Aktueller Stand der Entwicklung und Einführung von De-Mail
der Abgeordneten Jan Korte, Ulla Jelpke, Martina Renner, Dr. Petra Sitte, Kersten Steinke, Frank Tempel, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Der Zwischenbericht der Bundesregierung nach Artikel 4 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften (Bundestagsdrucksache 18/4042 vom 16. Februar 2015) bestätigte erneut die seit der Einführung bestehenden Akzeptanzprobleme. In dem Zwischenbericht heißt es, dass „die für die Entstehung von Netzwerkeffekten erforderliche ,kritische Masse‘ von Nutzern noch nicht erreicht werden konnte.“ Die Einführung der De-Mail im Bereich der Bundesverwaltung habe sich „aufgrund eines Nachprüfungsverfahrens eines Wettbewerbers […] erheblich verzögert.“ Während in der offiziellen Auswertung des Bundesministeriums für Wirtschaft und Energie zum achten Nationalen IT-Gipfel im Oktober 2014 die Position des Bundesministeriums des Innern (BMI) noch folgendermaßen zitiert wurde: „De Maizière bestärkt die Zusage aus der Digitalen Agenda, bis Ende 2015 bei allen Bundesbehörden De-Mail einzuführen“, so beantwortete wenige Monate später ein Sprecher des BMI eine NET-Anfrage so: „Die Bundesbehörden sind gemäß E-Government-Gesetz verpflichtet, innerhalb eines Jahres nach Bereitstellung einer zentral durch den Bund betriebenen Infrastruktur (zentrales De-Mail-Gateway) den Zugang per De-Mail zu eröffnen […]. Das BMI ging im Oktober 2014 noch von einer Inbetriebnahme des Gateways bis Ende 2014 aus. Das Gateway wird jedoch erst im Laufe des Monats März 2015 in Betrieb gehen, so dass in der Folge einige Behörden ggf. erst im ersten Quartal 2016 den De-Mail-Zugang realisieren.“ (NET 4/15).
De-Mail wird von der Deutschen Telekom AG, Francotyp-Postalia Vertrieb und Service GmbH sowie United Internet AG (1&1, GMX und WEB.DE) angeboten. Weiterhin bestehen erhebliche Zweifel, dass die Provider diesen Dienst kostendeckend betreiben können. Zumindest United Internet AG beziffert die erheblichen Anlaufverluste in ihrem Geschäftsbericht.
Am 15. April 2013 hatten der Chaos Computer Club und weitere Sachverständige in einer Öffentlichen Anhörung des Rechtsausschusses des Deutschen Bundestages der De-Mail in puncto Sicherheit ein katastrophales Zeugnis ausgestellt. Der zentrale Kritikpunkt war die fehlende Ende-zu-Ende-Verschlüsselung, die den De-Mail-Providern, Polizei, Geheimdiensten und potenziellen Angreifern Zugriff auf die unverschlüsselten Kommunikationsdaten gewähre. Trotz dieser schwerwiegenden Bedenken beschloss der Deutsche Bundestag am 18. April 2013 das Gesetz zur Förderung der elektronischen Verwaltung.
Die Anbieter des E-Mail-Systems haben nun zwei Jahre nach Inkrafttreten des De-Mail-Gesetzes reagiert und zumindest in Punkto fehlender Ende-zu-Ende-Verschlüsselung nachgebessert. Seit dem 20. April 2015 können private Nutzer, Ämter und Unternehmen via De-Mail mittels PGP („Pretty Good Privacy“) vertrauliche Inhalte durchgehend vom Absender bis zum Empfänger schützen.
Die Kritik, wonach De-Mail jetzt zwar sicherer, dafür allerdings mit einer äußerst benutzerunfreundlichen Lösung aufwarte, wiesen die Anbieter zurück, da sie den Verschlüsselungsprozess so stark vereinfacht hätten, dass zwei Drittel der sonst bei PGP üblichen Schritte entfallen und der Anwender im Rahmen seiner gewohnten Browser-Umgebung durch den Prozess geführt würde.
Allerdings verschwiegen sie, dass dies nur bei einigen Browsern möglich ist. Auch der Kritik, dass die Verschlüsselung bei der De-Mail, wie bei WhatsApp von Facebook oder iMessage von Apple, standardmäßig hätte aktiviert sein müssen, widersprachen die Anbieter mit dem Argument, dass dies bei De-Mail nicht möglich sei, da hier kein geschlossenes System vorliege (dpa-Meldung vom 22. April 2015).
Am 15. November 2013 hatte die „Süddeutsche Zeitung“ berichtet, dass an das deutsche Tochterunternehmen des US-amerikanischen Spionagedienstleisters Computer Sciences Corporation (CSC) auch im Rahmen der De-Mail-Entwicklung Aufträge ergangen seien. Laut einer Meldung auf „www.netzpolitik.org“ war die Firma noch bis zum Jahr 2012 mit der „Unterstützung bei der Fachkommunikation“ befasst. Neben mehreren Studien zur „Unterstützung bei der Öffentlichkeitsarbeit und Akzeptanzmanagement“ betreute CSC demnach noch bis März 2014 ein Vorhaben „Projektunterstützung De-Mail“. Auch das „Kompetenzzentrum De-Mail“ wurde ebenfalls von CSC bei der Presse- und Öffentlichkeitsarbeit beraten (vgl. www.netzpolitik.org vom 18. November 2013).
Wir fragen die Bundesregierung:
Fragen24
Wie viel hat die Entwicklung von De-Mail bislang insgesamt gekostet (bitte entsprechend aufschlüsseln)?
Wer hat diese Kosten im Detail übernommen?
Welche Kosten entstanden bislang nach Kenntnis der Bundesregierung den Verwaltungen von Ländern und Kommunen bei der Einführung der De-Mail, und mit welchen Kosten wird hier insgesamt gerechnet (bitte entsprechend aufschlüsseln)?
Wie viele Arbeitsstunden (pro beteiligter Person und insgesamt) hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in die Entwicklung der rund 600 Seiten umfassenden technischen Richtlinien investiert?
Welche Behörden haben nach Kenntnis der Bundesregierung einen De-Mail-Zugang, und welche werden ihn voraussichtlich ab wann bekommen?
Mit welchen Behörden können De-Mail-Nutzer nach Kenntnis der Bundesregierung per PGP-Plugin verschlüsselt kommunizieren, welche planen dies, und welche Institutionen lehnen eine verschlüsselte Kommunikation mit Bürgern und Unternehmen aus welchen Gründen ab (bitte entsprechend auflisten)?
Wie hat sich die Nutzung in den vergangenen Jahren entwickelt, und wie viele authentifizierte De-Mail-Nutzer sind aktuell registriert?
Wie viele De-Mails wurden von den Nutzern bisher tatsächlich versandt?
Wie viele De-Mails werden derzeit durchschnittlich pro Monat versandt?
In welchem Jahr wird nach Auffassung der Bundesregierung die für die Entstehung von Netzwerkeffekten erforderliche „kritische Masse“ (Bundestagsdrucksache 18/4042) von De-Mail-Nutzern erreicht, und auf welche Größenordnung taxiert die Bundesregierung diese?
Welche Personen bzw. Unternehmen gehören der gemeinsamen Arbeitsgruppe mit der Wirtschaft an, um im Rahmen der Digitalen Agenda die flächendeckende Einführung von De-Mail zu beschleunigen?
Wie bewertet die Bundesregierung die zwei Jahre nach Einführung erfolgte Nachbesserung in Punkto einer ab dem 20. April 2015 möglichen Ende-zu-Ende-Verschlüsselung, und sieht sie dadurch alle früheren Datenschutzkritikpunkte an De-Mail ausgeräumt (bitte begründen)?
Werden die De-Mail-Server auch als PGP-Keyserver genutzt?
Existieren nach Auffassung der Bundesregierung noch Probleme der Rechtssicherheit von De-Mail (z. B. bezüglich Beweiskraft, Beweislast oder Schriftformerfordernis), und wenn ja, wie sollen diese gelöst werden? Wenn nein, warum nicht?
Was passiert, wenn eine verschlüsselte amtliche Nachricht bei einem De-Mail-Nutzer eintrifft, dieser sie aber aus technischen Gründen nicht öffnen kann, weil er sein PGP-Passwort vergessen hat?
Inwieweit ist die De-Mail in andere E-Government-Projekte oder Konzeptionen eingebunden, und welche Rolle spielt sie in der E-Government-Strategie der Bundesregierung?
Welche elektronischen Zustelldienste bestehen nach Kenntnis der Bundesregierung in den übrigen Mitgliedstaaten der Europäischen Union, und welche davon sind mit De-Mail kompatibel?
Wird das automatisierte Auskunftsverfahren nach § 112 des Telekommunikationsgesetzes (TKG) von Sicherheits- und Strafverfolgungsbehörden sowie sonstigen berechtigten Stellen auch zum Abruf von Kundendaten von De-Mail-Konten genutzt?
Wenn ja, in welchem Umfang (bitte entsprechend nach Jahr, Anzahl der Abrufe und Sicherheits- und Strafverfolgungsbehörden aufschlüsseln)?
In welchem Umfang gelang bislang § 16 des De-Mail-Gesetzes zur Anwendung, nach dem Dritte von akkreditierten Dienstanbietern Auskunft über Namen und Anschrift von De-Mail-Nutzern beanspruchen können?
In welcher Form wird sichergestellt, dass Behörden oder andere Institutionen, die mit besonders schutzbedürftigen personenbezogenen Daten Dritter umgehen, solche Daten untereinander ausschließlich Ende-zu-Ende verschlüsselt versenden?
Wie soll eine Vorratsspeicherung aller De-Mail-Briefwechsel (vergleiche § 100 TKG und Leitlinien des Bundesministeriums der Justiz und für Verbraucherschutz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vom 15. April 2015) künftig normenklar und technisch ausgeschlossen werden?
Welche Aufträge im Rahmen der Entwicklung von De-Mail wurden an private Dienstleister vergeben (bitte entsprechend nach Jahr, Auftragnehmer, Auftragsart bzw. Titel und Kosten aufschlüsseln)?
Welche Aufträge im Rahmen von De-Mail wurden an CSC oder deren deutsche Töchterfirmen vergeben (bitte nach Jahr, Auftragsart bzw. Titel und Kosten aufschlüsseln)?
Haben die De-Mail-Provider auch eine Schnittstelle zum Bundesnachrichtendienst oder anderen Sicherheitsbehörden eingerichtet, bzw. wurden sie dazu aufgefordert, entsprechende Zugänge zu ermöglichen?