Sa, 07:51 Uhr
27.04.2013
Gefahr durch De-Mail?
Gefahr für Steuergeheimnis und Sozialdaten? Auf Probleme bei der Nutzung von De-Mail weist Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, hin. Hier die Pressemeldung dazu.
Seit dem 3. Mai 2011 ist das De-Mail-Gesetz in Kraft. Es regelt, dass mit sogenannten De-Mail-Diensten (z.B. Versenden von De-Mails oder das Ablegen von wichtigen Dokumenten in einem sogenannten De-Safe) ein sicherer, vertraulicher und nachweisbarer Geschäftsverkehr für jedermann im Internet gewährleistet werden soll.
Doch diese Vertraulichkeit lässt zu wünschen übrig. Die teilnehmenden akkreditierten Diensteanbieter sind nach dem Gesetz gezwungen, durch geeignete Maßnahmen sicherzustellen, dass nach Eingang einer Nachricht diese unmittelbar auf Schadsoftware zu prüfen ist. Dies bedeutet, dass dort jede De-Mail für einen kurzen Moment automatisch entschlüsselt und geprüft wird, bevor sie weitergeleitet oder für den Abruf gespeichert wird. Beruhigt wird der Nutzer damit, dass die Diensteanbieter durch eine vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Technischen Richtlinie (BSI TR 01201) i. V. m. § 18 De-Mail-Gesetz verpflichtet wurden, die Entschlüsselung ausschließlich zur Prüfung auf Schadsoftware durchzuführen und durch geeignete Maßnahmen sicherzustellen, dass für Unbefugte keine Möglichkeit besteht, den Nachrichteninhalt zur Kenntnis zu nehmen. Der Begriff des Unbefugten wird jedoch nicht näher bestimmt. Derjenige, der heute noch unbefugt ist, kann morgen schon zu einem Befugten werden!
Manche glauben gar, diese gesetzlich vorgeschriebene kurzzeitige Entschlüsselung der Daten in den Klartext könnte sich zu einer Schnittstelle für Ermittlungsbehörden entwickeln.
Aus datenschutzrechtlicher Sicht wird den Bürgern, den Unternehmen und der Verwaltung mit De-Mail keine vertrauliche Kommunikationsmöglichkeit für das Internet ermöglicht.
Das De-Mail-Gesetz erlaubt zwar, zusätzlich eine Ende-zu-Ende Verschlüsselung einzusetzen, allerdings muss sich der Nutzer darum selbst kümmern und der Empfänger muss diese auch handhaben können.
2011 hat der Gesetzgeber noch erkannt, dass mit De-Mail keinesfalls die Vertraulichkeit der Daten gewährleistet wird. So wurde in der Begründung zum De-Mail-Gesetz extra darauf hingewiesen, dass im Bereich des § 30 Abgabenordnung (AO) - Steuergeheimnis - eine Übermittlung von Nachrichten per De-Mail von der Behörde zu Steuerpflichtigen ausscheide.
Mit dem derzeit im Bundesrat vorliegenden Gesetzentwurf zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (BT DS 17/11473) will der Bund nun auch den elektronischen Versand von besonders sensiblen Daten, wie bspw. Sozial- und Steuerdaten, per De-Mail zulassen. Dies geschieht, in dem er das Öffnen und Prüfen der De-Mails beim Diensteanbieter nunmehr per Gesetz als unkritisch einstuft – ein bemerkenswertes Vorgehen:
In § 30 AO und § 87 AO soll die Klausel aufgenommen werden, dass der Vorgang bei den Diensteanbietern (Entschlüsseln und Prüfen von Daten, die auch dem Steuergeheimnis unterliegen) nun doch keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten sei und nicht gegen das Verschlüsselungsgebot verstoßen werde.
Doch weiter:
Die Datenübermittlung von Sozialdaten ist im Zehnten Buch Sozialgesetzbuch (SGB X) in der Anlage zum SGB X geregelt. Werden Sozialdaten automatisiert verarbeitet oder genutzt, sind insbesondere dem Stand der Technik entsprechende Verschlüsselungsverfahren einzusetzen. Eine dem Stand der Technik entsprechende Ende-zu-Ende Verschlüsselung ist daher zwingend vorgeschrieben.
Der Gesetzgeber will nunmehr jedoch in § 67 Abs. 6 Satz 2 Nr. 3 Zehntes Buch Sozialgesetzbuch (SGB X) vorsehen, dass das Übermitteln einer De-Mail zum Diensteanbieter kraft Gesetzes gar keine Übermittlung sei - ebenfalls bemerkenswert.
Die beabsichtigte Folge wäre, dass der bisher vorgeschriebene Einsatz von dem Stand der Technik entsprechenden Verschlüsselungsverfahren ausgehebelt werden würde und bei der Datenübermittlung von Sozialdaten mittels De-Mail keine Ende-zu Ende-Verschlüsselung mehr erfolgen muss.
Seltsam: Der Gesetzgeber in seiner Gesetzesbegründung selbst darauf hin, dass es in bestimmten Konstellationen erforderlich werden könne, die Ende-zu-Ende-Verschlüsselung zusätzlich zur De-Mail zu verwenden und die Empfehlungen der Beauftragten für den Datenschutz des Bundes und der Länder zu beachten.
Den Bürgern ist daher dringend anzuraten, genau zu prüfen, ob sie De-Mail nutzen möchten und inwieweit sie ihre De-Mail-Adresse in öffentlichen Verzeichnissen für alle Verfahren der Behörden zugänglich machen oder den Zugang weiterhin gegenüber jeder Behörde einzeln erklären wollen.
Wenn Sie sensible Daten tatsächlich vertraulich versenden möchten, müssen Sie diese selbst mit Zusatzsoftware vor dem Versand verschlüsseln. Entsprechende Software wird speziell vom Bundesamt für Sicherheit in der Informationstechnik für die Ende-zu-Ende-Verschlüsselung bei der Nutzung von De-Mail empfohlen:
https://www.bsi.bund.de/BSIFB/DE/SicherheitImNetz/KommunikationUeberInternet/De-Mail/VorteileundFunktionen/EndezuEndeVerschluesselung/EndezuEndeVerschluesselung.html
Autor: khhSeit dem 3. Mai 2011 ist das De-Mail-Gesetz in Kraft. Es regelt, dass mit sogenannten De-Mail-Diensten (z.B. Versenden von De-Mails oder das Ablegen von wichtigen Dokumenten in einem sogenannten De-Safe) ein sicherer, vertraulicher und nachweisbarer Geschäftsverkehr für jedermann im Internet gewährleistet werden soll.
Doch diese Vertraulichkeit lässt zu wünschen übrig. Die teilnehmenden akkreditierten Diensteanbieter sind nach dem Gesetz gezwungen, durch geeignete Maßnahmen sicherzustellen, dass nach Eingang einer Nachricht diese unmittelbar auf Schadsoftware zu prüfen ist. Dies bedeutet, dass dort jede De-Mail für einen kurzen Moment automatisch entschlüsselt und geprüft wird, bevor sie weitergeleitet oder für den Abruf gespeichert wird. Beruhigt wird der Nutzer damit, dass die Diensteanbieter durch eine vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Technischen Richtlinie (BSI TR 01201) i. V. m. § 18 De-Mail-Gesetz verpflichtet wurden, die Entschlüsselung ausschließlich zur Prüfung auf Schadsoftware durchzuführen und durch geeignete Maßnahmen sicherzustellen, dass für Unbefugte keine Möglichkeit besteht, den Nachrichteninhalt zur Kenntnis zu nehmen. Der Begriff des Unbefugten wird jedoch nicht näher bestimmt. Derjenige, der heute noch unbefugt ist, kann morgen schon zu einem Befugten werden!
Manche glauben gar, diese gesetzlich vorgeschriebene kurzzeitige Entschlüsselung der Daten in den Klartext könnte sich zu einer Schnittstelle für Ermittlungsbehörden entwickeln.
Aus datenschutzrechtlicher Sicht wird den Bürgern, den Unternehmen und der Verwaltung mit De-Mail keine vertrauliche Kommunikationsmöglichkeit für das Internet ermöglicht.
Das De-Mail-Gesetz erlaubt zwar, zusätzlich eine Ende-zu-Ende Verschlüsselung einzusetzen, allerdings muss sich der Nutzer darum selbst kümmern und der Empfänger muss diese auch handhaben können.
2011 hat der Gesetzgeber noch erkannt, dass mit De-Mail keinesfalls die Vertraulichkeit der Daten gewährleistet wird. So wurde in der Begründung zum De-Mail-Gesetz extra darauf hingewiesen, dass im Bereich des § 30 Abgabenordnung (AO) - Steuergeheimnis - eine Übermittlung von Nachrichten per De-Mail von der Behörde zu Steuerpflichtigen ausscheide.
Mit dem derzeit im Bundesrat vorliegenden Gesetzentwurf zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (BT DS 17/11473) will der Bund nun auch den elektronischen Versand von besonders sensiblen Daten, wie bspw. Sozial- und Steuerdaten, per De-Mail zulassen. Dies geschieht, in dem er das Öffnen und Prüfen der De-Mails beim Diensteanbieter nunmehr per Gesetz als unkritisch einstuft – ein bemerkenswertes Vorgehen:
In § 30 AO und § 87 AO soll die Klausel aufgenommen werden, dass der Vorgang bei den Diensteanbietern (Entschlüsseln und Prüfen von Daten, die auch dem Steuergeheimnis unterliegen) nun doch keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten sei und nicht gegen das Verschlüsselungsgebot verstoßen werde.
Doch weiter:
Die Datenübermittlung von Sozialdaten ist im Zehnten Buch Sozialgesetzbuch (SGB X) in der Anlage zum SGB X geregelt. Werden Sozialdaten automatisiert verarbeitet oder genutzt, sind insbesondere dem Stand der Technik entsprechende Verschlüsselungsverfahren einzusetzen. Eine dem Stand der Technik entsprechende Ende-zu-Ende Verschlüsselung ist daher zwingend vorgeschrieben.
Der Gesetzgeber will nunmehr jedoch in § 67 Abs. 6 Satz 2 Nr. 3 Zehntes Buch Sozialgesetzbuch (SGB X) vorsehen, dass das Übermitteln einer De-Mail zum Diensteanbieter kraft Gesetzes gar keine Übermittlung sei - ebenfalls bemerkenswert.
Die beabsichtigte Folge wäre, dass der bisher vorgeschriebene Einsatz von dem Stand der Technik entsprechenden Verschlüsselungsverfahren ausgehebelt werden würde und bei der Datenübermittlung von Sozialdaten mittels De-Mail keine Ende-zu Ende-Verschlüsselung mehr erfolgen muss.
Seltsam: Der Gesetzgeber in seiner Gesetzesbegründung selbst darauf hin, dass es in bestimmten Konstellationen erforderlich werden könne, die Ende-zu-Ende-Verschlüsselung zusätzlich zur De-Mail zu verwenden und die Empfehlungen der Beauftragten für den Datenschutz des Bundes und der Länder zu beachten.
Den Bürgern ist daher dringend anzuraten, genau zu prüfen, ob sie De-Mail nutzen möchten und inwieweit sie ihre De-Mail-Adresse in öffentlichen Verzeichnissen für alle Verfahren der Behörden zugänglich machen oder den Zugang weiterhin gegenüber jeder Behörde einzeln erklären wollen.
Wenn Sie sensible Daten tatsächlich vertraulich versenden möchten, müssen Sie diese selbst mit Zusatzsoftware vor dem Versand verschlüsseln. Entsprechende Software wird speziell vom Bundesamt für Sicherheit in der Informationstechnik für die Ende-zu-Ende-Verschlüsselung bei der Nutzung von De-Mail empfohlen:
https://www.bsi.bund.de/BSIFB/DE/SicherheitImNetz/KommunikationUeberInternet/De-Mail/VorteileundFunktionen/EndezuEndeVerschluesselung/EndezuEndeVerschluesselung.html
Kommentare
Bisher gibt es keine Kommentare.
Kommentare sind zu diesem Artikel nicht möglich.
Es gibt kein Recht auf Veröffentlichung.
Beachten Sie, dass die Redaktion unpassende, inhaltlose oder beleidigende Kommentare entfernen kann und wird.
Beachten Sie, dass die Redaktion unpassende, inhaltlose oder beleidigende Kommentare entfernen kann und wird.