So einfach wie E-Mail, so sicher wie Papierpost.
Bürgerinnen und Bürger
Behörde
Anbieter
Unternehmen
Anbieter
Bürgerinnen und Bürger
www.cio.bund.de
Anbieter
Unternehmen
Behörde
www.de-mail.de
Bleiben Sie auf dem Laufenden Mit dieser Broschüre möchten wir Sie über den aktuellen Stand des Projektes De‐Mail informieren. Weitere Informationen zu De‐Mail, über 70 Antworten
auf „Häufig gestellte Fragen“ und den De‐Mail‐Newsletter veröffentlicht das Bundesministerium des Innern auf der Internetseite www.de‐mail.de.
Privatpersonen, Unternehmen und öffentliche Einrichtungen, die De‐Mail‐ Dienste nutzen wollen, finden Informationen sowie weiterführende Hinweise
zu De‐Mail und zum Schutz von IT‐Systemen und Daten auf der Internet seite www.bsi‐fuer‐buerger.de.
Unternehmen und öffentliche Einrichtungen, die De‐Mail‐Dienste anbieten
wollen, finden Fachinformationen wie die Technischen Richtlinien und die
Listen der zertifizierten De‐Mail‐Prüfstellen und Auditoren auf der Internet
seite www.bsi.bund.de.
Informationen über De‐Mail‐konforme Produkte stellen die zugelassenen De‐
Mail‐Anbieter auf ihren eigenen Internetseiten bereit. Eine Liste dieser akkre‐
ditierten De‐Mail‐Anbieter finden Sie auf der Internetseite www.bsi.bund.de.
2 | www.de‐mail.de
So einfach wie E-Mail, so sicher wie Papierpost. Inhalt Bleiben Sie auf dem Laufenden
2
und Behörden
4
Verschlüsselt, geschützt, nachweisbar – was heißt das genau?
7
Mehr Schutz für Ihre Daten
8
Nachweise und Versandmöglichkeiten
Die Vorteile von De‐Mail für Privatpersonen, Unternehmen Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau? De‐Mail im Detail:
Mehr Sicherheit schon beim Log‐in
6
9 10
Ende‐zu‐Ende‐Verschlüsselung und elektronische Signatur
Staat und Wirtschaft definieren gemeinsam den Rahmen.
11 12
Die Wirtschaft setzt De‐Mail um.
Unterstützung bei der Einführung von De‐Mail für Behörden und Unternehmen
13
Impressum
15
Informationen zur Zulassung von De‐Mail‐Anbietern
14
www.de‐mail.de | 3
Die Vorteile von De-Mail für Privatpersonen, Unternehmen und Behörden
einfach wie E-Mail
geschützte Daten
verbindlich und nachweisbar
immer & überall
kostensparend
vertrauliche Korrespondenz
Vorteile von De‐Mail für Privatpersonen
Mit De‐Mail können viele Vorgänge verschickt werden, für die bisher nur der Postweg infrage kam. Das hat viele Vorteile für Privatpersonen, Unternehmen
und Behörden: •
•
De‐Mails sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet
verschlüsselt.
Sowohl die Identität der Kommunikationspartner als auch die Zustellung
der De‐Mails können zweifelsfrei nachgewiesen werden. Das ist wichtig
für Sender und Empfänger. Zugleich wirkt die Nachweisbarkeit der Inter
netkriminalität entgegen, da die Absender von Spam‐ oder Phishing‐ Mails nicht mehr anonym bleiben.
•
•
Privatpersonen können Geschäftliches und Behördengänge schnell und
bequem unabhängig von Öffnungszeiten und Aufenthaltsort erledigen.
Unternehmen und Behörden können viele Vorgänge vollständig elektro
nisch, d. h. ohne Medienbrüche, bearbeiten - auch rechtlich relevante
Arbeitsschritte, die eine nachweislich fristgerechte Zustellung erfordern. Hierdurch werden viele Effizienzsteigerungen in Wirtschaft und Verwaltung
ermöglicht. Hinzu kommen Kosteneinsparungen bei Papier und Porto. Kurz: Mit De‐Mail sparen Sie Zeit und Geld.
4 | www.de‐mail.de
einfache Integration
geschützte Daten
verbindlich und nachweisbar
ohne Medienbruch
kostensparend
viele Einsatzmöglichkeiten
Vorteile von De‐Mail für Unternehmen und Behörden •
De‐Mail basiert auf heute weit verbreiteten E‐Mail‐Technologien. Vorhan dene Schnittstellen können daher ohne hohe Integrationsaufwendungen für De‐Mail genutzt werden.
•
De‐Mail erfordert keine besonderen Kenntnisse – es ist so einfach wie
E‐Mail. Im einfachsten Fall verwenden Sie Webanwendungen, die den be
kannten E‐Mail‐Diensten sehr ähnlich sind und keine weiteren Installa tionen von Hardware oder Software an Ihrem Rechner erfordern. Oder Sie
schließen die E‐Mail‐Infrastrukturen Ihrer Organisation über ein „Gateway“ an De‐Mail an, sodass vorhandene E‐Mail‐Clients verwendet werden können.
•
Für alle De‐Mail‐Anbieter gelten die gleichen hohen Anforderungen an IT‐
Sicherheit und Datenschutz. Sie haben daher die Gewähr, bei jedem De‐ Mail‐Anbieter ein einheitliches und geprüftes Sicherheitsniveau zu erhalten.
•
Sie können sicher sein, dass Sie alle De‐Mail‐Nutzer zuverlässig erreichen. Es spielt keine Rolle, ob diese ein Konto bei Ihrem De‐Mail‐Anbieter
haben oder bei einem anderen, denn die Systeme aller De‐Mail‐Anbieter
sind miteinander verbunden.
www.de‐mail.de | 5
Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau?
Mitlesen
Manipulation
Spam und Phishing
keine gesicherte Identität
Absender Ab d
keine Nachweisbarkeit
Empfänger E fä
Gefahren bei der Nutzung unverschlüsselter E‐Mails
Bisher werden in Deutschland über 95 Prozent aller E‐Mails unverschlüsselt von E‐Mail‐Konten versendet. Das bedeutet:
•
Unverschlüsselte E‐Mails können ohne großen Aufwand auf ihrem Weg
durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem Inhalt verändert werden.
•
Absender und Empfänger können nie vollständig sicher sein, mit wem sie
•
A bsender wissen nicht zuverlässig, ob die gesendete E‐Mail tatsäch
gerade kommunizieren.
lich beim Empfänger angekommen ist und können es daher auch nicht
nachweisen. •
Der Anteil von SPAM, d. h. von unerwünschten, massenhaft versendeten
E‐Mails eines schwer oder gar nicht ermittelbaren Absenders, am E‐Mail‐
Verkehr hat in den letzten Jahren stark zugenommen. •
Immer häufiger werden Zugangsdaten zu E‐Mail‐Konten ausgespäht (soge
nanntes „Phishing“, das in der Regel zum Identitätsdiebstahl genutzt wird).
6 | www.de‐mail.de
Verschlüsselt, geschützt, nachweisbar – was heißt das genau?
verschlüsselte Transportwege
geschützte Daten
geschlossener Nutzerkreis
Identifizierung aller Teilnehmer
Absender Ab d
verbindlich und nachweisbar
Empfänger E fä
Schutz bei der Nutzung verschlüsselter De‐Mails
De‐Mails haben – ohne zusätzliche Installationen – wichtige Sicherheitsmerk‐ male, die der herkömmlichen E‐Mail fehlen:
•
De‐Mails können nicht von Dritten abgefangen und verändert werden,
•
Versender und Empfänger einer De‐Mail sind stets nachvollziehbar, weil
weil sie auf ihrem Weg durch das Internet immer verschlüsselt sind.
die Nutzer erst dann ein De‐Mail‐Konto erhalten, wenn sie sich vorher eindeutig identifiziert haben.
•
Nutzer erhalten auf Wunsch Versand‐ und Eingangsnachweise für ihre
•
SPAM wird verhindert, weil die Absender eindeutig identifiziert sind.
•
De‐Mails („elektronisches Einschreiben“).
Phishing und Identitätsdiebstahl werden bekämpft, weil sich Nutzer mit
einem doppelt gesicherten Verfahren anmelden können (siehe Seite 9).
Aufgrund dieser Sicherheitsmerkmale stärkt und unterstützt De‐Mail die Möglichkeiten der Nutzer, ihre persönlichen Daten wirksam zu schützen.
www.de‐mail.de | 7
Mehr Schutz für Ihre Daten De‐Mail ist ein wichtiges Instrument zur Verbesserung des Selbstdaten
schutzes und der Datensicherheit. Dafür sorgen folgende Faktoren: •
Obligatorische Transportverschlüsselung: Die von Ihnen übermittelten
•
Optionale Sicherheitskomponenten: De‐Mail unterstützt den Einsatz zu
Daten sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet
immer verschlüsselt.
sätzlicher Sicherheitskomponenten wie Ende‐zu‐Ende‐Verschlüsselung oder Signatur.
•
Hohe Anforderungen an die technische und organisatorische Sicherheit
der De‐Mail‐Anbieter: Das am 3. Mai 2011 in Kraft getretene De‐Mail‐ Gesetz regelt die Mindestanforderungen an einen sicheren elektronischen
Nachrichtenaustausch. Darüber hinaus sorgt es für ein geregeltes Ver
fahren zur Prüfung dieser Mindestanforderungen, die für alle De‐Mail‐
Anbieter in gleicher Weise gelten.
•
Zertifizierter Datenschutz: Die De‐Mail‐Anbieter müssen durch ein
Datenschutzzertifikat des Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit (BfDI) umfassende Maßnahmen zum Schutz per
sonenbezogener Daten belegen.
Mit De‐Mail können Sicherheit und Datenschutz beim Austausch elektroni‐
scher Nachrichten von einem heute flächendeckend geringen Niveau auf ein flächendeckend hohes Niveau angehoben werden.
8 | www.de‐mail.de
De-Mail im Detail
Mehr Sicherheit schon beim Log-in Für die Anmeldung an einem De‐Mail‐Konto gibt es zwei Anmeldeverfahren: •
Für das „normale“ Sicherheitsniveau reicht die Anmeldung mit Ihrem Benutzernamen und Ihrem Passwort, wie Sie es von E‐Mail‐Anwendungen
kennen. Man spricht in diesem Fall von Authentifizierung durch Wissen. •
Für das „hohe“ Sicherheitsniveau bzw. die sichere Anmeldung setzen Sie
Ihren Benutzernamen, Ihr Passwort und einen „Token“ ein, d. h. einen Ge
genstand. Das kann der neue Personalausweis sein, eine Signaturkarte
oder andere zugelassene Verfahren, z. B. auf Basis von USB‐Sticks oder Mobiltelefonen (etwa das mTAN‐Verfahren, bei dem eine SMS mit zufällig
generierter Zahlenkombination an Ihr Mobiltelefon geschickt wird und Sie diese TAN bei der Anmeldung am De‐Mail‐Konto eingeben). Wird ein
Token eingesetzt, spricht man von einer Zwei‐Faktor‐Authentifizierung
durch Wissen und Besitz. Die De‐Mail‐Anbieter können beliebig viele Ver fahren für diese sichere Anmeldung anbieten, müssen aber mindestens
zwei vorsehen und in jedem Fall das Verfahren mit dem neuen Personal ausweis. Welche Art von Token Sie für die Anmeldung an Ihrem De‐Mail‐ Konto nutzen, hängt von Ihren persönlichen Vorlieben ab.
Die Anmeldung mit dem „hohen“ Sicherheitsniveau ist vom Gesetzgeber
als Standard für Ihren Zugang zum De‐Mail‐Konto vorgesehen und wird für
die meisten De‐Mail‐spezifischen Versandoptionen benötigt. Auf Ihr Ver langen kann der De‐Mail‐Anbieter Ihnen den Zugang zum De‐Mail‐Konto
auch mit Benutzername und Passwort eröffnen. In diesem Fall stehen Ihnen
die Grundfunktionalitäten von De‐Mail zur Verfügung.
www.de‐mail.de | 9
Nachweise und Versandmöglichkeiten Eine Standard‐De‐Mail – bei der keine zusätzlichen De‐Mail‐Versandoptionen
gewählt wurden – ist auf ihrem Weg durch das Internet verschlüsselt. Die
Nachrichteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/ Empfängeradresse, Versandzeitpunkt usw.) sind durch die Verschlüsselung
vor dem Mitlesen und gegen Veränderungen durch Dritte geschützt. Zudem
sind sowohl Absender als auch Empfänger eindeutig identifiziert.
Bereits eine Standard‐De‐Mail hat ein hohes Maß an Verbindlichkeit und kann
für zahlreiche Anwendungsfälle genutzt werden.
Zusätzlich zu dieser Standard‐De‐Mail kann der Nutzer eine oder mehrere der folgenden Versandoptionen wählen:
•
Versandbestätigung: Der Absender erhält eine von seinem De‐Mail‐Anbieter
qualifiziert elektronisch signierte Bestätigung, dass er diese Nachricht ver
schickt hat. •
Bestätigung des Versands mit hohem Authentisierungsniveau: Absen
der und Empfänger erhalten eine vom De‐Mail‐Anbieter des Absenders qualifiziert elektronisch signierte Bestätigung, dass der Absender mit hohem Authentisierungsniveau angemeldet war, als er diese De‐Mail
verschickt hat. •
Eingangsbestätigung: Absender und Empfänger erhalten eine vom De‐Mail‐
Anbieter des Empfängers qualifiziert elektronisch signierte Bestätigung, dass diese De‐Mail im Postfach des Empfängers eingegangen ist.
In allen drei Fällen umfasst die Signatur des De‐Mail‐Anbieters alle Nach
richteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/Empfän
geradresse, Versandzeitpunkt usw.). Sie erhalten dadurch einen belastbaren Nachweis für Ihre elektronisch übermittelte Nachricht.
10 | www.de‐mail.de
De-Mail im Detail
Darüber hinaus können Sie – zum Beispiel bei besonders vertraulich zu
behandelnden Inhalten – eine weitere Sicherheitsoption wählen: •
Persönlich: Der Absender legt fest, dass der Empfänger die Nachricht nur
lesen kann, wenn er sich wie der Absender mit hohem Authentisierungs‐
niveau angemeldet hat.
Die verschiedenen Versandarten und Bestätigungen kombinieren Sie von Fall zu Fall je nach Zweck bzw. Inhalt Ihrer De‐Mail.
Ende-zu-Ende-Verschlüsselung und elektronische Signatur Wenn Sie weitere Sicherheitskomponenten einsetzen möchten, können Sie
Ihre Nachrichten zusätzlich mit eigenen Komponenten qualifiziert elek
tronisch signieren oder Ende‐zu‐Ende verschlüsseln. Die De‐Mail‐Anbieter
sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem die für die
Verschlüsselung erforderlichen öffentlichen Schlüssel bzw. Verschlüsse lungszertifikate hinterlegt werden können. Hierdurch wird der Einsatz von
Ende‐zu‐Ende‐Verschlüsselung erheblich vereinfacht.
www.de‐mail.de | 11
Staat und Wirtschaft definieren gemeinsam den Rahmen. Die Wirtschaft setzt De-Mail um. Lediglich die Rahmenbedingungen für den sicheren Nachrichtenaustausch
im Internet über De‐Mail werden – unter enger Einbindung der Wirtschaft –
vom Staat geschaffen. Die Umsetzung von De‐Mail in Form konkreter Pro
dukte erfolgt durch Unternehmen, die sich an diesen Rahmen halten.
Die grundlegenden Anforderungen an Sicherheit, Funktionalität und Inter
operabilität wurden vom Bund gemeinsam mit der Wirtschaft erarbeitet und
in Form von technischen Richtlinien festgeschrieben. Die Einhaltung dieser
Richtlinien durch De‐Mail‐Anbieter wird in einem gesetzlich geregelten Ak
kreditierungsverfahren geprüft.
Das Angebot von De‐Mail‐Diensten erfolgt durch miteinander im Wettbewerb
stehende Unternehmen, die sich auf Grundlage des einheitlichen Rahmens durch Zusatzangebote voneinander abgrenzen können. De‐Mail ist damit die Basis einer flächendeckenden und gleichzeitig wettbewerbsfreundlichen Infrastruktur für eine sichere elektronische Kommunikation.
Zugelassene De‐Mail‐Anbieter erkennen Sie übrigens an dem folgenden
Siegel, das durch das Bundesamt für Sicherheit in der Informationstechnik
vergeben wird:
12 | www.de‐mail.de
Unterstützung bei der Einführung von De-Mail für Behörden und Unternehmen
2011 hat das Kompetenzzentrum (CC De‐Mail)
zahlreiche Behörden aus der Bundes‐, Landes‐ und Kommunalverwaltung und Unternehmen
bei der Anbindung an De‐Mail sowie der Integra tion von De‐Mail in ihre bestehenden Prozesse
unterstützt.
Das CC De‐Mail wurde vom Bundesministerium des Innern mit Mitteln
aus dem IT‐Investitionsprogramm aufgebaut.
Im Zuge dieser Beratungsarbeit hat das CC De‐Mail Konzepte mit organisa
torischen, wirtschaftlichen und technischen Schwerpunkten erstellt sowie
einen Katalog mit generischen De‐Mail‐Einsatzszenarien. Dabei wurden
Muster‐ und Best‐Practice‐Verfahren für die Ermittlung und Auswahl von
Einsatzszenarien erarbeitet. Weitere Ergebnisse sind Wirtschaftlichkeits
betrachtungen, Prozess‐ und Fachverfahrensadaptionen und Vorgehens weisen für die technische Integration sowie für erforderliche Anpassungen
von Standardapplikationen bei der De‐Mail‐Einführung.
Die erarbeiteten Ergebnisse aus den Beratungsprojekten eignen sich eben
so wie die Konzepte zur eigenständigen Nachnutzung durch Behörden und Unternehmen, die De‐Mail einsetzen möchten.
Die Ergebnisse des Kompetenzzentrums „De‐Mail in der deutschen Verwal
tung“ sind auf www.de‐mail.de veröffentlicht.
www.de‐mail.de | 13
Informationen zur Zulassung von De-Mail-Anbietern Prüfung der Sicherheit, Funktionalität und Interoperabilität
BSI
Akkreditierung als De-Mail-Anbieter Anbieter
Anbieter vor der Akkreditierung
Liste akkreditierter De-Mail-Anbieter auf www.bsi.bund.de
BfDI
Prüfung des Datenschutzes Anforderungen an die Akkreditierung
Unabhängig davon, für welchen De‐Mail‐Anbieter Sie sich entscheiden, Sie
können darauf vertrauen, dass Sie ein einheitliches und geprüftes Sicher‐
heitsniveau antreffen. Dafür sorgt das De‐Mail‐Gesetz: Alle De‐Mail‐Anbieter werden nach einheitlichen Kriterien in einem transparenten Verfahren ge‐
prüft. Das ist eine wichtige Voraussetzung für das Entstehen von Vertrauen in die Sicherheit und Qualität der De‐Mail‐Dienste.
Die De‐Mail‐Anbieter müssen Nachweise in den folgenden Bereichen erbringen: •
Sicherheit, Funktionalität und Interoperabilität - verantwortlich für das Prüfungsverfahren ist das Bundesamt für Sicherheit in der Informations‐
technik (BSI). Die aktuellen Zulassungskriterien sind veröffentlicht unter www.bsi.bund.de. •
Datenschutz - verantwortlich für das Prüfungsverfahren ist der Bundes‐ beauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die
aktuellen Zulassungskriterien sind veröffentlicht unter www.bfdi.bund.de. Wenn Sie De‐Mail‐Anbieter werden möchten, wenden Sie sich bitte an de‐
[email protected]. 14 | www.de‐mail.de
Impressum
Herausgeber
Bundesministerium des Innern IT‐Stab, Referat IT 4
Alt‐Moabit 101 D
10559 Berlin
Bezugsquelle
Bundesministerium des Innern E‐Mail:
[email protected] Internet: www.de‐mail.de
Tel.: +49(0)30 18681‐0
Fax: +49(0)30 18681‐2926
Stand
Juli 2012 Druck
Silber Druck oHG Niestetal
Gestaltung und Bildnachweis
Serviceplan Berlin GmbH & Co. KG Berlin
Text
Bundesministerium des Innern Berlin
Diese Broschüre ist Teil der Öffentlichkeitsarbeit der Bundesregierung.
Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.
www.de‐mail.de | 15
www.cio.bund.de
www.de-mail.de