Der Gesetzgeber pfeift laut im Walde: Die De-Mail ist sicher!

§ 30 Abs. 7 Abgabenordnung

Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger oder diesem nach Absatz 3 gleichgestellte Personen nach Maßgabe des § 87a Absatz 4 über De-Mail-Dienste im Sinne des § 1 des De-Mail-Gesetzes versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht stattfindet.

Den Steuerrechtler graust’s. Im „bekanntestesn und wichtigsten Standardwerk auf dem Gebiet des deutschen Steuerverfahrensrechts“, dem Tipke/Kruse, äußert Prof. Drüen der Universität München in Rdnr. 146d seiner Kommentierung zu § 30 Abgabenordnung ungewöhnlich deutliche Kritik an der gesetzlichen Fiktion:

§ 30 VII AO betrifft dabei den sensiblen finanzbehördlichen Informationsausgangsverkehr. Im Lichte jüngster Datenabschöpfung durch ausländische Geheimdienste ist die Regelung keineswegs Ausdruck einer besonderen legislatorischen Schutzmaßnahme für Steuerdaten. Das Vertrauen auf das Akkreditierungsverfahren scheint trotz einer nicht sicher auszuschließenden Kooperation der Betreiber mit ausländischen Informationssammelstellen ungebrochen. …  [Es] bedarf … eines qualifizierten Schutzes [von Steuerdaten], den eine Rechtsfiktion allein nicht gewährleistet. … Jede Relativierung des Steuerdatenschutzes [erscheint] angesichts des Schutzzweckes und der doppelten Schutzrichtung … verfehlt. Solange abstrakt bestehende Sicherheitsbedenken nicht ausgeräumt sind, muss die [Finanzbehörde] diese bei ihrer Ermessensentscheidung („kann“) nach § 87a IV 4 AO berücksichtigen.

Drüen fordert im Weiteren zurecht, dass die vom Gesetz gezogenen engen Grenzen eingehalten werden: die Entschlüsselung auf Anbieterseite dürfe wirklich nur zur Überprüfung auf Schadsoftware stattfinden. (Für die Weiterleitung an den Adressaten der De-Mail-Nachricht bedarf es nicht des Blickes auf ihren Inhalt, es genügt ihren Umschlag auszuwerten, den envelope).Wo ein anderweitiger Datenzugriff nicht „sicher auszuschließen“ sei und wo zudem „faktisch Sicherheitslücken aufgedeckt werden“, fehle der gesetzlichen Fiktion die gesetzliche Grundlage mit der Folge einer unbefugten Offenbarung von Steuerdaten durch die Finanzbehörde.

Diesem Risiko sollten sich Amtsträger nicht unbedacht aussetzen.

Entsprechend der Handreichung des Bundesdatenschutzbeauftragten sollte die Finanzbehörde die Inhaltsdaten daher lieber von vornherein Ende zu Ende verschlüsseln, wenn sie auf De-Mail anstelle von ELSTER setzt.

Drüen in: Tipke/Kruse, AO/FGO, 142. Lieferung Oktober 2015, § 30 AO Rdnr. 146d.

Im Rahmen des nationalen IT-Gipfels haben heute Vertreter der Regierung und der deutschen IT-Wirtschaft die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ unterschrieben, mit der sie sich klar für die Förderung der „Ende-zu-Ende-Verschlüsselung (im Sinne einer Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg)“ aussprechen. Neben Bundesinnenminister de Maizière sowie den Präsidenten des BSI, des Lobbyvereins „Deutschland sicher im Netz“, des Fraunhofer SIT und der Gesellschaft für Informatik sind die Chefs der folgenden fünf IT-Unternehmen beteiligt: die Bundesdruckerei (vor allem mit ihrer Tochter D-Trust), 1&1 Mail&Media als Anbieter von web.de und gmx.de, der Sicherheitsanbieter genua, die im Bereich E-Government und E-Justiz umtriebige Governikus KG und schließlich die Telekom.

Die Charta greift den Anspruch der Digitalen Agenda auf, Deutschland zum „Verschlüsselungs-Standort Nr. 1 auf der Welt“ zu machen, und nennt acht Bekenntnisse, die helfen sollen, dieses Ziel zu erreichen: das Bekenntnnis zur Bedeutung des Themas, zur Schaffung des notwendigen Bewusstseins, zur Einfachheit, zur Technologieneutralität  / Aktualität / Standardkonformität, zu Transparenz und Vertrauenswürdigkeit, zur Innovation, zu Security made in Germany/Europe sowie zur Offenheit.

Golem weist in seinem Beitrag zutreffend darauf hin, dass dieses deutliche Engagement de Maizières in einem gewissen Widerspruch stehe zu seinem bisherigen Bemühen, starke Verschlüsselung zugunsten seiner so genannten Sicherheitsbehörden zu schwächen. Das sind auch diejenigen, die zusammen mit dem BSI eine Ende-zu-Ende-Verschlüsselung der De-Mail verhindert haben, mit dem Argument, eine solche sei nicht nutzerfreundlich zu implementieren. (Was nicht stimmt.) Denn sie verhindert eine flächendeckende Überwachung der elektronischen Kommunikation – bzw. zwingt die so genannten Sicherheitsbehörden, auf den „Bundestrojaner“ und andere Hacking-Methoden auszuweichen, genannt „Quellen-TKÜ“.

Weiterlesen →

Die Transportverschlüsselung der Mogelpackung „sicheren Variante der E-Mail“ namens „E-Mail made in Germany“ ist offenbar fehlerhaft implementiert. Das berichtete Zeit Online am 3. November:

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite [(„http://“) mit einem]  Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. […] [Dessen Daten werden] im Normalfall verschlüsselt verschickt – aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer – das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider – kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr. Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt….

Nicht betroffen ist der Datenabruf über Mailprogramme.

Ganz kurzer Nachtrag zu „De-Mail-Gateway ist gestartet„: Das BMI hat unter der Adresse poststelle@bmi-bund.de-mail.de den Zugang über De-Mail eröffnet. Die Pressemitteilung nutzt die Gelegenheit, das vor vier Jahren gesetzlich eingeführte Kommunikationsmedium noch einmal in aller Ausführlichkeit zu erläutern, denn:

Die Möglichkeit, per De-Mail zu kommunizieren, bieten immer mehr Unternehmen und Behörden in Deutschland an. Die Behörden des Bundes sind gesetzlich verpflichtet, ab 24. März 2016 einen Zugang für De-Mail zur Verfügung zu stellen. Um dieser Verpflichtung nachzukommen, werden die Bundesbehörden gegenwärtig schrittweise an das zentral betriebene De-Mail-Gateway des Bundes angeschlossen.

Die Euphorie des BMI wirkt aber etwas gedämpft, wenn es abschließend mitteilt:

Im Frühjahr 2016 ist eine Evaluierung der heute begonnenen Erprobungsphase vorgesehen, nach der über den weiteren Ausbau des De-Mail-Systems im BMI entschieden wird.

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

So auch zu den Möglichkeiten der „Sicherheitsbehörden“, die De-Mail-Kommunikation der Nutzer zu überwachen.

18. Wird das automatisierte Auskunftsverfahren nach § 112 des Telekommunikationsgesetzes (TKG) von Sicherheits- und Strafverfolgungsbehörden sowie sonstigen berechtigten Stellen auch zum Abruf von Kundendaten von De-Mail-Konten genutzt?
Wenn ja, in welchem Umfang (bitte entsprechend nach Jahr, Anzahl der Abrufe und Sicherheits- und Strafverfolgungsbehörden aufschlüsseln)?
Über das automatisierte Auskunftsverfahren nach § 112 des TKG werden derzeit keinerlei E-Mail-Dienstekennungen, mithin auch keine von DE-Mail-Anbietern, beauskunftet.

 

19. In welchem Umfang gelang bislang § 16 des De-Mail-Gesetzes zur Anwendung, nach dem Dritte von akkreditierten Dienstanbietern Auskunft über Namen und Anschrift von De-Mail-Nutzern beanspruchen können?
Da die De-Mail-Diensteanbieter nicht verpflichtet sind, der Bundesregierung hierüber Angaben zu machen, liegen der Bundesregierung hierzu keine Kenntnisse vor.

 

21. Wie soll eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG und Leitlinien des Bundesministeriums der Justiz und für Verbraucherschutz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vom 15. April 2015) künftig normenklar und technisch ausgeschlossen werden?
Der Gesetzentwurf zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten [BT-Drs. 18/5171] sieht keine Erfassung von Daten zu E-Mail-Kommunikation vor. Der E-Mail-Dienst De-Mail wird also entsprechend auch nicht erfasst.

 

24. Haben die De-Mail-Provider auch eine Schnittstelle zum Bundesnachrichtendienst oder anderen Sicherheitsbehörden eingerichtet, bzw. wurden sie dazu aufgefordert, entsprechende Zugänge zu ermöglichen?
Zwei der drei genannten De-Mail-Provider haben aufgrund ihrer Verpflichtung nach § 110 TKG und der Telekommunikations-Überwachungsverordnung eine Schnittstelle zu den berechtigten Stellen eingerichtet.

De-Mail-Anbieter sind Telekommunikationsdiensteanbieter. Sie betreiben „eine Telekommunikationsanlage, mit der öffentlich zugängliche Telekommunikationsdienste erbracht werden“, und haben als solche „ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation vorzuhalten und organisatorische Vorkehrungen für deren unverzügliche Umsetzung zu treffen“, § 110 Abs. 1 Nr. 1 TKG. Jeder De-Mail-Anbieter muss, mit anderen Worten, die Überwachung der von ihm abgewickelten Kommunikation durch die „Sicherheitsbehörden“ ermöglichen.

Der Kriterienkatalog des Bundesdatenschutzbeauftragten, den zu erfüllen nach § 18 Abs. 1 Nr. 4 und Abs. 3 Nr. 4 De-Mail-Gesetz Voraussetzung der Zulassung ist, formuliert es so:

Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen … (§ 113 TKG, § 14 Absatz 2 TMG). Dies muss dem Diensteanbieter möglich sein.
Weitere behördliche Auskunftsanordnungen bzw. Überwachungsanordnungen nach TKG, TKÜV, TMG und StPO müssen nach angemessener Prüfung zeitnah umgesetzt werden können.

Wie die Antwort der Bundesregierung deutlich macht, haben zwei der drei Anbieter „eine Schnittstelle zu den berechtigten Stellen eingerichtet“, die eine automatisierte Abfrage von Daten ermöglicht.

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

So auch zu den Fragen rund um die Verschlüsselung der De-Mail mittels PGP:

12. Wie bewertet die Bundesregierung die zwei Jahre nach Einführung erfolgte Nachbesserung in Punkto einer ab dem 20. April 2015 möglichen Ende-zu-Ende-Verschlüsselung, und sieht sie dadurch alle früheren Datenschutzkritikpunkte an De-Mail ausgeräumt (bitte begründen)?
Schon in der Vergangenheit konnten De-Mail-Nutzer ihre Dokumente auf dem bereits verschlüsselten Transportweg zusätzlich Ende-zu-Ende verschlüsseln. Seit dem 20. April 2015 ist von den De-Mail-Diensteanbietern die Möglichkeit zur Nutzung der Ende-zu-Ende-Verschlüsselung bei De-Mail stark vereinfacht worden. Dieses De-Mail ergänzende, zusätzliche Angebot ist aus Sicht der Bundesregierung begrüßenswert. Die mit Blick auf Datenschutz und Datensicherheit in der Vergangenheit vorgebrachten Forderungen nach zusätzlicher Sicherheit wurden dadurch auf nutzerfreundliche Art und Weise erfüllt. Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat die Einführung der Ende-zu-Ende-Verschlüsselung bei De-Mail in ihrer Pressemitteilung
vom 9. März 2015 ausdrücklich begrüßt.

 

13. Werden die De-Mail-Server auch als PGP-Keyserver genutzt?
Bei der Bereitstellung von PGP-Diensten durch die De-Mail-Diensteanbieter wird lediglich der in die Akkreditierung bereits einbezogene Öffentliche Verzeichnisdienst (ÖVD) um entsprechende Felder erweitert. Es gibt daher in diesem Kontext keinen eigenständigen PGP-Server.

 

15. Was passiert, wenn eine verschlüsselte amtliche Nachricht bei einem De-Mail-Nutzer eintrifft, dieser sie aber aus technischen Gründen nicht öffnen kann, weil er sein PGP-Passwort vergessen hat?
Für eine erfolgreiche Ende-zu-Ende-verschlüsselte-Kommunikation müssen sich beide Kommunikationspartner über die Verschlüsselung verständigen. Insoweit ergeben sich aus einer Nutzung der Ende-zu-Ende-Verschlüsselung innerhalb einer De-Mail-Kommunikation keine Besonderheiten. Auch im Fall, dass die Entschlüsselung beim Empfänger fehlschlägt, ist für diesen der Absender und ggf. auch der Betreff erkennbar, so dass der Empfänger praktisch die Möglichkeit hat, auf die Probleme hinzuweisen und ggf. eine erneute Zusendung oder die Informationsübermittlung auf einem anderen Kommunikationskanal zu vereinbaren.

Weiterlesen →

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Behörden, zur Ende-zu-Ende-Verschlüsselung, zum möglichen Datenzugriff durch Sicherheitsbehörden und zu vergleichbaren Projekten in anderen europäischen Ländern gelöchert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18/5440) sind höchst interessant, und gut für eine ganze Reihe Blogposts.

Wie etwa zu den der De-Mail vergleichbaren „elektronischen Zustelldiensten“ in anderen europäischen Ländern. Wie erwähnt, normiert die (hier so genannte) Vertrauensdienste-Verordnung, im offiziellen Kontext eIDAS-Verordnung geheißen („electronic identification
and authentication services“, vgl. Erwägungsgrund 10 in der englischen Fassung der Verordnung) in Art. 43 und 44 „elektronische Zustelldienste“ als „Vertrauensdienste“ und stellt Regelungen auf für ihre Eingruppierung als „qualifiziert“ mitsamt den hieran zu knüpfenden Rechtsfolgen.

Das lenkt den Blick über den nationalen Tellerrand hinaus auf europäische Pendants der De-Mail:

17. Welche elektronischen Zustelldienste bestehen nach Kenntnis der Bundesregierung in den übrigen Mitgliedstaaten der Europäischen Union, und welche davon sind mit De-Mail kompatibel?
Die De-Mail wird bisher als geschlossenes System der akkreditierten De-Mail-Diensteanbieter betrieben. Insofern kann grundsätzlich nicht von einer „Kompatibilität“ zu anderen Diensten gesprochen werden. Allerdings wurde und wird der Austausch von Nachrichten zwischen dem De-Mail-System und Zustelldiensten u. a. aus Frankreich („Lettre Recommandée en ligne“, La Poste), Österreich („Elektronische Zustellung“), Niederlande („BerichtenBox“) und Italien („PostaCertificata“) in mehreren Projekten z. T. in Testsystemen pilotiert. Eine Prüfung auf Gleichwertigkeit eines ausländischen Dienstes gemäß § 19 Absatz 2 De-Mail-Gesetz ist bisher nicht erfolgt. Die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-VO) regelt „Dienste für die Zustellung elektronischer Einschreiben“; der entsprechende Teil der eIDAS-VO tritt am 1. Juli 2016 in Kraft. (Qualifizierte) Zustelldienste werden nach der eIDAS-VO in entsprechenden Vertrauenslisten geführt. Wie im Zwischenbericht der Bundesregierung dargelegt, soll De-Mail ab Geltung der Regelungen zu elektronischen Zustelldiensten den Anforderungen der eIDAS-VO entsprechen und auf dieser Grundlage mit elektronischen Zustelldiensten anderer Mitgliedstaaten interoperabel werden.

Diese Systeme sind auch hier einmal vorzustellen — ebenso wie die dänische Lösung e-Boks und die schweizer IncaMail.