Innenausschuss des Bundestages: Sachverständige zum Entwurf des E-Government-Gesetzes

Bezüglich des geplanten E-Government-Gesetzes wurde vor allem über De-Mail als Möglichkeit für die Behördenkommunikation diskutiert. Gestern fand eine Anhörung des Innenausschusses zu dem Gesetzesentwurf statt, mit folgenden Sachverständigen:

  • Reinhard Dankert, Landesbeauftragter f. Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
  • Linus Neumann, Chaos Computer Club
  • Bernhard Rohleder, BITKOM
  • Ralf Müller-Terpitz, Universität Passau
  • Dirk Stocksmeier, init AG

Die vollständigen Stellungnahmen können auf bundestag.de runtergeladen werden, hier ein paar Auszüge:

Reinhard Dankert:

Mir erschließt sich nicht, warum solche elektronischen Verfahren eine durch Rechtsvorschrift angeordnete Schriftform ersetzen können sollen. Nach wie vor werden hier Signaturverfahren, Verfahren zur Feststellung der Identität, Authentisierungsverfahren und Verfahren zur Willenserklärung in unzulässiger Weise vermischt. […] Zudem ist völlig unklar, wie die technische Ausgestaltung der Formularverfahren in den betreffenden Behörden aussehen soll. In der Begründung ist lediglich von einem „Baukastenmodell nach dem Vorbild des IT-Grundschutzes“ die Rede und es wird in Aussicht gestellt, dass „Mindeststandards in Form von Technischen Richtlinien“ vom BSI erarbeitet werden „könnten“. Angemessen wären aber Vorschriften, die in Struktur und Umfang mit denen des Signaturgesetzes oder des De-Mail-Gesetzes vergleichbar sind.

Linus Neumann:

Dem Anspruch an ein sicheres und vertrauliches Kommunikationsmedium wird De-Mail bereits nach heutigen Maßstäben nicht gerecht. Vielmehr werden durch das massive Anhäufen von sensiblen Informationen auf wenigen zentralen Servern Angri⒎sziele von täglich wachsender Attraktivität mit nur durchschnittlichen Schutzvorkehrungen etabliert.

Bernhard Rohleder:

BITKOM regt eine Klarstellung beim Einsatz der Ende-zu-Ende-Verschlüsselung an. Der potentielle Markt für De-Mail-Provider wird durch die Forderung nach Ende-zu-Ende-Verschlüsselung für bestimmte Vorgänge (Steuergeheimnis, Sozialgeheimnis usw.) und von bestimmten Berufsgruppen (Arztgeheimnis, Anwaltsgeheimnis usw.) erschwert. Der Gesetzgeber und auch die meisten Fachverbände haben hingegen den Sicherheitsstandard einer De-Mail als ausreichend angesehen. In der Praxis ahben diese Berufsgruppen bisher häufig nur einfache E-Mails genutzt. Ohne eine gesetzgeberische Klarstellung droht durch die Forderung nach obligatorischer Ende-zu-Ende-Verschlüsselung, dass Versicherungen, Banken und Krankenkassen, Arztpraxen und Anwaltskanzleien De-Mail nicht nutzen. Wenn aber die größten potentiellen Versender ausfallen, würde das den Markt drastisch weiter verkleinern.

Ralf Müller-Terpitz:

Für die Sicherheit von Daten in elektronischen Akten normiert § 6 Satz 3 EGov-G-E allerdings lediglich die behördliche Verpflichtung, „durch geeignete technisch-organisatorische Maßnahmen nach dem Stand der Technik sicherzustellen, dass die Grundsätze der ordnungsgemäßen Aktenführung eingehalten werden.“ Zwar ermöglicht der Hinweis auf den Stand der Technik eine dynamische Anpassung der Sicherheitsstandards. Dies allein dürfte gemessen an den Vorgaben des BVerfG mit Bezug auf „sensitive Daten“ (z.B. Gesundheits- und Steuerdaten oder Betriebs- und Geschäftsgehemnisse) jedoch nicht ausreichen, da es an einer Normierung des konkret zu wahrenden Sicherheitsniveaus fehlt. Die Entscheidung hierüber wird vielmehr den Behörden überlassen und nicht erst – wie vom BVerfG für zulässig erachtet – seine technische Konkretisierung. Erforderlich ist mithin eine gesetzliche Verpflichtung der Behörden, u.a. die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Revisionsfähigkeit solcher Daten zu wahren.

Dirk Stocksmeier:

Das Sicherheitsniveau von De-Mail ist für eine große Zahl an Anwendungen des öffentlichen Bereichs angemessen. Selbstverständlich gibt es aber auch Anwendungsbereiche, bei denen man zusätzliche Sicherheitstechnologie einsetzen sollte, z.B. die sogenannte Ende-zu-Ende Verschlüsselung. Das ist völlig unstrittig, und akkreditierte De-Mail Anbieter unterstützen diese Ende-zu-Ende Verschlüsselung zum Beispiel dadurch, dass ein Verzeichnis für die öffentlichen Schlüssel Teil ihrer Infrastruktur ist. […] Das Konzept der rechtssicheren Zustellung auf der Basis von De-Mail besticht durch die einfache Bedienbarkeit verbunden mit wichtigen Sicherheitsmerkmalen und ist damit für Anwendungen im Bereich der öffentlichen Verwaltung sehr gut geeignet. Es ist daher sehr genau abzuwägen, ob man hier Veränderungen vornimmt, die eine Akzeptanz am Markt reduzieren könnten. Lassen Sie mich gleichwohl anmerken, dass hierdurch die Bedienbarkeit für den Bürger schwieriger wird. Denn Ende-zu-Ende-Verschlüsselung funktioniert nur dadurch, dass bei Absender und Empfänger zusätzliche Software – ggf. sogar Hardware – zum Einsatz kommt; dies kann ihnen der De-Mail-Provider nicht abnehmen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Was nutzen einem Verschlüsselungstechnologien wenn der Un-(Rechtsstaat) Mittel und Wege hat diese anderweitig zu erpressen (Gewaltmonopol)?

    1. Gerade bei IKNews gefunden:

      “Ich fürchte den Tag, an dem die Technologie unsere Menschlichkeit überholt. Die Welt wird dann eine Generation von Idioten sein.” Albert Einstein

      Wie passend :-)

  2. Mal abgesehen davon, das man von SMTP schon vom Design her (Sore and Forward-Protokoll aus den Zeiten, wo sich di Rechner noch 1x am Tag angerufen haben, um die Post abzuholen) keine garantierten Zustellzeiten erwarten kann, ist „Stand der Technik“ in Bezug auf die Verschüsselung doch mindestest Ende-Zu Ende und sinnvollerweise in Hardware, sprich per Smartcard!

    Nur scheint die Grätsche zwischen dem Überwachungsbedütrfnissen des Führers aus dem Innenministerium und den Gewinnen von den Zertifikats- und Smartcardbuden von G&D wohl in der Praxis etwas schwierig zu sein…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.