So einfach wie E-Mail, so sicher wie Papierpost.

Bürgerinnen und Bürger

Behörde

Anbieter

Unternehmen

Anbieter

Bürgerinnen und Bürger

www.cio.bund.de

Anbieter

Unternehmen

Behörde

www.de-mail.de

Bleiben Sie auf dem Laufenden Mit dieser Broschüre möchten wir Sie über den aktuellen Stand des Projektes De‐Mail informieren. Weitere Informationen zu De‐Mail, über 70 Antworten

auf „Häufig gestellte Fragen“ und den De‐Mail‐Newsletter veröffentlicht das Bundesministerium des Innern auf der Internetseite www.de‐mail.de.

Privatpersonen, Unternehmen und öffentliche Einrichtungen, die De‐Mail‐ Dienste nutzen wollen, finden Informationen sowie weiterführende Hinweise

zu De‐Mail und zum Schutz von IT‐Systemen und Daten auf der Internet­ seite www.bsi‐fuer‐buerger.de.

Unternehmen und öffentliche Einrichtungen, die De‐Mail‐Dienste anbieten

wollen, finden Fachinformationen wie die Technischen Richtlinien und die

­Listen der zertifizierten De‐Mail‐Prüfstellen und Auditoren auf der Internet­

seite www.bsi.bund.de.

Informationen über De‐Mail‐konforme Produkte stellen die zugelassenen De‐

Mail‐Anbieter auf ihren eigenen Internetseiten bereit. Eine Liste dieser akkre‐

ditierten De‐Mail‐Anbieter finden Sie auf der Internetseite www.bsi.bund.de.

2 | www.de‐mail.de

So einfach wie E-Mail, so sicher wie Papierpost. Inhalt Bleiben Sie auf dem Laufenden

2

und Behörden

4

Verschlüsselt, geschützt, nachweisbar – was heißt das genau?

7



Mehr Schutz für Ihre Daten

8



Nachweise und Versandmöglichkeiten

Die Vorteile von De‐Mail für Privatpersonen, Unternehmen Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau? De‐Mail im Detail:

Mehr Sicherheit schon beim Log‐in

6

9 10

Ende‐zu‐Ende‐Verschlüsselung und elektronische Signatur

Staat und Wirtschaft definieren gemeinsam den Rahmen. 

11 12

Die Wirtschaft setzt De‐Mail um.

Unterstützung bei der Einführung von De‐Mail für Behörden und Unternehmen

13

Impressum

15

Informationen zur Zulassung von De‐Mail‐Anbietern

14

www.de‐mail.de | 3

Die Vorteile von De-Mail für Privatpersonen, Unternehmen und Behörden

einfach wie E-Mail

geschützte Daten

verbindlich und nachweisbar

immer & überall

kostensparend

vertrauliche Korrespondenz

Vorteile von De‐Mail für Privatpersonen

Mit De‐Mail können viele Vorgänge verschickt werden, für die bisher nur der Postweg infrage kam. Das hat viele Vorteile für Privatpersonen, Unternehmen

und Behörden: •

•

De‐Mails sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet

verschlüsselt.

Sowohl die Identität der Kommunikationspartner als auch die Zustellung

der De‐Mails können zweifelsfrei nachgewiesen werden. Das ist wichtig

für Sender und Empfänger. Zugleich wirkt die Nachweisbarkeit der Inter­

netkriminalität entgegen, da die Absender von Spam‐ oder Phishing‐ Mails nicht mehr anonym bleiben.

•

•

Privatpersonen können Geschäftliches und Behördengänge schnell und

bequem unabhängig von Öffnungszeiten und Aufenthaltsort erledigen.

Unternehmen und Behörden können viele Vorgänge vollständig elektro­

nisch, d. h. ohne Medienbrüche, bearbeiten - auch rechtlich relevante

­Arbeitsschritte, die eine nachweislich fristgerechte Zustellung erfordern. Hierdurch werden viele Effizienzsteigerungen in Wirtschaft und ­Verwaltung

ermöglicht. Hinzu kommen Kosteneinsparungen bei Papier und Porto. Kurz: Mit De‐Mail sparen Sie Zeit und Geld.

4 | www.de‐mail.de

einfache Integration

geschützte Daten

verbindlich und nachweisbar

ohne Medienbruch

kostensparend

viele Einsatzmöglichkeiten

Vorteile von De‐Mail für Unternehmen und Behörden •

De‐Mail basiert auf heute weit verbreiteten E‐Mail‐Technologien. Vorhan­ dene Schnittstellen können daher ohne hohe Integrationsaufwendungen für De‐Mail genutzt werden.

•

De‐Mail erfordert keine besonderen Kenntnisse – es ist so einfach wie

­E‐Mail. Im einfachsten Fall verwenden Sie Webanwendungen, die den be­

kannten E‐Mail‐Diensten sehr ähnlich sind und keine weiteren Installa­ tionen von Hardware oder Software an Ihrem Rechner erfordern. Oder Sie

schließen die E‐Mail‐Infrastrukturen Ihrer Organisation über ein „Gateway“ an De‐Mail an, sodass vorhandene E‐Mail‐Clients verwendet werden können.

•

Für alle De‐Mail‐Anbieter gelten die gleichen hohen Anforderungen an IT‐

Sicherheit und Datenschutz. Sie haben daher die Gewähr, bei jedem De‐ Mail‐Anbieter ein einheitliches und geprüftes Sicherheitsniveau zu erhalten.

•

Sie können sicher sein, dass Sie alle De‐Mail‐Nutzer zuverlässig erreichen. Es spielt keine Rolle, ob diese ein Konto bei Ihrem De‐Mail‐Anbieter

­haben oder bei einem anderen, denn die Systeme aller De‐Mail‐Anbieter

sind miteinander verbunden.

www.de‐mail.de | 5

Unverschlüsselt, ungeschützt, ​ ohne Nachweis – was heißt das genau?

Mitlesen

Manipulation

Spam und Phishing

keine gesicherte Identität

Absender Ab d

keine Nachweisbarkeit

Empfänger E fä

Gefahren bei der Nutzung unverschlüsselter E‐Mails

Bisher werden in Deutschland über 95 Prozent aller E‐Mails unverschlüsselt von E‐Mail‐Konten versendet. Das bedeutet:

•

Unverschlüsselte E‐Mails können ohne großen Aufwand auf ihrem Weg

durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem Inhalt verändert werden.

•

Absender und Empfänger können nie vollständig sicher sein, mit wem sie

•

A bsender wissen nicht zuverlässig, ob die gesendete E‐Mail tatsäch­

gerade kommunizieren.

lich beim Empfänger angekommen ist und können es daher auch nicht

nachweisen. •

Der Anteil von SPAM, d. h. von unerwünschten, massenhaft versendeten

E‐Mails eines schwer oder gar nicht ermittelbaren Absenders, am E‐Mail‐

Verkehr hat in den letzten Jahren stark zugenommen. •

Immer häufiger werden Zugangsdaten zu E‐Mail‐Konten ausgespäht (soge­

nanntes „Phishing“, das in der Regel zum Identitätsdiebstahl genutzt wird).

6 | www.de‐mail.de

Verschlüsselt, geschützt, nachweisbar – was heißt das genau?

verschlüsselte Transportwege

geschützte Daten

geschlossener Nutzerkreis

Identifizierung aller Teilnehmer

Absender Ab d

verbindlich und nachweisbar

Empfänger E fä

Schutz bei der Nutzung verschlüsselter De‐Mails

De‐Mails haben – ohne zusätzliche Installationen – wichtige Sicherheitsmerk‐ male, die der herkömmlichen E‐Mail fehlen:

•

De‐Mails können nicht von Dritten abgefangen und verändert werden,

•

Versender und Empfänger einer De‐Mail sind stets nachvollziehbar, weil

weil sie auf ihrem Weg durch das Internet immer verschlüsselt sind.

die Nutzer erst dann ein De‐Mail‐Konto erhalten, wenn sie sich vorher eindeutig identifiziert haben.

•

Nutzer erhalten auf Wunsch Versand‐ und Eingangsnachweise für ihre

•

SPAM wird verhindert, weil die Absender eindeutig identifiziert sind.

•

De‐Mails („elektronisches Einschreiben“).

Phishing und Identitätsdiebstahl werden bekämpft, weil sich Nutzer mit

einem doppelt gesicherten Verfahren anmelden können (siehe Seite 9).

Aufgrund dieser Sicherheitsmerkmale stärkt und unterstützt De‐Mail die Möglichkeiten der Nutzer, ihre persönlichen Daten wirksam zu schützen.

www.de‐mail.de | 7

Mehr Schutz für Ihre Daten De‐Mail ist ein wichtiges Instrument zur Verbesserung des Selbstdaten­

schutzes und der Datensicherheit. Dafür sorgen folgende Faktoren: •

Obligatorische Transportverschlüsselung: Die von Ihnen übermittelten

•

Optionale Sicherheitskomponenten: De‐Mail unterstützt den Einsatz zu­

Daten sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet

immer verschlüsselt.

sätzlicher Sicherheitskomponenten wie Ende‐zu‐Ende‐Verschlüsselung oder Signatur.

•

Hohe Anforderungen an die technische und organisatorische Sicherheit

der De‐Mail‐Anbieter: Das am 3. Mai 2011 in Kraft getretene De‐Mail‐­ Gesetz regelt die Mindestanforderungen an einen sicheren elektronischen

Nachrichtenaustausch. Darüber hinaus sorgt es für ein geregeltes Ver­

fahren zur Prüfung dieser Mindestanforderungen, die für alle De‐Mail‐

Anbieter in gleicher Weise gelten.

•

Zertifizierter Datenschutz: Die De‐Mail‐Anbieter müssen durch ein

­Datenschutzzertifikat des Bundesbeauftragten für den Datenschutz und

die Informationsfreiheit (BfDI) umfassende Maßnahmen zum Schutz per­

sonenbezogener Daten belegen.

Mit De‐Mail können Sicherheit und Datenschutz beim Austausch elektroni‐

scher Nachrichten von einem heute flächendeckend geringen Niveau auf ein flächendeckend hohes Niveau angehoben werden.

8 | www.de‐mail.de

De-Mail im Detail

Mehr Sicherheit schon beim Log-in Für die Anmeldung an einem De‐Mail‐Konto gibt es zwei Anmeldeverfahren: •

Für das „normale“ Sicherheitsniveau reicht die Anmeldung mit Ihrem ­Benutzernamen und Ihrem Passwort, wie Sie es von E‐Mail‐Anwendungen

kennen. Man spricht in diesem Fall von Authentifizierung durch Wissen. •

Für das „hohe“ Sicherheitsniveau bzw. die sichere Anmeldung setzen Sie

Ihren Benutzernamen, Ihr Passwort und einen „Token“ ein, d. h. einen Ge­

genstand. Das kann der neue Personalausweis sein, eine Signaturkarte

oder andere zugelassene Verfahren, z. B. auf Basis von USB‐Sticks oder Mobiltelefonen (etwa das mTAN‐Verfahren, bei dem eine SMS mit zufällig

generierter Zahlenkombination an Ihr Mobiltelefon geschickt wird und Sie diese TAN bei der Anmeldung am De‐Mail‐Konto eingeben). Wird ein

Token eingesetzt, spricht man von einer Zwei‐Faktor‐Authentifizierung

durch Wissen und Besitz. Die De‐Mail‐Anbieter können beliebig viele Ver­ fahren für diese sichere Anmeldung anbieten, müssen aber mindestens

zwei vorsehen und in jedem Fall das Verfahren mit dem neuen Personal­ ausweis. Welche Art von Token Sie für die Anmeldung an Ihrem De‐Mail‐ Konto nutzen, hängt von Ihren persönlichen Vorlieben ab.

Die Anmeldung mit dem „hohen“ Sicherheitsniveau ist vom Gesetzgeber

als Standard für Ihren Zugang zum De‐Mail‐Konto vorgesehen und wird für

die meisten De‐Mail‐spezifischen Versandoptionen benötigt. Auf Ihr Ver­ langen kann der De‐Mail‐Anbieter Ihnen den Zugang zum De‐Mail‐Konto

auch mit Benutzername und Passwort eröffnen. In diesem Fall stehen Ihnen

die Grundfunktionalitäten von De‐Mail zur Verfügung.

www.de‐mail.de | 9

Nachweise und Versandmöglichkeiten Eine Standard‐De‐Mail – bei der keine zusätzlichen De‐Mail‐Versandoptionen

gewählt wurden – ist auf ihrem Weg durch das Internet verschlüsselt. Die

Nachrichteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/­ Empfängeradresse, Versandzeitpunkt usw.) sind durch die Verschlüsselung

vor dem Mitlesen und gegen Veränderungen durch Dritte geschützt. Zudem

sind sowohl Absender als auch Empfänger eindeutig identifiziert.

Bereits eine Standard‐De‐Mail hat ein hohes Maß an Verbindlichkeit und kann

für zahlreiche Anwendungsfälle genutzt werden.

Zusätzlich zu dieser Standard‐De‐Mail kann der Nutzer eine oder mehrere der folgenden Versandoptionen wählen:

•

Versandbestätigung: Der Absender erhält eine von seinem De‐Mail‐Anbieter

qualifiziert elektronisch signierte Bestätigung, dass er diese Nachricht ver­

schickt hat. •

Bestätigung des Versands mit hohem Authentisierungsniveau: Absen­

der und Empfänger erhalten eine vom De‐Mail‐Anbieter des Absenders qualifiziert elektronisch signierte Bestätigung, dass der Absender mit hohem Authentisierungsniveau angemeldet war, als er diese De‐Mail

verschickt hat. •

Eingangsbestätigung: Absender und Empfänger erhalten eine vom De‐Mail‐

Anbieter des Empfängers qualifiziert elektronisch signierte Bestätigung, dass diese De‐Mail im Postfach des Empfängers eingegangen ist.

In allen drei Fällen umfasst die Signatur des De‐Mail‐Anbieters alle Nach­

richteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/Empfän­

geradresse, Versandzeitpunkt usw.). Sie erhalten dadurch einen belastbaren Nachweis für Ihre elektronisch übermittelte Nachricht.

10 | www.de‐mail.de

De-Mail im Detail

Darüber hinaus können Sie – zum Beispiel bei besonders vertraulich zu

behandelnden Inhalten – eine weitere Sicherheitsoption wählen: •

Persönlich: Der Absender legt fest, dass der Empfänger die Nachricht nur

lesen kann, wenn er sich wie der Absender mit hohem Authentisierungs‐

niveau angemeldet hat.

Die verschiedenen Versandarten und Bestätigungen kombinieren Sie von Fall zu Fall je nach Zweck bzw. Inhalt Ihrer De‐Mail.

Ende-zu-Ende-Verschlüsselung und elektronische Signatur Wenn Sie weitere Sicherheitskomponenten einsetzen möchten, können Sie

Ihre Nachrichten zusätzlich mit eigenen Komponenten qualifiziert elek­

tronisch signieren oder Ende‐zu‐Ende verschlüsseln. Die De‐Mail‐Anbieter

sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem die für die

­Verschlüsselung erforderlichen öffentlichen Schlüssel bzw. Verschlüsse­ lungszertifikate hinterlegt werden können. Hierdurch wird der Einsatz von

Ende‐zu‐Ende‐Verschlüsselung erheblich vereinfacht.

www.de‐mail.de | 11

Staat und Wirtschaft definieren gemeinsam den Rahmen. Die Wirtschaft setzt De-Mail um. Lediglich die Rahmenbedingungen für den sicheren Nachrichtenaustausch

im Internet über De‐Mail werden – unter enger Einbindung der Wirtschaft –

vom Staat geschaffen. Die Umsetzung von De‐Mail in Form konkreter Pro­

dukte erfolgt durch Unternehmen, die sich an diesen Rahmen halten.

Die grundlegenden Anforderungen an Sicherheit, Funktionalität und Inter­

operabilität wurden vom Bund gemeinsam mit der Wirtschaft erarbeitet und

in Form von technischen Richtlinien festgeschrieben. Die Einhaltung dieser

Richtlinien durch De‐Mail‐Anbieter wird in einem gesetzlich geregelten Ak­

kreditierungsverfahren geprüft.

Das Angebot von De‐Mail‐Diensten erfolgt durch miteinander im Wettbewerb

stehende Unternehmen, die sich auf Grundlage des einheitlichen Rahmens durch Zusatzangebote voneinander abgrenzen können. De‐Mail ist damit die Basis einer flächendeckenden und gleichzeitig wettbewerbsfreundlichen Infrastruktur für eine sichere elektronische Kommunikation.

Zugelassene De‐Mail‐Anbieter erkennen Sie übrigens an dem folgenden

Siegel, das durch das Bundesamt für Sicherheit in der Informationstechnik

vergeben wird:

12 | www.de‐mail.de

Unterstützung bei der Einführung von ­De-Mail für Behörden und Unternehmen



2011 hat das Kompetenzzentrum (CC De‐Mail)

zahlreiche Behörden aus der Bundes‐, Landes‐ und Kommunalverwaltung und Unternehmen

bei der Anbindung an De‐Mail sowie der Integra­ tion von De‐Mail in ihre bestehenden Prozesse

unterstützt.

Das CC De‐Mail wurde vom Bundesministerium des Innern mit Mitteln

aus dem IT‐Investitionsprogramm aufgebaut.

Im Zuge dieser Beratungsarbeit hat das CC De‐Mail Konzepte mit organisa­

torischen, wirtschaftlichen und technischen Schwerpunkten erstellt sowie

einen Katalog mit generischen De‐Mail‐Einsatzszenarien. Dabei wurden

Muster‐ und Best‐Practice‐Verfahren für die Ermittlung und Auswahl von

Einsatzszenarien erarbeitet. Weitere Ergebnisse sind Wirtschaftlichkeits­

betrachtungen, Prozess‐ und Fachverfahrensadaptionen und Vorgehens­ weisen für die technische Integration sowie für erforderliche Anpassungen

von Standardapplikationen bei der De‐Mail‐Einführung.

Die erarbeiteten Ergebnisse aus den Beratungsprojekten eignen sich eben­

so wie die Konzepte zur eigenständigen Nachnutzung durch Behörden und Unternehmen, die De‐Mail einsetzen möchten.

Die Ergebnisse des Kompetenzzentrums „De‐Mail in der deutschen Verwal­

tung“ sind auf www.de‐mail.de veröffentlicht.

www.de‐mail.de | 13

Informationen zur Zulassung von De-Mail-Anbietern Prüfung der Sicherheit, Funktionalität und Interoperabilität

BSI

Akkreditierung als De-Mail-Anbieter Anbieter

Anbieter vor der Akkreditierung

Liste akkreditierter De-Mail-Anbieter auf www.bsi.bund.de

BfDI

Prüfung des Datenschutzes Anforderungen an die Akkreditierung

Unabhängig davon, für welchen De‐Mail‐Anbieter Sie sich entscheiden, Sie

können darauf vertrauen, dass Sie ein einheitliches und geprüftes Sicher‐

heitsniveau antreffen. Dafür sorgt das De‐Mail‐Gesetz: Alle De‐Mail‐Anbieter werden nach einheitlichen Kriterien in einem transparenten Verfahren ge‐

prüft. Das ist eine wichtige Voraussetzung für das Entstehen von Vertrauen in die Sicherheit und Qualität der De‐Mail‐Dienste.

Die De‐Mail‐Anbieter müssen Nachweise in den folgenden Bereichen erbringen: •

Sicherheit, Funktionalität und Interoperabilität - verantwortlich für das Prüfungsverfahren ist das Bundesamt für Sicherheit in der Informations‐

technik (BSI). Die aktuellen Zulassungskriterien sind veröffentlicht unter www.bsi.bund.de. •

Datenschutz - verantwortlich für das Prüfungsverfahren ist der Bundes‐ beauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die

aktuellen Zulassungskriterien sind veröffentlicht unter www.bfdi.bund.de. Wenn Sie De‐Mail‐Anbieter werden möchten, wenden Sie sich bitte an­​ de‐[email protected]. 14 | www.de‐mail.de

Impressum

Herausgeber

Bundesministerium des Innern IT‐Stab, Referat IT 4

Alt‐Moabit 101 D

10559 Berlin

Bezugsquelle

Bundesministerium des Innern E‐Mail: [email protected] Internet: www.de‐mail.de

Tel.: +49(0)30 18681‐0

Fax: +49(0)30 18681‐2926

Stand

Juli 2012 Druck

Silber Druck oHG Niestetal

Gestaltung und Bildnachweis

Serviceplan Berlin GmbH & Co. KG Berlin

Text

Bundesministerium des Innern Berlin

Diese Broschüre ist Teil der Öffentlichkeitsarbeit der Bundesregierung.

Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.

www.de‐mail.de | 15

www.cio.bund.de

www.de-mail.de