

Akkreditierung von De-Mail-Anbietern

Ihre Nachrichten sollen mit hoher Sicherheit übertragen werden. Darum müssen sich alle De-Mail-Anbieter vor ihrer Akkreditierung intensiv testen und durchleuchten lassen.

In dieser Prüfungsphase müssen die künftigen De-Mail-Anbieter nachweisen, dass sie die im De-Mail-Gesetz geforderten hohen Auflagen an die organisatorische und technische Sicherheit der angebotenen De-Mail-Dienste erfüllen. Die Details der Auflagen sind in den Technischen Richtlinien des BSI festgeschrieben. Nur Anbieter, die nachweisen können, dass sie die Auflagen bzw. die Technischen Richtlinien erfüllen, können sich durch das BSI akkreditieren lassen.

Akkreditierung durch das BSI

Die Testate und der Datenschutznachweis werden beim BSI eingereicht, das als einzige Behörde in Deutschland die Akkreditierung des De-Mail-Anbieters vornehmen darf. Erst wenn diese Akkreditierung durch das BSI erfolgt ist, darf der Anbieter seine De-Mail-Dienste betreiben. Anschließend wird regelmäßig überprüft, ob der De-Mail-Anbieter auch weiterhin die technisch-organisatorischen Anforderungen erfüllt.

Die Liste der akkreditierten Anbieter ist auf der Internetseite des BSI veröffentlicht. Sollte Ihr Anbieter seine Akkreditierung verlieren oder den Betrieb einstellen, ist Ihr Konto durch gesetzliche Regelungen für den Anbieterwechsel geschützt. Gleiches gilt selbstverständlich, wenn Sie aus eigenen Gründen Ihren Anbieter wechseln möchten.

Beispiele für Anforderungen an De-Mail-Anbieter

• Die IT-Systeme müssen in Sicherheitsrechenzentren mit Infrastrukturmaßnahmen (z.B. gegen unbefugten Zutritt und gegen Feuer-, Hitze- und Wasserschäden) untergebracht sein, die auch bei Stromausfall weiterlaufen.
• Das Personal, das die De-Mail-Systeme technisch betreut, muss anhand polizeilicher Führungszeugnisse auf Vertrauenswürdigkeit überprüft worden sein.
• Es muss ein Sicherheitsmanagement nach ISO 27001 auf Basis von IT-Grundschutz erstellt werden, welches neben IT-spezifischen Sicherheitsmaßnahmen (z.B. Netzsicherheit und Schutz der IT-Systeme) auch organisatorische Maßnahmenberücksichtigt (z.B. Trennung von Verantwortung bei sicherheitskritischen Aufgaben, um einen Zugriff auf die Nachrichten zu verhindern).

De-Mail-Anbieter werden überprüft

In der Prüfungsphase muss der potenzielle Anbieter von De-Mail-Diensten nachweisen, dass er die hohen Anforderungen, insbesondere an die IT-Sicherheit, an die Interoperabilität und an die Funktionalität seines Systems erfüllt.

Bei der Prüfung handelt es sich um einen zweistufigen Prozess. Die eigentlichen Prüfungen werden durch unabhängige Prüfstellen und Auditoren durchgeführt, die vom BSI für De-Mail anerkannt bzw. zertifiziert wurden. Die Prüfberichte werden danach von unabhängigen IT-Sicherheitsdienstleistern validiert, die ebenfalls vom BSI anerkannt sein müssen. Bei erfolgreicher Prüfung stellen diese so genannte Testate aus, die den Anbietern von De-Mail-Diensten die Erfüllung der Anforderungen bescheinigen.

Eine weitere sachverständige Stelle prüft, ob die Auflagen für den Datenschutz eingehalten werden. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt bei erfolgreicher Prüfung den entsprechenden Nachweis aus. Der Nachweis für das Testat im Bereich Sicherheit orientiert sich an der Vorgehensweise der Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz. Zusätzlich werden De-Mail-spezifische Anforderungen abgeprüft.

Weitere Informationen

Bei weiteren Verständnisfragen – nicht nur zu De-Mail – kontaktieren Sie das BSI gerne.

Aktuelle Informationen bekommen Privatpersonen, Unternehmen und öffentliche Einrichtungen auf www.de-mail.de. Über die konkreten Möglichkeiten, De-Mail für die Kommunikation mit Unternehmen und Behörden zu nutzen, informiert das De-Mail-Informationsportal.