Die PRPraxis ist ein monatlich erscheinendes Heft mit Praxistipps zum Thema Presse- und Öffentlichkeitsarbeit. Nachdem in einer der letzten Ausgaben ausschließlich positiv über den geplanten De-Mail-Dienst berichtet wurde, hatte ich nun die Gelegenheit, einen bewusst kritischen Blick auf die De-Mail zu werfen. Da die Pilotphase des Projekts gerade gestartet ist, hat das Thema verstärkte Aktualität.
In der November-Ausgabe ist ein Interview mit mir zu dem Thema erschienen. Da es gekürzt werden musste, hier der Vollständigkeit halber alle meine Antworten auf die Fragen:
DeMail kommt ab 2010: Wie sicher ist das neue System
Das fragt PRPraxis einen Experten. Bastian Dietz beschäftigt sich als Referent für Interne Kommunikation mit dem Thema. Und er ist skeptisch. Die Euphorie aus Teilen von Politik und Wirtschaft hinsichtlich Transparenz und Sicherheit sieht er kritischer als in den Medien größtenteils beschrieben.
Beim Stichwort DeMail scheiden sich die Geister. Es herrscht Uneinigkeit – auch in der Politik. Warum?
Es ist unstrittig, dass die Kommunikation im Internetzeitalter einfacher werden muss. Unter dem Stichwort e-Government gibt es dafür z.B. zahlreiche Ideen von der Beantragung eines Anwohnerparkausweises, über die Ummeldung eines Kfz bis hin zum Widerspruch in einem Rentenverfahren. Warum muss man sich hierfür oft einen ganzen Tag Urlaub nehmen, wenn es mit einer E-Mail auch getan wäre? Die Kommunikationsdaten sind dabei bei Sender und Empfänger abgespeichert. De-Mail geht aber einen Schritt weiter: Eine dritte Stelle, die den De-Mail-Service betreibt, wird eingebunden, kennt Absender und Empfänger sowie den Inhalt der Kommunikation. Das geht vielen zu weit.
Was kritisieren Datenschützer?
Die Hauptkritik ist, dass zwischen Sender und Empfänger eine dritte Stelle geschalten wird. Dies ist im Fall von De-Mail T-Systems, die Tochter der Telekom, die erst vor Kurzem mit einem Datenskandal aufgefallen ist. Geplant ist aber, dass sich verschiedene Provider vom Bundesamt für Sicherheit in der Informationstechnik als De-Mail-Betreiber akkreditieren lassen können. Hier entsteht eine „Datenschutz-Sollbruchstelle“. Daneben wird befürchtet, dass staatliche Stellen De-Mail nutzen, um Bürger verstärkt zu überwachen, Bundestrojaner zu verschicken oder De-Mail zur Kommunikation vorschreiben, wie wir das vom ELSTER-Verfahren her kennen.
Und wo und wann ist der Einsatz von DeMail sinnvoll?
Es gibt viele Fälle, in denen ich die Inhalte meiner E-Mail-Kommunikation schützen möchte. Zum Beispiel beim Versand von Bewerbungen, wenn ich meinem Bankberater Unterlagen zusende oder wenn ich meinen Rentenantrag einreiche. In all diesen Fällen bräuchte ich aber keine De-Mail, denn es gibt seit Jahren gute Verfahren wie z.B. Pretty Good Privacy (PGP), die eine weitgehend vertrauliche Kommunikation ermöglichen. Interessanter ist es, wenn es darum geht, Dokumente online rechtsverbindlich zu machen. Dies ist aber nicht unbedingt eine Frage der Technik, sondern der Gesetzgebung. Wenn ich bei eBay etwas für 1000 Euro ersteigere, kommt ein Vertrag zustande – ganz ohne De-Mail. Eine Anwohnerparklizenz für 35 Euro kann ich aber nicht ohne weiteres online beantragen. Hier ist das Recht im Alltag weiter als in der Verwaltung.
Und wie sicher wie vertrauenswürdig ist DeMail?
Je größer der Kreis der Stellen ist, die in eine Kommunikation einbezogen werden, desto größer ist die Gefahr, dass mit den Informationen Missbrauch geschieht. Bei De-Mail sind es neben Sender und Empfänger auch die Internet-Service-Provider, die De-Mail-Anbieter und staatliche Stellen. Eine gesunde Portion Vorsicht kann hier nicht schaden.
Wo genau sehen Sie Gefahren, Daten und Informationen missbraucht werden können?
Viele befürchten einen Missbrauch staatlicher Stellen, die mit Vorratsdatenspeicherung, Bundestrojaner und Kfz-Kennzeichen-Scanning bereits bei der Hand sind. Aber auch Versicherungen oder Banken interessieren sich z.B. für Ratingzwecke für persönliche Daten. Neben „normalen“ Kriminellen wird der Bereich der Wirtschaftsspionage – vor allem im Mittelstand – stets unterschätzt. Und schließlich kann immer noch etwas schief gehen, wie wir kürzlich in England gelernt haben, wo CDs mit Tausenden von Sozialversicherungsdaten einfach in einem Zug vergessen wurden. Der De-Mail-Dienst sammelt meine komplette wichtige Kommunikation an einer Stelle, sogar das Hinterlegen von bedeutsamen Dokumenten in einer Art eSafe ist geplant. So praktisch dies sein kann: Das Vorhalten aller meiner wichtigen Daten an einem Ort, den ich noch dazu nur begrenzt überwachen kann, ist einfach keine gute Idee – weder für eine Firma noch für eine Privatperson.
Ist DeMail für den Privatgebrauch zu empfehlen oder wird es auf eine behördliche Sonderstruktur hinauslaufen?
Bereits jetzt plant die Deutsche Post einen eigenen von De-Mail unabhängigen Service, da sie mit einem flächendeckenden Einsatz von De-Mail einen Verlust von bis zu 35 % im Briefgeschäft befürchtet (WiWo 4.6.09). Daran sieht man: De-Mail könnte bei breiter Akzeptanz die Möglichkeit bieten, rechtssicher und vor allem kostengünstig zu kommunizieren. Für Wirtschaft und Verwaltung sind Kosteneinsparungen von bis zu 1,5 Milliarden Euro jährlich prognostiziert. Hier entsteht wohl für alle Seiten ein gewisser Nutzungsdruck, im Geschäftsverkehr. Meine Digitalfotos vom Wochenendausflug muss ich aber bestimmt nicht via De-Mail versenden.
Und der Spam-Schutz – ist das ein ausschlaggebendes Argument für DeMail?
Alleine deshalb, weil De-Mail-Adressen neu sein werden, werden sie anfangs weniger Spam erhalten. Auch die Technik hinter De-Mail, also dass Absender und Empfänger eindeutig identifiziert werden können, kann eine Spam-Hürde sein. Unterm Strich ist eine De-Mail aber auch nur eine E-Mail und keine komplett neue Technologie. Es wäre deshalb leichtsinnig zu glauben, dass Spam damit langfristig eingedämmt werden könnte.
Wie wird das Sicherheitsniveau aussehen?
Die De-Mail-Anbieter müssen bestimmte Standards einhalten und werden vom Bundesamt für Sicherheit in der Informationstechnik akkreditiert. Wer eine De-Mail-Adresse nutzen möchte, weist seine Identität bei Banken oder Postämter nach und erhält dann vom De-Mail-Anbieter seine Adresse. Nutzer werden sich beim De-Mail-Dienst mit Nutzername und Passwort anmelden. Dabei ist das Sicherheitsniveau der De-Mail-Adresse einstellbar, so kann ich einfache Mails an Freunde in der niedrigsten Stufe versenden, für eine Mail an die Bank benötige ich aber eine höhere Sicherheitsstufe und muss z.B. eine TAN-Nummer zusätzlich eingeben. Habe ich aber an meinem Rechner Sicherheitsprobleme durch Viren, Spyware, Lücken in meinem Browser oder fängt jemand meine SMS ab, ist die De-Mail genau so unsicher wie aktuelle Verfahren.
Wer sollte DeMail auf jeden Fall nutzen?
Die Frage ist eher, wer De-Mail nutzen muss. Bürger könnten sich dem Druck von staatlichen Stellen, aber auch von Banken, Versicherungen oder des Arbeitgebers gegenüber sehen, De-Mail zu nutzen. Das ist darin begründet, dass die De-Mail Kosteneinsparungen bringen soll. Das ist keine Utopie: Etwas Ähnliches kennen Gewerbetreibende schon von der Verpflichtung, ihre Vorsteuererklärung zwingend über das ELSTER-Verfahren dem Finanzamt zu melden.
Welche technischen Voraussetzungen braucht der Nutzer?
Es war lange im Gespräch, Software-Zertifikate oder Kartenlesegeräte im Kontext von De-Mail zu verwenden. Das Bundesinnenministerium erklärte aber kürzlich, dass dies nicht geplant sei. Die technischen Voraussetzungen beschränken sich also wohl auf einen Computer. Unklar ist aber, ob der De-Mail-Dienst kostenlos sein wird, schließlich müssen die De-Mail-Provider ja auch ihr wirtschaftliches Interesse befriedigen. Geschäftsmodellen mit ePorto, Grundgebühr oder Werbung wird hier gerade die höchste Aufmerksamkeit geschenkt.
Und was ist Ihre Empfehlung in der Diskussion?
Gerade startet der De-Mail-Großversuch in Friedrichshafen und ich bin gespannt, was wir daraus lernen werden. Persönlich glaube ich aber, dass das System zu kompliziert gedacht ist. Ein Extrembeispiel: In den USA reicht als Autorisierung bei manchen Unternehmen ein Facebook-Account mit mehr als 1000 Kontakten. In Deutschland versuchen wir dagegen gerade den Bürokratismus der 50er Jahre mit einem staatlichen elektronischen Postsystem ins Internetzeitalter zu überführen.
Was uns insgesamt weiter bringen würde, wären verbesserte Persönlichkeits- und Datenschutz-Gesetze. Nur wenn der Staat das Vertrauen der Bürger in sich selbst und in die elektronische Kommunikation stärkt, wird letztlich auch etwas wie ein De-Mail-System die nötige Akzeptanz erhalten.
Comments on this entry are closed.