Einige Abgeordnete haben sich dies auch gefragt und eine Anfrage an die Bundesregierung gestellt und die Antwort veröffentlicht.
Mit der DE-Mail sollte der E-mailverkehr sicherer und Datenaustausch einfacher werden. Nach anfänglich großer Kritik – unter anderem wegen mangelnder Ende-zu-Ende Verschlüsselung – wurde nachgebessert. Aber in der Mitte der Gesellschaft ist die Lösung noch immer nicht angekommen, geschweige denn im alltäglichen Gebrauch. Eine Gruppe Abgeordneter stellte nun eine Kleine Anfrage zum aktuellen „Stand der Entwicklung und Einführung von DE-Mail“. Aus den Antworten lässt sich erahnen, dass es noch ein weiter und steiniger Weg sein könnte.
Woran liegt’s?
Zwar sollen sich „seit Marktstart im September 2012 über eine Million Privatkunden, einige zehntausend Mittelstandskunden und ca. 1000 De-Mail-Großkunden aus Wirtschaft und Verwaltung authentifiziert“ haben. Wie viele davon tatsächlich aktive Nutzer sind, bleibt jedoch unbeantwortet. Aber ist Ihnen im Alltag schon eine DE-Mail über den Weg gelaufen? Ebenso unbeantwortet bleibt die Frage danach, wann die notwendige „kritische Masse“ erreicht sein könnte. Diese sei nötig, damit ein „sich selbst tragender Betrieb einer solchen Infrastruktur […] dauerhaft möglich ist“. Antworten wie „Eine pauschale Quantifizierung ist nicht möglich. Daher ist auch keine zuverlässige Prognose darüber möglich, wann diese „kritische Masse“ erreicht sein wird.“ deuten darauf hin, dass selbst die Bundesregierung ein eher schwammiges Bild zur aktuellen Lage hat. Vor allem, wenn man bedenkt, dass besagte kritische Masse anscheinend das einzige ist, worauf gesetzt wird, um eine große Verbreitung zu erlangen. Denn eine Anbindung an andere Dienste sei generell nicht für das „geschlossene System“ geplant. Lediglich eine Interoperabilität mit „Zustelldiensten“ andere Länder. Eine erstaunlich eingeschränkte Herangehensweise für ein vermeintlich modernes, internetbasiertes Modell.
PGP – von IT-lern für IT-ler
Neben diesen systematischen Einschränkungen steht die DE-Mail unter anderem auch für die verwendete Technologie in der Kritik. Durch „Pretty Good Privacy“ (kurz PGP) wird zwar eine Ende-zu-Ende Verschlüsselung ermöglicht, stellt jedoch eine denkbar benutzerunfreundliche Lösung dar. Sowohl in der Einrichtung für Unternehmen und Behörden, als auch in der Handhabung und Benutzung für den Endnutzer. – ohne größeren Zeitaufwand und IT-Kenntnisse stellt PGP eine unhandliche und komplizierte Herausforderung für alle Beteiligten dar. Und damit steht das Produkt sich letztlich selbst im Weg: eine Sicherheitslösung trägt nur in dem Umfang zur Sicherheit bei, in dem sie auch von den betreffenden Nutzern eingesetzt wird. Solange es einfacher ist, einen Brief aufzusetzen, und auf die Post zu bringen – und es dann auch noch das gleiche kostet – wird sich eine Lösung nicht in der breiten Masse durchsetzen können. Die Anbieter weisen diese Vorwürfe mit dem Hinweis zurück, sie hätten die Handhabung deutlich vereinfacht. Sie vergessen dabei jedoch zu erwähnen, dass nicht alle Browser ihre Vereinfachung unterstützen - und dass es eben nur eine Vereinfachung eines grundsätzlich komplexen Konzepts ist. Eine optimale Lösung müsste unkompliziert und kostengünstig für Unternehmen und Behörden zu implementieren sein. Und sie sollte keine nationale Insellösung sein, sondern kommunikationstauglich mit anderen Systemen sein – ein Brief wird ja schließlich auch über Landesgrenzen und an fremde Dienstleister zugestellt. Entscheidend wäre jedoch, sie würde sich durch besondere Einfachheit in der Bedienung für den Endnutzer auszeichnen.
Sicher? Per Gesetz.
Die DE-Mail sollte den Datenaustausch auf elektronischem Weg jedoch nicht nur einfacher machen, sondern auch noch sicher. So wurde im Juli 2014 „der gegenüber einer einfachen Mail erhöhte Beweiswert einer absenderbestätigten De-Mail gesetzlich bestimmt“. Was in etwa so viel bedeutet wie: „Das Ganze ist sicher, weil wir es sagen.“ Dieser Mangel an Glaubwürdigkeit wird noch durch die Tatsache befördert, dass die Signatur nicht vom Sender, sondern vom Anbieter erstellt wird. Dies lässt jede über den Dienst versandte Nachricht als sicher erscheinen, egal, von wem sie tatsächlich verfasst wurde.
Und was soll das Ganze kosten?
Abgesehen von den Kosten für den Nutzer, wird über die Kosten des Projekts an sich öffentlich leider nur sehr spärlich gesprochen. Die Gesamtkosten werden als „Nur für den Dienstgebrauch“ eingestuft und sind somit nicht öffentlich einsehbar. Was die Entwicklungskosten angeht, so wird berichtet, dass diese vom Bundesinnenministerium gezahlt werden, jedoch nicht, welchen Umfang diese haben. Das Einzige, was beziffert wird, ist die Anfertigung der technischen Richtlinien durch das Bundesamt für Sicherheit in der Informationstechnik: diese umfassen etwa 600 Seiten und sollen rund zwei Personen-Jahre an Aufwand gekostet haben.
Das tote Pferd
Als Reaktion auf die undurchsichtigen und wenig fundierten Aussagen der Bundesregierung hin hat die Presse kaum gute Worte für die DE-Mail übrig. So wird vom toten Pferd gesprochen, das weitergeritten wird und, dass wohl auch in den nächsten Jahren wenig Fortschritt zu erwarten sei.
Wir können aus Erfahrung sagen, ein System findet nur Anwendung, wenn es Probleme löst, ohne neue zu schaffen. Sicherheit und Benutzerakzeptanz lassen sich nicht per Gesetz erreichen, sondern nur durch den geschickten Einsatz von Technologie ohne den Anwender aus dem Auge zu verlieren.
