bader.network

So einfach wie E-Mail,
so sicher wie Papierpost.
Bürgerinnen
und Bürger
Behörde
Anbieter
Unternehmen
Anbieter
Bürgerinnen
und Bürger
www.cio.bund.de
Anbieter
Unternehmen
Behörde
www.de-mail.de
Bleiben Sie auf dem Laufenden
Mit dieser Broschüre möchten wir Sie über den aktuellen Stand des Projektes
De‐Mail informieren. Weitere Informationen zu De‐Mail, über 70 Antworten
auf „Häufig gestellte Fragen“ und den De‐Mail‐Newsletter veröffentlicht das
Bundesministerium des Innern auf der Internetseite www.de‐mail.de.
Privatpersonen, Unternehmen und öffentliche Einrichtungen, die De‐Mail‐
Dienste nutzen wollen, finden Informationen sowie weiterführende Hinweise
zu De‐Mail und zum Schutz von IT‐Systemen und Daten auf der Internet­
seite www.bsi‐fuer‐buerger.de.
Unternehmen und öffentliche Einrichtungen, die De‐Mail‐Dienste anbieten
wollen, finden Fachinformationen wie die Technischen Richtlinien und die
­Listen der zertifizierten De‐Mail‐Prüfstellen und Auditoren auf der Internet­
seite www.bsi.bund.de.
Informationen über De‐Mail‐konforme Produkte stellen die zugelassenen De‐
Mail‐Anbieter auf ihren eigenen Internetseiten bereit. Eine Liste dieser akkre‐
ditierten De‐Mail‐Anbieter finden Sie auf der Internetseite www.bsi.bund.de.
2 | www.de‐mail.de
So einfach wie E-Mail,
so sicher wie Papierpost.
Inhalt
Bleiben Sie auf dem Laufenden
2
und Behörden
4
Verschlüsselt, geschützt, nachweisbar – was heißt das genau?
7
Mehr Schutz für Ihre Daten
8
Nachweise und Versandmöglichkeiten
Die Vorteile von De‐Mail für Privatpersonen, Unternehmen
Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau?
De‐Mail im Detail:
Mehr Sicherheit schon beim Log‐in
6
9
10
Ende‐zu‐Ende‐Verschlüsselung und elektronische Signatur
Staat und Wirtschaft definieren gemeinsam den Rahmen. 11
12
Die Wirtschaft setzt De‐Mail um.
Unterstützung bei der Einführung von De‐Mail für Behörden
und Unternehmen
13
Impressum
15
Informationen zur Zulassung von De‐Mail‐Anbietern
14
www.de‐mail.de | 3
Die Vorteile von De-Mail für Privatpersonen,
Unternehmen und Behörden
einfach wie E-Mail
geschützte
Daten
verbindlich und
nachweisbar
immer & überall
kostensparend
vertrauliche
Korrespondenz
Vorteile von De‐Mail für Privatpersonen
Mit De‐Mail können viele Vorgänge verschickt werden, für die bisher nur der
Postweg infrage kam. Das hat viele Vorteile für Privatpersonen, Unternehmen
und Behörden:
•
•
De‐Mails sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet
verschlüsselt.
Sowohl die Identität der Kommunikationspartner als auch die Zustellung
der De‐Mails können zweifelsfrei nachgewiesen werden. Das ist wichtig
für Sender und Empfänger. Zugleich wirkt die Nachweisbarkeit der Inter­
netkriminalität entgegen, da die Absender von Spam‐ oder Phishing‐
Mails nicht mehr anonym bleiben.
•
•
Privatpersonen können Geschäftliches und Behördengänge schnell und
bequem unabhängig von Öffnungszeiten und Aufenthaltsort erledigen.
Unternehmen und Behörden können viele Vorgänge vollständig elektro­
nisch, d. h. ohne Medienbrüche, bearbeiten - auch rechtlich relevante
­Arbeitsschritte, die eine nachweislich fristgerechte Zustellung erfordern.
Hierdurch werden viele Effizienzsteigerungen in Wirtschaft und ­Verwaltung
ermöglicht. Hinzu kommen Kosteneinsparungen bei Papier und Porto.
Kurz: Mit De‐Mail sparen Sie Zeit und Geld.
4 | www.de‐mail.de
einfache Integration
geschützte
Daten
verbindlich und
nachweisbar
ohne Medienbruch
kostensparend
viele
Einsatzmöglichkeiten
Vorteile von De‐Mail für Unternehmen und Behörden
•
De‐Mail basiert auf heute weit verbreiteten E‐Mail‐Technologien. Vorhan­
dene Schnittstellen können daher ohne hohe Integrationsaufwendungen
für De‐Mail genutzt werden.
•
De‐Mail erfordert keine besonderen Kenntnisse – es ist so einfach wie
­E‐Mail. Im einfachsten Fall verwenden Sie Webanwendungen, die den be­
kannten E‐Mail‐Diensten sehr ähnlich sind und keine weiteren Installa­
tionen von Hardware oder Software an Ihrem Rechner erfordern. Oder Sie
schließen die E‐Mail‐Infrastrukturen Ihrer Organisation über ein „Gateway“
an De‐Mail an, sodass vorhandene E‐Mail‐Clients verwendet werden können.
•
Für alle De‐Mail‐Anbieter gelten die gleichen hohen Anforderungen an IT‐
Sicherheit und Datenschutz. Sie haben daher die Gewähr, bei jedem De‐
Mail‐Anbieter ein einheitliches und geprüftes Sicherheitsniveau zu erhalten.
•
Sie können sicher sein, dass Sie alle De‐Mail‐Nutzer zuverlässig erreichen.
Es spielt keine Rolle, ob diese ein Konto bei Ihrem De‐Mail‐Anbieter
­haben oder bei einem anderen, denn die Systeme aller De‐Mail‐Anbieter
sind miteinander verbunden.
www.de‐mail.de | 5
Unverschlüsselt, ungeschützt, ​
ohne Nachweis – was heißt das genau?
Mitlesen
Manipulation
Spam und
Phishing
keine gesicherte
Identität
Absender
Ab
d
keine
Nachweisbarkeit
Empfänger
E
fä
Gefahren bei der Nutzung unverschlüsselter E‐Mails
Bisher werden in Deutschland über 95 Prozent aller E‐Mails unverschlüsselt
von E‐Mail‐Konten versendet. Das bedeutet:
•
Unverschlüsselte E‐Mails können ohne großen Aufwand auf ihrem Weg
durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem
Inhalt verändert werden.
•
Absender und Empfänger können nie vollständig sicher sein, mit wem sie
•
A bsender wissen nicht zuverlässig, ob die gesendete E‐Mail tatsäch­
gerade kommunizieren.
lich beim Empfänger angekommen ist und können es daher auch nicht
nachweisen.
•
Der Anteil von SPAM, d. h. von unerwünschten, massenhaft versendeten
E‐Mails eines schwer oder gar nicht ermittelbaren Absenders, am E‐Mail‐
Verkehr hat in den letzten Jahren stark zugenommen.
•
Immer häufiger werden Zugangsdaten zu E‐Mail‐Konten ausgespäht (soge­
nanntes „Phishing“, das in der Regel zum Identitätsdiebstahl genutzt wird).
6 | www.de‐mail.de
Verschlüsselt, geschützt, nachweisbar –
was heißt das genau?
verschlüsselte
Transportwege
geschützte
Daten
geschlossener
Nutzerkreis
Identifizierung aller
Teilnehmer
Absender
Ab
d
verbindlich und
nachweisbar
Empfänger
E
fä
Schutz bei der Nutzung verschlüsselter De‐Mails
De‐Mails haben – ohne zusätzliche Installationen – wichtige Sicherheitsmerk‐
male, die der herkömmlichen E‐Mail fehlen:
•
De‐Mails können nicht von Dritten abgefangen und verändert werden,
•
Versender und Empfänger einer De‐Mail sind stets nachvollziehbar, weil
weil sie auf ihrem Weg durch das Internet immer verschlüsselt sind.
die Nutzer erst dann ein De‐Mail‐Konto erhalten, wenn sie sich vorher
eindeutig identifiziert haben.
•
Nutzer erhalten auf Wunsch Versand‐ und Eingangsnachweise für ihre
•
SPAM wird verhindert, weil die Absender eindeutig identifiziert sind.
•
De‐Mails („elektronisches Einschreiben“).
Phishing und Identitätsdiebstahl werden bekämpft, weil sich Nutzer mit
einem doppelt gesicherten Verfahren anmelden können (siehe Seite 9).
Aufgrund dieser Sicherheitsmerkmale stärkt und unterstützt De‐Mail die
Möglichkeiten der Nutzer, ihre persönlichen Daten wirksam zu schützen.
www.de‐mail.de | 7
Mehr Schutz für Ihre Daten
De‐Mail ist ein wichtiges Instrument zur Verbesserung des Selbstdaten­
schutzes und der Datensicherheit. Dafür sorgen folgende Faktoren:
•
Obligatorische Transportverschlüsselung: Die von Ihnen übermittelten
•
Optionale Sicherheitskomponenten: De‐Mail unterstützt den Einsatz zu­
Daten sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet
immer verschlüsselt.
sätzlicher Sicherheitskomponenten wie Ende‐zu‐Ende‐Verschlüsselung
oder Signatur.
•
Hohe Anforderungen an die technische und organisatorische Sicherheit
der De‐Mail‐Anbieter: Das am 3. Mai 2011 in Kraft getretene De‐Mail‐­
Gesetz regelt die Mindestanforderungen an einen sicheren elektronischen
Nachrichtenaustausch. Darüber hinaus sorgt es für ein geregeltes Ver­
fahren zur Prüfung dieser Mindestanforderungen, die für alle De‐Mail‐
Anbieter in gleicher Weise gelten.
•
Zertifizierter Datenschutz: Die De‐Mail‐Anbieter müssen durch ein
­Datenschutzzertifikat des Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit (BfDI) umfassende Maßnahmen zum Schutz per­
sonenbezogener Daten belegen.
Mit De‐Mail können Sicherheit und Datenschutz beim Austausch elektroni‐
scher Nachrichten von einem heute flächendeckend geringen Niveau auf ein
flächendeckend hohes Niveau angehoben werden.
8 | www.de‐mail.de
De-Mail im Detail
Mehr Sicherheit schon beim Log-in
Für die Anmeldung an einem De‐Mail‐Konto gibt es zwei Anmeldeverfahren:
•
Für das „normale“ Sicherheitsniveau reicht die Anmeldung mit Ihrem
­Benutzernamen und Ihrem Passwort, wie Sie es von E‐Mail‐Anwendungen
kennen. Man spricht in diesem Fall von Authentifizierung durch Wissen.
•
Für das „hohe“ Sicherheitsniveau bzw. die sichere Anmeldung setzen Sie
Ihren Benutzernamen, Ihr Passwort und einen „Token“ ein, d. h. einen Ge­
genstand. Das kann der neue Personalausweis sein, eine Signaturkarte
oder andere zugelassene Verfahren, z. B. auf Basis von USB‐Sticks oder
Mobiltelefonen (etwa das mTAN‐Verfahren, bei dem eine SMS mit zufällig
generierter Zahlenkombination an Ihr Mobiltelefon geschickt wird und Sie
diese TAN bei der Anmeldung am De‐Mail‐Konto eingeben). Wird ein
Token eingesetzt, spricht man von einer Zwei‐Faktor‐Authentifizierung
durch Wissen und Besitz. Die De‐Mail‐Anbieter können beliebig viele Ver­
fahren für diese sichere Anmeldung anbieten, müssen aber mindestens
zwei vorsehen und in jedem Fall das Verfahren mit dem neuen Personal­
ausweis. Welche Art von Token Sie für die Anmeldung an Ihrem De‐Mail‐
Konto nutzen, hängt von Ihren persönlichen Vorlieben ab.
Die Anmeldung mit dem „hohen“ Sicherheitsniveau ist vom Gesetzgeber
als Standard für Ihren Zugang zum De‐Mail‐Konto vorgesehen und wird für
die meisten De‐Mail‐spezifischen Versandoptionen benötigt. Auf Ihr Ver­
langen kann der De‐Mail‐Anbieter Ihnen den Zugang zum De‐Mail‐Konto
auch mit Benutzername und Passwort eröffnen. In diesem Fall stehen Ihnen
die Grundfunktionalitäten von De‐Mail zur Verfügung.
www.de‐mail.de | 9
Nachweise und Versandmöglichkeiten
Eine Standard‐De‐Mail – bei der keine zusätzlichen De‐Mail‐Versandoptionen
gewählt wurden – ist auf ihrem Weg durch das Internet verschlüsselt. Die
Nachrichteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/­
Empfängeradresse, Versandzeitpunkt usw.) sind durch die Verschlüsselung
vor dem Mitlesen und gegen Veränderungen durch Dritte geschützt. Zudem
sind sowohl Absender als auch Empfänger eindeutig identifiziert.
Bereits eine Standard‐De‐Mail hat ein hohes Maß an Verbindlichkeit und kann
für zahlreiche Anwendungsfälle genutzt werden.
Zusätzlich zu dieser Standard‐De‐Mail kann der Nutzer eine oder mehrere der
folgenden Versandoptionen wählen:
•
Versandbestätigung: Der Absender erhält eine von seinem De‐Mail‐Anbieter
qualifiziert elektronisch signierte Bestätigung, dass er diese Nachricht ver­
schickt hat.
•
Bestätigung des Versands mit hohem Authentisierungsniveau: Absen­
der und Empfänger erhalten eine vom De‐Mail‐Anbieter des Absenders
qualifiziert elektronisch signierte Bestätigung, dass der Absender mit
hohem Authentisierungsniveau angemeldet war, als er diese De‐Mail
verschickt hat.
•
Eingangsbestätigung: Absender und Empfänger erhalten eine vom De‐Mail‐
Anbieter des Empfängers qualifiziert elektronisch signierte Bestätigung,
dass diese De‐Mail im Postfach des Empfängers eingegangen ist.
In allen drei Fällen umfasst die Signatur des De‐Mail‐Anbieters alle Nach­
richteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/Empfän­
geradresse, Versandzeitpunkt usw.). Sie erhalten dadurch einen belastbaren
Nachweis für Ihre elektronisch übermittelte Nachricht.
10 | www.de‐mail.de
De-Mail im Detail
Darüber hinaus können Sie – zum Beispiel bei besonders vertraulich zu
behandelnden Inhalten – eine weitere Sicherheitsoption wählen:
•
Persönlich: Der Absender legt fest, dass der Empfänger die Nachricht nur
lesen kann, wenn er sich wie der Absender mit hohem Authentisierungs‐
niveau angemeldet hat.
Die verschiedenen Versandarten und Bestätigungen kombinieren Sie von
Fall zu Fall je nach Zweck bzw. Inhalt Ihrer De‐Mail.
Ende-zu-Ende-Verschlüsselung und elektronische Signatur
Wenn Sie weitere Sicherheitskomponenten einsetzen möchten, können Sie
Ihre Nachrichten zusätzlich mit eigenen Komponenten qualifiziert elek­
tronisch signieren oder Ende‐zu‐Ende verschlüsseln. Die De‐Mail‐Anbieter
sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem die für die
­Verschlüsselung erforderlichen öffentlichen Schlüssel bzw. Verschlüsse­
lungszertifikate hinterlegt werden können. Hierdurch wird der Einsatz von
Ende‐zu‐Ende‐Verschlüsselung erheblich vereinfacht.
www.de‐mail.de | 11
Staat und Wirtschaft definieren gemeinsam
den Rahmen. Die Wirtschaft setzt De-Mail um.
Lediglich die Rahmenbedingungen für den sicheren Nachrichtenaustausch
im Internet über De‐Mail werden – unter enger Einbindung der Wirtschaft –
vom Staat geschaffen. Die Umsetzung von De‐Mail in Form konkreter Pro­
dukte erfolgt durch Unternehmen, die sich an diesen Rahmen halten.
Die grundlegenden Anforderungen an Sicherheit, Funktionalität und Inter­
operabilität wurden vom Bund gemeinsam mit der Wirtschaft erarbeitet und
in Form von technischen Richtlinien festgeschrieben. Die Einhaltung dieser
Richtlinien durch De‐Mail‐Anbieter wird in einem gesetzlich geregelten Ak­
kreditierungsverfahren geprüft.
Das Angebot von De‐Mail‐Diensten erfolgt durch miteinander im Wettbewerb
stehende Unternehmen, die sich auf Grundlage des einheitlichen Rahmens
durch Zusatzangebote voneinander abgrenzen können. De‐Mail ist damit
die Basis einer flächendeckenden und gleichzeitig wettbewerbsfreundlichen
Infrastruktur für eine sichere elektronische Kommunikation.
Zugelassene De‐Mail‐Anbieter erkennen Sie übrigens an dem folgenden
Siegel, das durch das Bundesamt für Sicherheit in der Informationstechnik
vergeben wird:
12 | www.de‐mail.de
Unterstützung bei der Einführung von
­De-Mail für Behörden und Unternehmen
2011 hat das Kompetenzzentrum (CC De‐Mail)
zahlreiche Behörden aus der Bundes‐, Landes‐
und Kommunalverwaltung und Unternehmen
bei der Anbindung an De‐Mail sowie der Integra­
tion von De‐Mail in ihre bestehenden Prozesse
unterstützt.
Das CC De‐Mail wurde vom Bundesministerium des Innern mit Mitteln
aus dem IT‐Investitionsprogramm aufgebaut.
Im Zuge dieser Beratungsarbeit hat das CC De‐Mail Konzepte mit organisa­
torischen, wirtschaftlichen und technischen Schwerpunkten erstellt sowie
einen Katalog mit generischen De‐Mail‐Einsatzszenarien. Dabei wurden
Muster‐ und Best‐Practice‐Verfahren für die Ermittlung und Auswahl von
Einsatzszenarien erarbeitet. Weitere Ergebnisse sind Wirtschaftlichkeits­
betrachtungen, Prozess‐ und Fachverfahrensadaptionen und Vorgehens­
weisen für die technische Integration sowie für erforderliche Anpassungen
von Standardapplikationen bei der De‐Mail‐Einführung.
Die erarbeiteten Ergebnisse aus den Beratungsprojekten eignen sich eben­
so wie die Konzepte zur eigenständigen Nachnutzung durch Behörden und
Unternehmen, die De‐Mail einsetzen möchten.
Die Ergebnisse des Kompetenzzentrums „De‐Mail in der deutschen Verwal­
tung“ sind auf www.de‐mail.de veröffentlicht.
www.de‐mail.de | 13
Informationen zur Zulassung von De-Mail-Anbietern
Prüfung der Sicherheit,
Funktionalität und
Interoperabilität
BSI
Akkreditierung als
De-Mail-Anbieter
Anbieter
Anbieter vor der
Akkreditierung
Liste akkreditierter
De-Mail-Anbieter auf
www.bsi.bund.de
BfDI
Prüfung des
Datenschutzes
Anforderungen an die Akkreditierung
Unabhängig davon, für welchen De‐Mail‐Anbieter Sie sich entscheiden, Sie
können darauf vertrauen, dass Sie ein einheitliches und geprüftes Sicher‐
heitsniveau antreffen. Dafür sorgt das De‐Mail‐Gesetz: Alle De‐Mail‐Anbieter
werden nach einheitlichen Kriterien in einem transparenten Verfahren ge‐
prüft. Das ist eine wichtige Voraussetzung für das Entstehen von Vertrauen
in die Sicherheit und Qualität der De‐Mail‐Dienste.
Die De‐Mail‐Anbieter müssen Nachweise in den folgenden Bereichen erbringen:
•
Sicherheit, Funktionalität und Interoperabilität - verantwortlich für das
Prüfungsverfahren ist das Bundesamt für Sicherheit in der Informations‐
technik (BSI). Die aktuellen Zulassungskriterien sind veröffentlicht unter
www.bsi.bund.de.
•
Datenschutz - verantwortlich für das Prüfungsverfahren ist der Bundes‐
beauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die
aktuellen Zulassungskriterien sind veröffentlicht unter www.bfdi.bund.de.
Wenn Sie De‐Mail‐Anbieter werden möchten, wenden Sie sich bitte an­​
de‐[email protected].
14 | www.de‐mail.de
Impressum
Herausgeber
Bundesministerium des Innern
IT‐Stab, Referat IT 4
Alt‐Moabit 101 D
10559 Berlin
Bezugsquelle
Bundesministerium des Innern
E‐Mail: [email protected]
Internet: www.de‐mail.de
Tel.: +49(0)30 18681‐0
Fax: +49(0)30 18681‐2926
Stand
Juli 2012
Druck
Silber Druck oHG
Niestetal
Gestaltung und Bildnachweis
Serviceplan Berlin GmbH & Co. KG
Berlin
Text
Bundesministerium des Innern
Berlin
Diese Broschüre ist Teil der Öffentlichkeitsarbeit der Bundesregierung.
Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.
www.de‐mail.de | 15
www.cio.bund.de
www.de-mail.de