Verschlüsseln mit De-Mail?

Veröffentlicht am von

Christiane Schulzki-Haddouti berichtet auf Golem über die Ergebnisse der „Datenschutz-Umfrage bei allen Gemeinden in Baden-Württemberg“, die der Landesbeauftragte für den Datenschutz und die Informationsfreiheit am 4. November 2019 vorstellte. Das Bewusstsein für die Notwendigkeit und die Möglichkeiten einer besseren Datensicherheit sei danach noch — nunja, noch nicht überall in dem gewünschten Ausmaß zu erkennen. Die „häufig ungenügende Zustände“ sollten jetzt „dringend nachgebessert werden“. Vor allem Datenträger mit besonders sensiblen Daten („Artikel-9-Daten“) seien zu verschlüsseln.

Der Beitrag hat auf Golem die wenigstens missverständliche Überschrift

Kommunen verschlüsseln fast nur mit De-Mail

erhalten. Der Eindruck, De-Mail sei ein Verschlüsselungs-Tool, ist aber sicherlich nicht gewollt. Gemeint ist tatsächlich die gesicherte Datenübertragung, und zwar zwischen den Gemeinden wie im Kontakt zum Bürger. Während sich die Gemeinden im Mailverkehr miteinander auf das gesonderte Behördennetz verlassen:

Überdies gaben nur über 50 Prozent der Gemeinden an, über ein gesichertes Behördennetz „Ende-zu-Ende-verschlüsselt“ zu kommunizieren. Nur neun Prozent nutzen dafür auch eine Transportverschlüsselung. [Der Landesbeauftragte] weist darauf hin, dass die Kommunikation über ein gesichertes Behördennetz keine Ende-zu-Ende-Verschlüsselung sei: „Die Daten werden dabei nur während der Übertragung, nicht aber auf den beteiligten Servern verschlüsselt gespeichert. Dadurch ist grundsätzlich kein Schutzniveau erreicht, das für die regelmäßige Übertragung von Artikel-9-Daten ausreichend ist.“

… setzen sie im Kontakt zum Bürger ganz überwiegend auf De-Mail:

Überdies bieten nur 30 Prozent der Gemeinden Bürgern die Möglichkeit, mit ihnen sicher mit Ende-zu-Ende-Verschlüsselung per E-Mail zu kommunizieren. Am häufigsten bieten sie die De-Mail an. Nur vier Gemeinden gaben an, dass sie ihren Bürgern auch eine sichere Kommunikation über OpenPGP anbieten.

Es ist fraglich, ob die Gemeinden mit der Nutzung von De-Mail auch für den Landesbeauftragten hinreichend auf der sicheren Seite sind. Er kritisiert ja gerade, dass es für die besonders sensiblen „Artikel-9-Daten“ nicht genüge, wenn diese „nur während der Übertragung, nicht aber auf den beteiligten Servern verschlüsselt gespeichert“ sind. Das aber ist die Grundkonzeption der De-Mail. Die echte Ende-zu-Ende-Verschlüsselung erfordert auch bei De-Mail die Nutzung von PGP, wenngleich diese durch inzwischen freigegbenes Plugin erleichtert wird.