BERICHT DES KREISAUSSCHUSSES

Einführung der Möglichkeit von verschlüsselter E-Mail-Kommunikation Der Kreistag hat in seiner Sitzung am 06.11.2013 nachfolgenden Beschluss gefasst:

Der Kreisausschuss wird gebeten, zu prüfen, welche Möglichkeiten für eine verschlüsselte E-MailKommunikation mit allen Dienststellen der Verwaltung des Kreises Offenbach realisierbar sind. Die Ergebnisse sollen in einem Bericht, in dem auch jeweils die technischen Voraussetzungen und die entstehenden Kosten dargestellt werden, dem Kreistag zur Kenntnis gegeben werden.

-----------------------------------------------------------------------------------------------------------------In Ausführung des o.g. Kreistagsbeschlusses (Drucksachen-Nr. 0707/2013) erstattet der Kreisausschuss den nachfolgenden Bericht.

Verteiler:  Mitglieder des Kreistages  Mitglieder des Kreisausschusses  Fraktionsbüros

Dietzenbach, den 03. Februar 2014 10.1 001 04-B 2014/01

Bericht zur Prüfung der Einführung von E-Mail-Verschlüsselung bei der Kreisverwaltung Offenbach Kernaussagen     

Verschlüsselung der Mails auf dem Transportweg findet bereits statt (soweit von der Gegenstelle unterstützt) Kreisintern werden alle Mails prinzipiell verschlüsselt übertragen Der Mailverkehr mit zahlreichen anderen öffentlichen Stellen läuft über das verschlüsselte Netzwerk DOI-Deutschland Online Infrastruktur Ende-zu-Ende-Verschlüsselung ist technisch prinzipiell umsetzbar, das Kosten/NutzenVerhältnis ist aber aufgrund der geringen Durchdringung in der Bevölkerung sehr ungünstig Es existieren sowohl clientbasierte als auch serverbasierte Lösungen, aufgrund der gravierenden Nachteile der clientbasierten Varianten ist die serverbasierte Lösung klar zu bevorzugen

Erläuterungen Wenn gemeinhin von E-Mailverschlüsselung gesprochen wird, so können zwei verschiedene technische Vorgänge damit gemeint sein:  

Die Verschlüsselung der E-Mail auf dem Transportweg. Die eigentliche E-Mail bleibt hier unverschlüsselt Die Verschlüsselung der E-Mail als solche („Ende-zu-Ende-Verschlüsselung“).

Die Mailserver des Kreises Offenbach, die für die Abwicklung von Mails der Domains kreisoffenbach.de, proarbeit-kreis-of.de, stiftung-ml.de und jugendheim.de zuständig sind, unterstützen bereits die erste Variante, sodass Mailverkehr mit externen Empfängern bereits jetzt verschlüsselt wird, sofern die Gegenstelle dies ebenfalls unterstützt. Auch wird sämtlicher Mailverkehr zwischen diesen Domains sowie zwischen der Clientsoftware (Outlook, iPhone Mail-App o.ä.) und den zentralen Mailservern prinzipiell verschlüsselt. Weiterhin wird der Mailverkehr mit zahlreichen Bundes-, Landes- und Kommunalbehörden nicht über das Internet, sondern über das auf Netzwerkebene verschlüsselte Behördennetzwerk „DOI – Deutschland Online Infrastruktur“ abgewickelt. Die zweite Variante, bei der der Inhalt der Mail bereits vor der Übertragung verschlüsselt wird und nur vom vorgesehenen Empfänger entschlüsselt werden kann, ist technisch wesentlich aufwändiger zu realisieren. Zur Sicherung des Mailinhalts wird ein Verfahren namens asymmetrische Verschlüsselung verwendet. Im Gegensatz zur symmetrischen Verschlüsselung, bei der derselbe Schlüssel zum Ver- und Entschlüsseln einer Nachricht verwendet wird, existiert hier ein sogenanntes Schlüsselpaar. Der erste, auch öffentlicher Schlüssel genannt, dient der Verschlüsselung einer Nachricht. Der zweite, geheime Schlüssel entsprechend der Entschlüsselung. Grundvoraussetzung für das Verschlüsseln einer Mail ist somit immer, dass der Absender der Nachricht den öffentlichen Schlüssel des Empfängers kennt.

Aufgrund dieser Tatsache, sowie aufgrund der relativ komplizierten und umständlichen Prozedur, die mit dem Erstellen eines gültigen Schlüsselpaares und der Integration in die E-Mail-Software einhergeht, ist die Durchdringung in der Bevölkerung sehr gering. Auch die seit Bekanntwerden des NSA-Skandals in vielen großen deutschen Städten stattfindenden sog. „Crypto-Parties“, bei denen Computerexperten technischen Laien bei der Einrichtung von E-Mail-Verschlüsselung unter die Arme greifen, haben hieran nicht viel geändert. Die Tatsache, dass mit S/MIME und (Open)PGP zwei konkurrierende Standards zur E-Mail-Verschlüsselung existieren, die nicht miteinander kompatibel sind, stellt ein weiteres Verbreitungshindernis dar. Für die Verbreitung von E-Mail-Verschlüsselung innerhalb Deutschlands existieren bisher keine verlässlichen Statistiken, Schätzungen gehen von einem Anteil unterhalb von 1 Promille aus. Die Frage „Mit wie vielen Personen habe ich selbst schon verschlüsselte Mails ausgetauscht?“ ist jedoch ein recht guter Indikator. Clientbasierte Lösungen zur E-Mail-Verschlüsselung wie z.B. GPG4Win sind prinzipbedingt nicht mit den in der Kreisverwaltung verwendeten Virenschutz-, Backup- und Archivierungskonzepten und Systemen vereinbar, da sämtliche Ver- und Entschlüsselungsvorgänge auf dem Arbeitsplatz-PC des/der MitarbeiterIn erfolgen. Auch sind die gegenwärtig in der Kreisverwaltung verwendeten Smartphones und Tablets nicht oder nur in begrenztem Umfang kompatibel mit clientbasierten Verschlüsselungssystemen. Darüber hinaus ist der Einsatz einer clientbasierten Lösung mit erheblichen Kosten im Rahmen von Installation, Betreuung und Support sowie mit hohem Schulungsaufwand für alle MitarbeiterInnen verbunden. So muss z.B. aufgrund des fehlenden zentralen Zertifikatsspeichers die Integration und Pflege funktionsbasierter Postfächer wie [email protected] händisch durch MitarbeiterInnen des Fachdienst IT erfolgen. Auch kann davon ausgegangen werden, dass die Akzeptanz einer clientbasierten Lösung in der Mitarbeiterschaft aufgrund der geschilderten Komplexität sowie des zusätzlichen Arbeitsaufwands gering ausfallen dürfte. Serverbasierte Lösungen dienen als zentrale Instanz zur Ver- und Entschlüsselung individueller EMails und sind für die beteiligten Systeme und EndanwenderInnen transparent. Sie können somit naht- und reibungslos in die vorhandene Infrastruktur integriert werden. Des Weiteren bieten serverbasierte Lösungen (teil-)automatisierte Schnittstellen zur Veröffentlichung der verwendeten Zertifikate auf dem Webauftritt der Kreisverwaltung Offenbach. Dies ist Grundvoraussetzung dafür, dass interessierte Bürgerinnen und Bürger die angebotenen Verschlüsselungsmöglichkeiten überhaupt nutzen können.

Fazit Da die weit überwiegende Mehrheit der Bürgerinnen und Bürger sich zur Abwicklung ihrer E-MailKorrespondenz Dienstleistern wie z.B. t-online oder GMX bedient, in deren Rechenzentren die EMail im Klartext vorliegt, stellt der Einsatz von Ende-zu-Ende-Verschlüsselung einen klaren Sicherheitszugewinn gegenüber der bereits angebotenen Verschlüsselung der E-Mails auf dem Transportweg dar. Aufgrund des Wirkprinzips der Ende-zu-Ende-Verschlüsselung kann diese jedoch nur verwendet werden, wenn sowohl Absender als auch Empfänger diese unterstützen und bereits ihre

öffentlichen Schlüssel ausgetauscht haben. Der Nutzeranteil in der Bevölkerung ist derzeit jedoch verschwindend gering. Bei den zu erwartenden Kosten für Installation und Betrieb einer serverbasierten Lösung zur Unterstützung von E-Mail-Verschlüsselung lägen die Kosten pro Mail selbst bei einem optimistisch geschätzten Mailaufkommen von mehreren tausend verschlüsselten Mails im Jahr immer noch über denen eines klassischen Briefes oder eines Faxes. Clientbasierte Lösungen können aufgrund der Unvereinbarkeit mit bestehenden Konzepten und Lösungen nicht verwendet werden, das Kostenverhältnis wäre bei ihrem Einsatz aber ohnehin noch ungünstiger. Siehe hierzu auch die tabellarische Aufstellung im Anhang. Aufgrund dessen empfiehlt der Fachdienst IT, von der Einführung von E-Mail-Verschlüsselung derzeit abzusehen.

_____________ Jäger Erste Kreisbeigeordnete

Vergleichstabelle Clientbasiert / Serverbasiert Lizenzkosten Kosten Softwarewartung p.a. Installationsaufwand Schulungsaufwand

Betreuungsaufwand

Zentrale Administrationsoberfläche Zentraler Zertifikatsspeicher Kompatibel mit bestehendem Virenschutzkonzept Kompatibel mit bestehendem Backupkonzept Kompatibel mit bestehendem E-MailArchiv Kompatibel mit mobilen Endgeräten (z.B. iPhone/iPad) Transparent für Endanwender Wirkprinzip schützt vor Anwendungsfehlern Schützt vor Datenverlust durch Vergessen des Zertifikatspassworts Veröffentlichung der Zertifikate auf www.kreis-offenbach.de kann automatisiert werden

Clientbasiert - (Open Source) - (Open Source) hoch (Personalaufwand entspricht ca. 5.00010.000€) Sehr hoch (Alle MitarbeiterInnen müssen im Umgang mit der Clientsoftware und mit Zertifikaten geschult werden, Gesamtkosten ca. 120.000€*) Sehr hoch (Jährliche Personalaufwendungen von ca. 30.000€, in der Pilotphase das 35fache) Nein Nein Nein

Serverbasiert ca. 6.000€ - 12.000€ ca. 2.500€ - 6.000€ mittel (Personalaufwand entspricht ca. 2.0004.000€) Niedrig ( soweit erforderlich werden Anleitungen im Intranet veröffentlicht)

Niedrig (Jährliche Personalaufwendungen von ca. 8.000€, in der Pilotphase das 2-3fache) Ja Ja Ja

Nein

Ja

Nein

Ja

Nein

Ja

Nein Nein

Ja Ja

Nein

Ja

Nein

Ja

*= beinhaltet Personalkosten für Erstellung und Durchführung der Schulung sowie durch Arbeitszeitausfall (4 Stunden je MitarbeiterIn) entstehende Kosten