Die Bundesregierung will den umstrittenen De-Mail-Standard für rechtsverbindliche elektronische Kommunikation mit mehreren Gesetzesänderungen durchsetzen. Die geplanten Änderungen verpflichten Anwälte und Behörden zur Nutzung von De-Mail für bestimmte Angelegenheiten, außerdem soll der von Verschlüsselungsexperten kritisierte Standard in mehreren Gesetzen als “sicher” definiert werden.

Das De-Mail-System treibt die Regierung seit Jahren voran, 2011 verabschiedete der Bundestag das De-Mail-Gesetz. Es definiert E-Mails als rechtsverbindlich, wenn die privaten De-Mail-Anbieter bestimmte technische und organisatorische Voraussetzungen erfüllen. Einer der größten De-Mail-Anbieter ist die Deutsche Telekom – an dem Konzern hält die Bundesrepublik direkt und indirekt über die KfW fast ein Drittel der Aktien.

Krypto-Experte nennt De-Mail “für sensible Daten ungeeignet”

Ein Problem beim De-Mail-Standard ist, dass die Diensteanbieter alle vertraulichen, sicheren Nachrichten der Kunden entschlüsseln können. In besonders gesicherten Rechenzentren werden die Nachrichten entschlüsselt, auf Viren überprüft und dann wieder verschlüsselt und an den Empfänger geschickt. So sieht es das Gesetz vor.

Informatiker und Datenschützer halten das Verfahren wegen der Entschlüsselung für unsicher. Es ist ein bisschen, als öffne die Deutsche Post alle Briefe unterwegs, um mal nachzusehen, ob auch nichts Gefährliches darin steckt. Das ist solange unkritisch, wie an der Stelle, an der die Briefe geöffnet (oder die De-Mails entschlüsselt) werden, niemand sitzt, der böse Absichten hat.

Der Verschlüsselungsexperte Karsten Nohl fasst das Urteil vieler Kollegen über De-Mail so zusammen: “Das System hat keine Ende-zu-Ende-Verschlüsselung und ist daher für sensible Steuer-, Sozial- und Justizdaten ungeeignet. Hier kann unverschlüsselte Datenübertragung fahrlässiger Geheimnisverrat sein, der nach § 203 StGB mit Gefängnis geahndet wird.”

Das will die Bundesregierung nun ändern. Aber nicht, indem die Verschlüsselungstechnik der De-Mail geändert wird. Geändert werden stattdessen Gesetze. Der Bundestag berät derzeit die geplanten Änderungen, am Donnerstag hört der Innenausschuss mehrere Experten dazu. Im geplanten Gesetz zur “Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften” wird festgeschrieben, dass die Übertragung von Steuergeheimnissen per De-Mail legal und sicher ist. In der Abgabenordnung etwa heißt es, die Finanzbehörde müsste Daten, die dem Steuergeheimnis unterliegen, “mit einem geeigneten Verfahren verschlüsseln”. Nun soll in diese Abgabenordnung folgender Abschnitt eingefügt werden:

“Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3.”

Gesetz definiert Verschlüsselungslücke als sicher

Im Klartext heißt das: Bei dem Verfahren wird zwar nicht durchgängig verschlüsselt, aber es ist dennoch als verschlüsselt zu behandeln.

Zahlreiche Änderungen in dem geplanten “Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten” gehen in eine ähnliche Richtung. Geplant ist die Ergänzung des Arbeitsgerichtsgesetzes, Sozialgerichtsgesetzes, der Verwaltungsgerichtsordnung, der Finanzgerichtsordnung und der Zivilprozessordnung.

In diesen Gesetzen soll festgeschrieben werden, dass Rechtsanwälte und Behörden Anträge und Erklärungen bei Gericht elektronisch einreichen müssen, zum Beispiel über De-Mail. Zudem soll De-Mail in allen entsprechenden Gesetzen mit dieser Formulierung als “sicherer Übermittlungsweg” deklariert werden.

Das geht ganz einfach, die Gesetze werden schlicht um eine Aufzählung qua Gesetz sicherer Übermittlungssysteme ergänzt. Doch ein von vielen Experten wegen nicht durchgehender Verschlüsselung kritisierter Standard wird nicht per Gesetzesänderung besser.