De-Mail ist ein Produkt des BSI. Die Anbieter werden vom BSI daraufhin überprüft, ob sie und ihre Dienstleistungen die von dieser Behörde erlassene Technische Richtlinie TR 01201 „De-Mail“ einhalten, und nur im positiven Fall als Anbieter zugelassen. Sie ist auch Aufsichtsbehörde über die akkreditierten Anbieter und hat entsprechende Kontrollrechte, §§ 2, 17 und 20 De-Mail-Gesetz.
Die Einbindung gerade des BSI in die als Massenkommunikation gedachte, nicht Ende-zu-Ende verschlüsselte elektronische Kommunikation großer Bevölkerungsteile wurde auch während der Gesetzgebung kritisch gesehen. Denn das BSI ist nicht nur der nette technikversierte Freund und Helfer im Internet, der als „BSI für Bürger“ vor Phishing warnt und Virenschutz propagiert. Das BSI ist zugleich eine dem für die „Innere Sicherheit“ zuständigen Bundesinnenministerium BMI unterstellte Behörde. Sie hat nicht nur die Aufgabe, Gefahren für die Sicherheit der Informationstechnik des Bundes“ abzuwehren und „Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen“ zu sammeln und auszuwerten. Sie ist auch verpflichtet zur
a) der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b) der Verfassungsschutzbehörden bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder anfallen,
c) des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
Die Liberale Gisela Piltz nannte das BSI daher im Bundestag eine „allgemeine Schnüffelbehörde im virtuellen Raum“, als ihm in § 5 BSI-Gesetz auch die Befugnis zugesprochen wurde, „Protokolldaten, die beim Betrieb von Kommunikationstechnik
des Bundes anfallen“ zu speichern und auszuwerten. Piraten-Politiker Patrick Breyer brachte diese „Surfprotokollierung durch das BSI“ in seinem Aufsatz in der NJW 18/2010 in Verbindung mit der Vorratsdatenspeicherung:
Unter nichtigen Voraussetzungen ermächtigt § 5 BSIG das BSI, aufzuzeichnen, wer mit welchen Bundesbediensteten und mit wem diese z.B. per E-Mail kommuniziert haben, wer sich welche Internetseiten des Bundes angesehen hat und welche Seiten Bundesbedienstete ihrerseits im Internet abgerufen haben.
Diese pauschale und globale Vorratsdatenspeicherung zur „Abwehr von Gefahren für die Informationstechnik des Bundes“ ist nicht nur der Sache nach überflüssig; die Länder und Privatpersonen betreiben ihre Internetserver ohne vergleichbare Ermächtigungen ebenso sicher. § 5 BSIG ist auch unvereinbar mit den Grundsätzen des Verfassungsgerichtsurteils, denn die Datenspeicherung soll direkt bei einer staatlichen Stelle erfolgen und sogar die aufgerufenen Internetseiten erfassen.
Das BSI hat also eine etwas unglückliche Doppelrolle. Piltz fand im Gesetzgebungsverfahren zum Bürgerportalgesetz, dem Vorläufer des De-Mail-Gesetzes, bemerkenswert klare Worte:
Damit geht die Bundesregierung weiter auf dem Weg, das Bundesamt für Sicherheit in der Informationstechnik, BSI, schleichend zu einer Sicherheitsbehörde mit erheblichen Eingriffsbefugnissen umzubauen. Zugleich soll das BSI auch als zentraler Dienstleister im Bereich der IT-Technik von Bund und Ländern eine immer kritischere Rolle einnehmen. Das BSI soll die Technik für die öffentlichen Stellen bereitstellen, die IT-Sicherheit kontrollieren und zudem auch noch mit Hoheitsbefugnissen ausgestattet die Teilnehmer an den IT-Systemen überwachen. Mit dem parallel eingebrachten Gesetzentwurf für ein neues BSI-Gesetz soll diese Behörde unter anderem die Befugnis erhalten, jede elektronische Kommunikation zwischen Behörden und Bürgern ebenso wie Unternehmen aufzuzeichnen und auszuwerten. Im Zusammenspiel mit den Befugnissen aus dem Bürgerportalgesetz verfolgt die Bundesregierung also weiterhin ihre Pläne, das BSI zu einer Art NSA umzugestalten, zu einer NSA allerdings, die zugleich noch auf dem Markt auftritt und dort Wirtschaftsunternehmen im IT-Bereich Konkurrenz macht. Das ist eine sehr unglückliche Verquickung.
Und auch die Grüne Silke Stokar von Neuforn warnte:
Wir beobachten den Ausbau des BSI mit immer größerer Sorge. Hier entsteht eine Behörde, die immer mehr Zugriff auf Daten erhält und die sich gleichzeitig immer stärker einer Kontrolle entzieht.
Dass diese Befürchtungen, wie auch die Kritik des Chaos Computer Clubs CCC, nicht unberechtigt waren, hat nun Netzpolitik.org aufgedeckt. Das BSI wurde in den Jahren 2007 bis 2009 vom BMI verpflichtet, an der Entwicklung des so genannten Staatstrojaners für das BKA mitzuwirken, also an der Entwicklung genau jeder Schadsoftware, zu deren Abwehr die Behörde in erster Linie berufen ist. Ein Problem war das für das BSI in erster Linie aus Publicity-Gesichtspunkten:
Um das „Vertrauen der Öffentlichkeit in die Leistungen des BSI nicht zu beeinträchtigen“, wollte man „ein negatives Bild in Öffentlichkeit und Fachkreisen verhindern“. Schon damals sah man „das Vertrauen in BSI-Produkte (z. B. Sicherheits-CDs), aber auch in die Integrität von BSI-Mitarbeitern […] bereits in Mitleidenschaft gezogen“.
Um weitere schlechte Publicity zu verhindern, sollte „in der Öffentlichkeit weiterhin dargestellt werden […], dass [das] BSI das BKA nicht bei der Durchführung von Online-Durchsuchungen unterstützt“. Dazu sollte „eine reaktive Sprachregelung für Art und Umfang der Mitwirkung des BSI“ entwickelt werden.
Diese Sprachregelung wirkt bis heute, wenn das BSI verlautbaren lässt:
Entsprechend seiner Ausrichtung als präventive IT-Sicherheitsbehörde wirkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu keiner Zeit am operativen Einsatz so genannter Staatstrojaner-Software, bzw. Remote Forensic Software mit.
Das BSI liefert dem BKA die Waffen, wäscht seine Hände aber in Unschuld, wenn das BKA diese dann auch tatsächlich einsetzt. Denn es wirkt ja „zu keiner Zeit am operativen Einsatz“ der Schadsoftware mit (Hervorhebung nur hier).
Das BSI räumte selbst ein:
Ungeachtet aller Aussagen von BKA, BSI und BMI fällt es vielen Bürgern, IT- Experten und Medienvertretern schwer, an eine strikte Aufgaben- und Rollentrennung zwischen BKA und BSI zu glauben.
Das färbt auch ab auf die De-Mail, die nicht nur bewusst nicht Ende zu Ende verschlüsselt ist. Sondern die jeder Anbieter nach der vom BSI vorgegebenen Technischen Richtlinie TR 01201 (Teil 3.1, S. 32 und 45) sogar öffnen und auswerten muss – in der Sprachregelung des BSI aber lediglich zur „Prüfung auf Schadsoftware“. Dass die Anbieter das leicht etwas weiter verstehen, hat ausgerechnet die Telekom schon einmal erkennen lassen.
Das Vertrauen in das BSI und seine Produkte und Mitarbeiter ist tatsächlich „in Mitleidenschaft gezogen“. Die Einschätzung, es sei „eine Art NSA“, wirkt aber doch noch übertrieben.