Pressemitteilung | TeleTrusT - Bundesverband IT-Sicherheit e.V.

Gesetzesinitiative zur Verbesserung der Sicherheit bei E-Mail-Kommunikation grundsätzlich begrüßenswert / Stellungnahme des deutschen IT-Sicherheitsverbandes zum aktuellen De-Mail-Gesetzentwurf

(Berlin) - TeleTrusT Deutschland e.V. begrüßt die Gesetzesinitiative zur Verbesserung der Sicherheit bei elektronischer Kommunikation. Die überarbeitete Fassung des Gesetzentwurfes enthält eine Reihe von Veränderungen, die als positiv zu bewerten sind. Ungeachtet dessen verbleiben eine Reihe von Kritikpunkten.

Die Karteninfrastruktur der Zertifizierungsdiensteanbieter gemäß SigG ist so ausgelegt, dass auch Authentisierungsfunktionen mit entsprechenden Authentisierungszertifikaten genutzt werden können. Dies könnte für die Abbildung des hohen Authentisierungsniveaus automatisch mit verwendet werden. Gleichzeitig werden durch die Zertifizierungsdiensteanbieter auch Verschlüsselungszertifikate erstellt bzw. verwaltet.

Das in der Öffentlichkeit oft diskutierte Fehlen einer obligatorischen Funktion zur Ende-zu-Ende-Verschlüsselung wäre mit dem Einsatz der Karteninfrastruktur ohne weitere Probleme möglich und würde den Datenschutz in dem vom Staat regulierten Bereich der Versanddienstleistungen stärken.

Deshalb wird vorgeschlagen, die Nutzung der etablierten Karteninfrastrukturen innerhalb von De-Mail-Diensten zur Abbildung der qualifizierten elektronischen Signatur, zur Nutzung bei der Authentisierung und bei der Abbildung der Ende-zu-Ende-Verschlüsselung stärker zu integrieren und die Integrationsmöglichkeiten mit den entsprechend etablierten Zertifizierungsdiensteanbietern zu organisieren.

Gleichzeitig bieten die Zertifizierungsdiensteanbieter die Möglichkeit, die Erstregistrierung zu unterstützen. Bei der Antragstellung für ein Zertifikat, das für die qualifizierte elektronische Signatur genutzt wird, ist es notwendig, die Antragsteller sicher zu registrieren und zu identifizieren. Diese Daten können bei Einverständnis der Zertifikatsinhaber genutzt werden, um die Erstregistrierung der Bürger bei De-Mail schneller zu vollziehen. Die Abbildung ist mit den zukünftigen Providern zu diskutieren und ggf. separat in die Begründung des Gesetzentwurfes aufzunehmen. Durch diese Ansätze kann eine vollwertige Integration der Infrastrukturdienstleistungen der Zertifizierungsdiensteanbieter in einer "Win-Win"-Situation für die De-Mail- und die Zertifizierungsdiensteanbieter genutzt werden. Hier fehlt ein Gesamtkonzept des Gesetzgebers. Eine Erweiterung des Gesetzentwurfes hinsichtlich der Integration der Dienste von Zertifizierungsdiensteanbietern nach dem SigG ist notwendig. Derzeit wird mit dem neuen Gesetz ein neues Mittel einfach neben die bestehende Lösung gesetzt, statt eine Initiative zur weiteren Verbreitung der qualifizierten elektronischen Signatur zu ergreifen.

Nach dem Gesetzentwurf wird es so sein, dass beispielsweise Behörden über De-Mail Bescheide, Verfügungen usw. dem Bürger zustellen können, der Bürger jedoch etwaige Rechtsmittel nicht einfach durch Antwort wirksam einlegen darf. Vielmehr erfordert die wirksame Einlegung des Widerspruchs gemäß § 3a Verwaltungsverfahrensgesetz in Verbindung mit § 70 Verwaltungsgerichtsordnung eine qualifizierte elektronische Signatur. Für den Nutzer stellt sich die Frage, warum er De-Mail nutzen soll, wenn im Zweifel doch die qualifizierte elektronische Signatur erforderlich wird.

Auch mit dem für die Kommunikation mit den Gerichten eingerichteten elektronischen Gerichts- und Verwaltungspostfach ist De-Mail nur unzureichend abgestimmt. Es soll eine Schnittstelle geben, jedoch ist diese durch die beteiligten Instanzen nicht exakt definiert. Gerichte, Rechtsanwälte und Wirtschaft müssen daher mit De-Mail einen weiteren, zusätzlichen Kommunikationsweg öffnen, in ihre Abläufe integrieren und ständig überwachen.

Rechtsstaatliche Bedenken

Der Gesetzgeber sollte wesentliche Entscheidungen selbst treffen und nur in begrenztem Ausmaß Verordnungsermächtigungen erteilen. Im Gesetz ist zu regeln, dass die Vorgaben der zuständigen Behörde diskriminierungsfrei erfolgen und sich auf die Beschreibung von Sicherheitsstandards beschränken bzw. Interoperabilität zu internationalen und nationalen anderen Diensten gewährleisten müssen. Außerdem ist im Gesetz festzuschreiben, dass einmal gewählte Adressen auch bei Wechsel des Providers vom Nutzer weitergenutzt werden können.

Standardisierung

Dem Entwurf kann keine ausdrückliche Verpflichtung zur Berücksichtigung und Einhaltung internationaler bzw. europäischer Normen und Standards entnommen werden. Damit entsteht das Risiko fehlender Interoperabilität und eines später schwer zu korrigierenden Sonderweges. Interoperabilität ist wichtig.

Deshalb wird die frühzeitige Standardisierung von Interoperabilitätsschnittstellen gefordert.

Quelle und Kontaktadresse:
TeleTrusT Deutschland e.V. Dr. Holger Mühlbauer, Geschäftsführer Chausseestr. 17, 10115 Berlin Telefon: (030) 40054310, Telefax: (030) 40054311

NEWS TEILEN: