Technologien für den verschlüsselten Versand von E-Mails gibt es zwar seit langem, doch sie konnten sich bisher in der Praxis nicht durchsetzen: Weiterhin werden 95 Prozent aller E-Mails unverschlüsselt versendet. Das mag auch daran liegen, dass die Verschlüsselung elektronischer Nachrichten in der Regel zusätzliche Installationen auf dem Rechner (Zertifikate, Kartenlesegerät usw.) und Fachwissen erfordert.

Mit De-Mail gibt es eine sehr einfache Möglichkeit, elektronische Nachrichten

• verschlüsselt,
• authentisch und
• nachweisbar

zu versenden.

Der Versand einer De-Mail ist genauso einfach wie der einer herkömmlichen E-Mail.

Vorteile gegenüber herkömmlicher E-Mail

Funktion	E-Mail	De-Mail
Eindeutig identifizierbare Sender	nein	ja
Eindeutig identifizierbare Empfänger	nein	ja
Vertrauliche Übertragung durch Verschlüsselung	nein	ja
Schutz vor Manipulation der Nachrichten	nein	ja
Schutz vor Werbe-Mails (Spam)	nein	ja
Automatische Erkennung von Schadprogrammen (Viren,Trojaner) und Warnung des Empfängers	nein	ja
Verbindlicher Versand	nein	ja
Versandoption: Versandbestätigung	nein	ja
Versandoption: Empfangsbestätigung	nein	ja
Versandoption: Persönlich	nein	ja
Versandoption: Absenderbestätigt	nein	ja
Globales Adressbuch (öffentlicher Verzeichnisdienst)	nein	ja

Weboberfläche oder E-Mail-Client?

Im einfachsten Fall verwenden Sie die Webanwendungen der De-Mail-Anbieter. Sie haben große Ähnlichkeit mit den bekannten E-Mail-Oberflächen im Internet. Das macht den Einstieg besonders einfach. Außerdem müssen Sie dann keine weitere Software installieren, um De-Mail zu nutzen. Sofern Ihr De-Mail-Anbieter diese Option ermöglicht, können Sie auch ein gängiges E-Mail-Programm für De-Mail nutzen. Informationen hierzu sowie detaillierte Anleitungen erfragen Sie bitte bei Ihrem Anbieter.

Unternehmen und öffentliche Einrichtungen nutzen oft eigene E-Mail-Server und -Programme für den Versand elektronischer Nachrichten. Auch sie müssen sich nicht umstellen: Ihre Systeme lassen sich über ein Gateway an den De-Mail-Dienst anschließen. Die bestehenden E-Mail-Clients können anschließend wie gewohnt weiterverwendet werden.

Registrierung und Identifizierung

Für die Nutzung von De-Mail benötigen Sie ein De-Mail-Konto und die dazu gehörende De-Mail-Adresse. Aus dieser Adresse muss eindeutig hervorgehen, dass es sich um eine De-Mail-Adresse handelt, z.B. vorname.nachname@Ihr_De-Mail-Anbieter.de.

Sie erhalten die De-Mail-Adresse, indem Sie sich bei dem De-Mail-Anbieter Ihrer Wahl für ein De-Mail-Konto registrieren. Nach der Registrierung erfolgt eine Überprüfung Ihrer Identität. Das ist einer der großen Vorteile von De-Mail: Niemand kann sich hinter einer falschen Identität verstecken, denn nur Nutzer mit einer überprüften Identität können De-Mails versenden und empfangen.

Die Überprüfung Ihrer Identität erfolgt durch ein vom De-Mail-Anbieter vorgegebenes Verfahren. Ein hierzu vom Anbieter Bevollmächtigter wird Ihre Identität anhand Ihres Personalausweises oder Reisepasses persönlich prüfen und bestätigen. Darüber hinaus kann Ihr De-Mail-Anbieter auch eine Identifizierung anhand der Online-Ausweisfunktion des Personalausweises oder des elektronischen Aufenthaltstitels anbieten. Informationen zum Personalausweis finden Sie unter dem Menüpunkt "Der Personalausweis". Haben Sie die Registrierung und Identifizierung erfolgreich abgeschlossen, wird Ihr De-Mail-Konto freigeschaltet und Sie erhalten Ihre Zugangsdaten.

Anmeldeverfahren

Um eine De-Mail zu versenden oder eine empfangene De-Mail zu lesen, melden Sie sich an Ihrem De-Mail-Konto an. Hier stehen Ihnen zwei Anmeldeverfahren zur Auswahl, die unterschiedlichen Sicherheitsniveaus entsprechen und verschiedene Aktionen im De-Mail-Konto ermöglichen.

Für das "normale" Sicherheitsniveau reicht die Anmeldung mit Benutzername und Passwort. Man spricht in diesem Fall von Authentifizierung durch Wissen. Für das "hohe" Sicherheitsniveau setzen Sie zusätzlich zu Benutzername und Passwort einen Token ein, d.h. einen Gegenstand, der sich in Ihrem Besitz befindet.

Dann spricht man von einer Zwei-Faktor-Authentifizierung durch Wissen (Benutzername/Passwort) und Besitz (Token). Es gibt unterschiedliche Token von verschiedenen Herstellern:

• Chipkarte mit eID-Funktion, z. B. der Personalausweis im Checkkartenformat oder eine Signaturkarte,
• USB-Gerät in der Größe eines Speicher- Sticks, das eine mit PIN oder Passwort geschützte Authentisierungsfunktion enthält,
• One-Time-Password-Generator (OTP, Einmalpasswortverfahren), mit dem Sie bei Bedarf ein Passwort anfordern, das Sie nur für eine Anmeldung nutzen können.

Welchen Token Sie für die Authentifizierung nutzen, hängt von Ihrem De-Mail-Anbieter und Ihren persönlichen Vorlieben ab.

Postfach- und Versanddienst

Im De-Mail-Verbund können Sie Ihre Nachrichten ausschließlich an Personen und Unternehmen schicken, die ebenfalls eine De-Mail-Adresse haben. Sie kommunizieren also stets mit einem eindeutig identifizierbaren Partner. Dabei spielt es keine Rolle, bei welchem De-Mail-Anbieter der Adressat Ihrer De-Mail registriert ist. Adressaten ohne De-Mail-Konto können Sie über De-Mail nicht erreichen, da De-Mail ein in sich geschlossenes System ist.
Wenn Sie per Mail mit Adressaten ohne De-Mail-Konto kommunizieren möchten, können Sie dieses mit Hilfe eines konventionellen E-Mail-Accounts tun.

Beim Versand einer De-Mail stehen Ihnen verschiedene Optionen zur Auswahl.

Mit dem Standard-Versand ist die De-Mail gegen den Verlust der Vertraulichkeit, gegen Änderungen des Nachrichteninhaltes und der so genannten Metadaten (z.B. Absenderadresse, Versandzeit, Versandart) geschützt.

Zusätzlich können Sie zwischen mehreren Versandarten wählen, die Sie kombinieren können:

• Versandbestätigung: Ihr Versanddienst bestätigt Ihnen den Versand der De-Mail.
• Eingangsbestätigung: Der Postfachdienst des Empfängers bestätigt Ihnen und dem Empfänger den Eingang der De-Mail Nachricht.

Dazu sendet der De-Mail-Anbieter Ihnen eine qualifiziert elektronisch signierte Bestätigung darüber, wann und an wen Sie die De-Mail verschickt haben, bzw. wann die Nachricht im Postfach des Empfängers einging. Damit haben Sie jederzeit einen belastbaren Nachweis für Ihre elektronisch übermittelte Nachricht.

Darüber hinaus stehen Ihnen weitere Versandarten zur Verfügung, wenn Sie sich mit hohem Sicherheitsniveau (Besitz und Wissen) an Ihrem De-Mail-Konto angemeldet haben:

• Persönlich: Der Empfänger kann Ihre Nachricht nur lesen, wenn er sich ebenfalls mit dem hohen Anmeldeniveau eingeloggt hat.
• Absenderbestätigt: Sie bestätigen mit dieser Option, dass Sie sich vor dem Versand mit hohem Sicherheitsniveau angemeldet haben.

Ablauf Postfach- und Versanddienst:

1. Versenden der De-Mail mit Versandoption Versand- und Eingangsbestätigung über verschlüsselten Kanal an Anbieter A
2. Anbieter A stellt eine signierte Versandbestätigung für Hans Meier aus
3. Anbieter A übermittelt die verschlüsselte und vor Veränderungen geschützte Nachricht an Anbieter B
4. Anbieter B stellt die Nachricht dem Empfänger Uwe Schulz zu
5. Anbieter B stellt für Hans Meier und Uwe Schulz jeweils eine signierte Eingangsbestätigung aus

Transportverschlüsselung

Jede De-Mail ist bei der Übermittlung

• zwischen dem Absender und seinem De-Mail-Anbieter sowie
• zwischen zwei De-Mail-Anbietern und
• zwischen De-Mail-Anbieter und Empfänger

verschlüsselt.

Diese so genannte Transportverschlüsselung schützt die De-Mail vor unberechtigtem Zugriff.

Erreicht die De-Mail den De-Mail-Anbieter, wird die Nachricht entschlüsselt. Die Daten liegen dann für einen sehr kurzen Moment unverschlüsselt vor. In dieser Zeitspanne wird die De-Mail auf Schadsoftware (wie z.B. Viren und Trojaner) geprüft. Erkennt das System ein Schadprogramm, warnt es den Empfänger durch Kennzeichnung der Nachricht. Dieser Prüfprozess erfolgt automatisiert auf Servern in Rechenzentren des Anbieters, die den strengen Vorgaben des BSI entsprechen. In keinem Fall erhalten Beschäftigte der De-Mail-Anbieter Einsicht in die entschlüsselte Nachricht.

Ablauf der Transportverschlüsselung:

1. Erstellung der De-Mail
2. Aufbau eines verschlüsselten Kanals und Versand der De-Mail
3. Kurzzeitige, automatisierte Entschlüsselung für Prüfung (Spam, Viren, De-Mail-Metadaten)
4. Verschlüsselung der De-Mail
5. Aufbau eines verschlüsselten Kanals und Übermittlung der De-Mail an den Anbieter des Empfängers
6. Kurzzeitige, automatisierte Entschlüsselung für Prüfung (Spam, Viren, Integrität)
7. Ablage der De-Mail im Postfach des Empfängers
8. Entschlüsselung der De-Mail und Übermittlung über einen verschlüsselten Kanal
9. Darstellung der De-Mail

Ende-zu-Ende-Verschlüsselung

Für besonders sensible Nachrichten können zusätzlich zu dem Transportkanal auch die Inhalte der De-Mail verschlüsselt werden. Um diese so genannte Ende-zu-Ende-Verschlüsselung verwenden zu können, benötigen Sie ebenso wie der Empfänger Ihrer Nachricht entsprechende Verschlüsselungssoftware, die auf den eigenen Rechnern installiert sein muss.

Mit dieser Software verschlüsseln Sie Ihre De-Mail persönlich vor dem Versand. Entschlüsselt wird sie erst durch den Empfänger auf dessen Rechner. Eine automatische Prüfung auf Schadprogramme kann in diesem Fall nicht erfolgen, da der De-Mail-Anbieter keinen Zugriff auf die Nachrichteninhalte hat.

Die Nutzung der Ende-zu-Ende-Verschlüsselung wird durch einen Verzeichnisdienst erleichtert, den alle De-Mail-Anbieter zur Verfügung stellen müssen. Der Empfänger Ihrer De-Mail kann hier seinen öffentlichen Schlüssel hinterlegen, den Sie verwenden, um Ihre De-Mail zu verschlüsseln. Zur Entschlüsselung Ihrer De-Mail nutzt der Empfänger anschließend seinen privaten, nur ihm bekannten Schlüssel.

Die De-Mail-Anbieter vereinfachen Ihnen die Ende-zu-Ende-Verschlüsselung durch kostenlose Zusatzprogramme, die Sie auch ohne Vorkenntnisse nutzen können. Die Zusatzprogramme nutzen den weltweit anerkannten Standard "Pretty Good Privacy" (PGP) und werden in der gewohnten Browser-Oberfläche des De-Mail-Kontos verwendet.

Verzeichnisdienst für De-Mail-Adressen

Der Verzeichnisdienst für De-Mail-Adressen funktioniert wie eine Art Telefonbuch und wird von den De-Mail-Anbietern für die Kunden gepflegt. Jeder Nutzer kann dort freiwillig seine De-Mail-Adresse und weitere Kontaktdaten veröffentlichen. Hier wird auch der öffentliche Schlüssel für die Ende-zu-Ende-Verschlüsselung abgelegt. Ohne Ihr Einverständnis darf der Anbieter Ihre Daten nicht in das Verzeichnis aufnehmen.

Wenn Sie die De-Mail-Adresse des Empfängers Ihrer Nachricht nicht kennen, stellen Sie eine Suchanfrage an den Verzeichnisdienst Ihres Anbieters. Dieser sucht dann in allen Verzeichnisdiensten des De-Mail-Verbundes nach der gewünschten Adresse.

Sperrung Ihres De-Mail-Kontos

Sollten Ihre Zugangsdaten für die Anmeldung an Ihrem De-Mail-Konto in falsche Hände geraten sein, können Sie das Konto jederzeit über die Hotline Ihres De-Mail-Anbieters sperren lassen. Die entsprechende Telefonnummer erhalten Sie von Ihrem Anbieter.

Wenn mehrfach falsche Authentifizierungsdaten verwendet werden, wird das betreffende De-Mail-Konto automatisch gesperrt. Auf diese Weise wird Ihr Konto vor dem Zugriff Unbefugter geschützt.

Weitere Informationen

Bei weiteren Verständnisfragen – nicht nur zu De-Mail – kontaktieren Sie das BSI gerne.

Aktuelle Informationen bekommen Privatpersonen, Unternehmen und öffentliche Einrichtungen auf www.de-mail.de. Über die konkreten Möglichkeiten, De-Mail für die Kommunikation mit Unternehmen und Behörden zu nutzen, informiert das De-Mail-Informationsportal.