TeleTrusT: Initiative zur Verbesserung der Sicherheit bei E-Mail-Kommunikation begrüßenswert
Stellungnahme des deutschen IT-Sicherheitsverbandes zum aktuellen De-Mail-Gesetzentwurf
Berlin, 28.07.2010 – TeleTrusT Deutschland e.V. begrüßt die Gesetzesinitiative zur Verbesserung der Sicherheit bei elektronischer Kommunikation. Die überarbeitete Fassung des Gesetzentwurfes enthält eine Reihe von Veränderungen, die als positiv zu bewerten sind. Ungeachtet dessen verbleiben eine Reihe von Kritikpunkten.
Die Karteninfrastruktur der Zertifizierungsdiensteanbieter gemäß SigG ist so ausgelegt, dass auch Authentisierungsfunktionen mit entsprechenden Authentisierungszertifikaten genutzt werden können. Dies könnte für die Abbildung des hohen Authentisierungsniveaus automatisch mit verwendet werden. Gleichzeitig werden durch die Zertifizierungsdiensteanbieter auch Verschlüsselungszertifikate erstellt bzw. verwaltet.
Das in der Öffentlichkeit oft diskutierte Fehlen einer obligatorischen Funktion zur Ende-zu-Ende-Verschlüsselung wäre mit dem Einsatz der Karteninfrastruktur ohne weitere Probleme möglich und würde den Datenschutz in dem vom Staat regulierten Bereich der Versanddienstleistungen stärken. Deshalb wird vorgeschlagen, die Nutzung der etablierten Karteninfrastrukturen innerhalb von De-Mail-Diensten zur Abbildung der qualifizierten elektronischen Signatur, zur Nutzung bei der Authentisierung und bei der Abbildung der Ende-zu-Ende-Verschlüsselung stärker zu integrieren und die Integrationsmöglichkeiten mit den entsprechend etablierten Zertifizierungsdiensteanbietern zu organisieren.
Gleichzeitig bieten die Zertifizierungsdiensteanbieter die Möglichkeit, die Erstregistrierung zu unterstützen. Bei der Antragstellung für ein Zertifikat, das für die qualifizierte elektronische Signatur genutzt wird, ist es notwendig, die Antragsteller sicher zu registrieren und zu identifizieren. Diese Daten können bei Einverständnis der Zertifikatsinhaber genutzt werden, um die Erstregistrierung der Bürger bei De-Mail schneller zu vollziehen. Die Abbildung ist mit den zukünftigen Providern zu diskutieren und ggf. separat in die Begründung des Gesetzentwurfes aufzunehmen. Durch diese Ansätze kann eine vollwertige Integration der Infrastrukturdienstleistungen der Zertifizierungs-diensteanbieter in einer "Win-Win"-Situation für die De-Mail- und die Zertifizierungsdiensteanbieter genutzt werden. Hier fehlt ein Gesamtkonzept des Gesetzgebers. Eine Erweiterung des Gesetzentwurfes hinsichtlich der Integration der Dienste von Zertifizierungsdiensteanbietern nach dem SigG ist notwendig. Derzeit wird mit dem neuen Gesetz ein neues Mittel einfach neben die bestehende Lösung gesetzt, statt eine Initiative zur weiteren Verbreitung der qualifizierten elektronischen Signatur zu ergreifen.
Nach dem Gesetzentwurf wird es so sein, dass beispielsweise Behörden über De-Mail Bescheide, Verfügungen usw. dem Bürger zustellen können, der Bürger jedoch etwaige Rechtsmittel nicht einfach durch Antwort wirksam einlegen darf. Vielmehr erfordert die wirksame Einlegung des Widerspruchs gemäß § 3a Verwaltungsverfahrensgesetz in Verbindung mit § 70 Verwaltungsgerichtsordnung eine qualifizierte elektronische Signatur. Für den Nutzer stellt sich die Frage, warum er De-Mail nutzen soll, wenn im Zweifel doch die qualifizierte elektronische Signatur erforderlich wird.
Auch mit dem für die Kommunikation mit den Gerichten eingerichteten elektronischen Gerichts- und Verwaltungspostfach ist De-Mail nur unzureichend abgestimmt. Es soll eine Schnittstelle geben, jedoch ist diese durch die beteiligten Instanzen nicht exakt definiert. Gerichte, Rechtsanwälte und Wirtschaft müssen daher mit De-Mail einen weiteren, zusätzlichen Kommunikationsweg öffnen, in ihre Abläufe integrieren und ständig überwachen.
Rechtsstaatliche Bedenken
Der Gesetzgeber sollte wesentliche Entscheidungen selbst treffen und nur in begrenztem Ausmaß Verordnungsermächtigungen erteilen. Im Gesetz ist zu regeln, dass die Vorgaben der zuständigen Behörde diskriminierungsfrei erfolgen und sich auf die Beschreibung von Sicherheitsstandards beschränken bzw. Interoperabilität zu internat-ionalen und nationalen anderen Diensten gewährleisten müssen. Außerdem ist im Gesetz festzuschreiben, dass einmal gewählte Adressen auch bei Wechsel des Providers vom Nutzer weitergenutzt werden können.
Standardisierung
Dem Entwurf kann keine ausdrückliche Verpflichtung zur Berücksichtigung und Einhaltung internationaler bzw. europäischer Normen und Standards entnommen werden. Damit entsteht das Risiko fehlender Interoperabilität und eines später schwer zu korrigierenden Sonderweges. Interoperabilität ist wichtig. Deshalb wird die frühzeitige Standardisierung von Interoperabilitätsschnittstellen gefordert.
Dr. Holger Mühlbauer
TeleTrusT Deutschland e.V
Geschäftsführer
Chausseestraße 17
10115 Berlin
Tel.: + 49 30 / 40 05 43 10
holger.muehlbauer (at) teletrust.de
www.teletrust.de
Pressekontakt:
Sebastian Thümmel
index Agentur für strategische
Öffentlichkeitsarbeit und Werbung GmbH
Zinnowitzer Str. 1
10115 Berlin
Tel.: +49 30 / 390 88-190
s.thuemmel (at) index.de
www.index.de
TeleTrusT Deutschland e. V.
Der IT-Sicherheitsverband TeleTrusT Deutschland e.V. wurde 1989 gegründet, um verlässliche Rahmenbedingungen für den vertrauenswürdigen Einsatz von Informations- und Kommunikationstechnik zu schaffen. TeleTrusT entwickelte sich zu einem bekannten Kompetenznetzwerk für IT-Sicherheit, dessen Stimme in Deutschland und Europa gehört wird. Heute vertritt TeleTrusT rund 100 Mitglieder aus Industrie, Wissenschaft und Forschung sowie öffentlichen Institutionen. In Projektgruppen zu aktuellen Fragestellungen der IT-Sicherheit und des Sicherheitsmanagements tauschen die Mitglieder ihr Know-how aus. TeleTrusT äußert sich zu politischen und rechtlichen Fragen, organisiert Messen und Messebeteiligungen und ist Träger der "European Bridge CA " (Bereitstellung von Public-Key-Zertifikaten für sichere E-Mail-Kommunikation) sowie des Zertifikats "TeleTrusT Information Security Professional" (T.I.S.P.). Hauptsitz des Verbandes ist Berlin.
Berlin, 28.07.2010 – TeleTrusT Deutschland e.V. begrüßt die Gesetzesinitiative zur Verbesserung der Sicherheit bei elektronischer Kommunikation. Die überarbeitete Fassung des Gesetzentwurfes enthält eine Reihe von Veränderungen, die als positiv zu bewerten sind. Ungeachtet dessen verbleiben eine Reihe von Kritikpunkten.
Die Karteninfrastruktur der Zertifizierungsdiensteanbieter gemäß SigG ist so ausgelegt, dass auch Authentisierungsfunktionen mit entsprechenden Authentisierungszertifikaten genutzt werden können. Dies könnte für die Abbildung des hohen Authentisierungsniveaus automatisch mit verwendet werden. Gleichzeitig werden durch die Zertifizierungsdiensteanbieter auch Verschlüsselungszertifikate erstellt bzw. verwaltet.
Das in der Öffentlichkeit oft diskutierte Fehlen einer obligatorischen Funktion zur Ende-zu-Ende-Verschlüsselung wäre mit dem Einsatz der Karteninfrastruktur ohne weitere Probleme möglich und würde den Datenschutz in dem vom Staat regulierten Bereich der Versanddienstleistungen stärken. Deshalb wird vorgeschlagen, die Nutzung der etablierten Karteninfrastrukturen innerhalb von De-Mail-Diensten zur Abbildung der qualifizierten elektronischen Signatur, zur Nutzung bei der Authentisierung und bei der Abbildung der Ende-zu-Ende-Verschlüsselung stärker zu integrieren und die Integrationsmöglichkeiten mit den entsprechend etablierten Zertifizierungsdiensteanbietern zu organisieren.
Gleichzeitig bieten die Zertifizierungsdiensteanbieter die Möglichkeit, die Erstregistrierung zu unterstützen. Bei der Antragstellung für ein Zertifikat, das für die qualifizierte elektronische Signatur genutzt wird, ist es notwendig, die Antragsteller sicher zu registrieren und zu identifizieren. Diese Daten können bei Einverständnis der Zertifikatsinhaber genutzt werden, um die Erstregistrierung der Bürger bei De-Mail schneller zu vollziehen. Die Abbildung ist mit den zukünftigen Providern zu diskutieren und ggf. separat in die Begründung des Gesetzentwurfes aufzunehmen. Durch diese Ansätze kann eine vollwertige Integration der Infrastrukturdienstleistungen der Zertifizierungs-diensteanbieter in einer "Win-Win"-Situation für die De-Mail- und die Zertifizierungsdiensteanbieter genutzt werden. Hier fehlt ein Gesamtkonzept des Gesetzgebers. Eine Erweiterung des Gesetzentwurfes hinsichtlich der Integration der Dienste von Zertifizierungsdiensteanbietern nach dem SigG ist notwendig. Derzeit wird mit dem neuen Gesetz ein neues Mittel einfach neben die bestehende Lösung gesetzt, statt eine Initiative zur weiteren Verbreitung der qualifizierten elektronischen Signatur zu ergreifen.
Nach dem Gesetzentwurf wird es so sein, dass beispielsweise Behörden über De-Mail Bescheide, Verfügungen usw. dem Bürger zustellen können, der Bürger jedoch etwaige Rechtsmittel nicht einfach durch Antwort wirksam einlegen darf. Vielmehr erfordert die wirksame Einlegung des Widerspruchs gemäß § 3a Verwaltungsverfahrensgesetz in Verbindung mit § 70 Verwaltungsgerichtsordnung eine qualifizierte elektronische Signatur. Für den Nutzer stellt sich die Frage, warum er De-Mail nutzen soll, wenn im Zweifel doch die qualifizierte elektronische Signatur erforderlich wird.
Auch mit dem für die Kommunikation mit den Gerichten eingerichteten elektronischen Gerichts- und Verwaltungspostfach ist De-Mail nur unzureichend abgestimmt. Es soll eine Schnittstelle geben, jedoch ist diese durch die beteiligten Instanzen nicht exakt definiert. Gerichte, Rechtsanwälte und Wirtschaft müssen daher mit De-Mail einen weiteren, zusätzlichen Kommunikationsweg öffnen, in ihre Abläufe integrieren und ständig überwachen.
Rechtsstaatliche Bedenken
Der Gesetzgeber sollte wesentliche Entscheidungen selbst treffen und nur in begrenztem Ausmaß Verordnungsermächtigungen erteilen. Im Gesetz ist zu regeln, dass die Vorgaben der zuständigen Behörde diskriminierungsfrei erfolgen und sich auf die Beschreibung von Sicherheitsstandards beschränken bzw. Interoperabilität zu internat-ionalen und nationalen anderen Diensten gewährleisten müssen. Außerdem ist im Gesetz festzuschreiben, dass einmal gewählte Adressen auch bei Wechsel des Providers vom Nutzer weitergenutzt werden können.
Standardisierung
Dem Entwurf kann keine ausdrückliche Verpflichtung zur Berücksichtigung und Einhaltung internationaler bzw. europäischer Normen und Standards entnommen werden. Damit entsteht das Risiko fehlender Interoperabilität und eines später schwer zu korrigierenden Sonderweges. Interoperabilität ist wichtig. Deshalb wird die frühzeitige Standardisierung von Interoperabilitätsschnittstellen gefordert.
Dr. Holger Mühlbauer
TeleTrusT Deutschland e.V
Geschäftsführer
Chausseestraße 17
10115 Berlin
Tel.: + 49 30 / 40 05 43 10
holger.muehlbauer (at) teletrust.de
www.teletrust.de
Pressekontakt:
Sebastian Thümmel
index Agentur für strategische
Öffentlichkeitsarbeit und Werbung GmbH
Zinnowitzer Str. 1
10115 Berlin
Tel.: +49 30 / 390 88-190
s.thuemmel (at) index.de
www.index.de
TeleTrusT Deutschland e. V.
Der IT-Sicherheitsverband TeleTrusT Deutschland e.V. wurde 1989 gegründet, um verlässliche Rahmenbedingungen für den vertrauenswürdigen Einsatz von Informations- und Kommunikationstechnik zu schaffen. TeleTrusT entwickelte sich zu einem bekannten Kompetenznetzwerk für IT-Sicherheit, dessen Stimme in Deutschland und Europa gehört wird. Heute vertritt TeleTrusT rund 100 Mitglieder aus Industrie, Wissenschaft und Forschung sowie öffentlichen Institutionen. In Projektgruppen zu aktuellen Fragestellungen der IT-Sicherheit und des Sicherheitsmanagements tauschen die Mitglieder ihr Know-how aus. TeleTrusT äußert sich zu politischen und rechtlichen Fragen, organisiert Messen und Messebeteiligungen und ist Träger der "European Bridge CA " (Bereitstellung von Public-Key-Zertifikaten für sichere E-Mail-Kommunikation) sowie des Zertifikats "TeleTrusT Information Security Professional" (T.I.S.P.). Hauptsitz des Verbandes ist Berlin.