So einfach wie E-Mail, so sicher wie Papierpost - www.cio.bund.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
So einfach wie E-Mail, so sicher wie Papierpost. Bürgerinnen Behörde und Bürger Anbieter Unternehmen Unternehmen Anbieter Anbieter Bürgerinnen Behörde und Bürger www.cio.bund.de www.de-mail.de
Bleiben Sie auf dem Laufenden Mit dieser Broschüre möchten wir Sie über den aktuellen Stand des Projektes De‐Mail informieren. Weitere Informationen zu De‐Mail, über 70 Antworten auf „Häufig gestellte Fragen“ und den De‐Mail‐Newsletter veröffentlicht das Bundesministerium des Innern auf der Internetseite www.de‐mail.de. Privatpersonen, Unternehmen und öffentliche Einrichtungen, die De‐Mail‐ Dienste nutzen wollen, finden Informationen sowie weiterführende Hinweise zu De‐Mail und zum Schutz von IT‐Systemen und Daten auf der Internet seite www.bsi‐fuer‐buerger.de. Unternehmen und öffentliche Einrichtungen, die De‐Mail‐Dienste anbieten wollen, finden Fachinformationen wie die Technischen Richtlinien und die Listen der zertifizierten De‐Mail‐Prüfstellen und Auditoren auf der Internet seite www.bsi.bund.de. Informationen über De‐Mail‐konforme Produkte stellen die zugelassenen De‐ Mail‐Anbieter auf ihren eigenen Internetseiten bereit. Eine Liste dieser akkre‐ ditierten De‐Mail‐Anbieter finden Sie auf der Internetseite www.bsi.bund.de. 2 | www.de‐mail.de
So einfach wie E-Mail, so sicher wie Papierpost. Inhalt Bleiben Sie auf dem Laufenden 2 Die Vorteile von De‐Mail für Privatpersonen, Unternehmen und Behörden 4 Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau? 6 Verschlüsselt, geschützt, nachweisbar – was heißt das genau? 7 De‐Mail im Detail: Mehr Schutz für Ihre Daten 8 Mehr Sicherheit schon beim Log‐in 9 Nachweise und Versandmöglichkeiten 10 Ende‐zu‐Ende‐Verschlüsselung und elektronische Signatur 11 Staat und Wirtschaft definieren gemeinsam den Rahmen. 12 Die Wirtschaft setzt De‐Mail um. Unterstützung bei der Einführung von De‐Mail für Behörden und Unternehmen 13 Informationen zur Zulassung von De‐Mail‐Anbietern 14 Impressum 15 www.de‐mail.de | 3
Die Vorteile von De-Mail für Privatpersonen, Unternehmen und Behörden geschützte einfach wie E-Mail kostensparend Daten verbindlich und vertrauliche nachweisbar immer & überall Korrespondenz Vorteile von De‐Mail für Privatpersonen Mit De‐Mail können viele Vorgänge verschickt werden, für die bisher nur der Postweg infrage kam. Das hat viele Vorteile für Privatpersonen, Unternehmen und Behörden: • De‐Mails sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet verschlüsselt. • Sowohl die Identität der Kommunikationspartner als auch die Zustellung der De‐Mails können zweifelsfrei nachgewiesen werden. Das ist wichtig für Sender und Empfänger. Zugleich wirkt die Nachweisbarkeit der Inter netkriminalität entgegen, da die Absender von Spam‐ oder Phishing‐ Mails nicht mehr anonym bleiben. • Privatpersonen können Geschäftliches und Behördengänge schnell und bequem unabhängig von Öffnungszeiten und Aufenthaltsort erledigen. • Unternehmen und Behörden können viele Vorgänge vollständig elektro nisch, d. h. ohne Medienbrüche, bearbeiten - auch rechtlich relevante Arbeitsschritte, die eine nachweislich fristgerechte Zustellung erfordern. Hierdurch werden viele Effizienzsteigerungen in Wirtschaft und Verwaltung ermöglicht. Hinzu kommen Kosteneinsparungen bei Papier und Porto. Kurz: Mit De‐Mail sparen Sie Zeit und Geld. 4 | www.de‐mail.de
geschützte einfache Integration kostensparend Daten verbindlich und viele nachweisbar ohne Medienbruch Einsatzmöglichkeiten Vorteile von De‐Mail für Unternehmen und Behörden • De‐Mail basiert auf heute weit verbreiteten E‐Mail‐Technologien. Vorhan dene Schnittstellen können daher ohne hohe Integrationsaufwendungen für De‐Mail genutzt werden. • De‐Mail erfordert keine besonderen Kenntnisse – es ist so einfach wie E‐Mail. Im einfachsten Fall verwenden Sie Webanwendungen, die den be kannten E‐Mail‐Diensten sehr ähnlich sind und keine weiteren Installa tionen von Hardware oder Software an Ihrem Rechner erfordern. Oder Sie schließen die E‐Mail‐Infrastrukturen Ihrer Organisation über ein „Gateway“ an De‐Mail an, sodass vorhandene E‐Mail‐Clients verwendet werden können. • Für alle De‐Mail‐Anbieter gelten die gleichen hohen Anforderungen an IT‐ Sicherheit und Datenschutz. Sie haben daher die Gewähr, bei jedem De‐ Mail‐Anbieter ein einheitliches und geprüftes Sicherheitsniveau zu erhalten. • Sie können sicher sein, dass Sie alle De‐Mail‐Nutzer zuverlässig erreichen. Es spielt keine Rolle, ob diese ein Konto bei Ihrem De‐Mail‐Anbieter haben oder bei einem anderen, denn die Systeme aller De‐Mail‐Anbieter sind miteinander verbunden. www.de‐mail.de | 5
Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau? Mitlesen Manipulation Spam und keine gesicherte keine Phishing Identität Nachweisbarkeit Absender Ab d Empfänger E fä Gefahren bei der Nutzung unverschlüsselter E‐Mails Bisher werden in Deutschland über 95 Prozent aller E‐Mails unverschlüsselt von E‐Mail‐Konten versendet. Das bedeutet: • Unverschlüsselte E‐Mails können ohne großen Aufwand auf ihrem Weg durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem Inhalt verändert werden. • Absender und Empfänger können nie vollständig sicher sein, mit wem sie gerade kommunizieren. • A bsender wissen nicht zuverlässig, ob die gesendete E‐Mail tatsäch lich beim Empfänger angekommen ist und können es daher auch nicht nachweisen. • Der Anteil von SPAM, d. h. von unerwünschten, massenhaft versendeten E‐Mails eines schwer oder gar nicht ermittelbaren Absenders, am E‐Mail‐ Verkehr hat in den letzten Jahren stark zugenommen. • Immer häufiger werden Zugangsdaten zu E‐Mail‐Konten ausgespäht (soge nanntes „Phishing“, das in der Regel zum Identitätsdiebstahl genutzt wird). 6 | www.de‐mail.de
Verschlüsselt, geschützt, nachweisbar – was heißt das genau? verschlüsselte geschützte geschlossener Identifizierung aller verbindlich und Transportwege Daten Nutzerkreis Teilnehmer nachweisbar Absender Ab d Empfänger E fä Schutz bei der Nutzung verschlüsselter De‐Mails De‐Mails haben – ohne zusätzliche Installationen – wichtige Sicherheitsmerk‐ male, die der herkömmlichen E‐Mail fehlen: • De‐Mails können nicht von Dritten abgefangen und verändert werden, weil sie auf ihrem Weg durch das Internet immer verschlüsselt sind. • Versender und Empfänger einer De‐Mail sind stets nachvollziehbar, weil die Nutzer erst dann ein De‐Mail‐Konto erhalten, wenn sie sich vorher eindeutig identifiziert haben. • Nutzer erhalten auf Wunsch Versand‐ und Eingangsnachweise für ihre De‐Mails („elektronisches Einschreiben“). • SPAM wird verhindert, weil die Absender eindeutig identifiziert sind. • Phishing und Identitätsdiebstahl werden bekämpft, weil sich Nutzer mit einem doppelt gesicherten Verfahren anmelden können (siehe Seite 9). Aufgrund dieser Sicherheitsmerkmale stärkt und unterstützt De‐Mail die Möglichkeiten der Nutzer, ihre persönlichen Daten wirksam zu schützen. www.de‐mail.de | 7
Mehr Schutz für Ihre Daten De‐Mail ist ein wichtiges Instrument zur Verbesserung des Selbstdaten schutzes und der Datensicherheit. Dafür sorgen folgende Faktoren: • Obligatorische Transportverschlüsselung: Die von Ihnen übermittelten Daten sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet immer verschlüsselt. • Optionale Sicherheitskomponenten: De‐Mail unterstützt den Einsatz zu sätzlicher Sicherheitskomponenten wie Ende‐zu‐Ende‐Verschlüsselung oder Signatur. • Hohe Anforderungen an die technische und organisatorische Sicherheit der De‐Mail‐Anbieter: Das am 3. Mai 2011 in Kraft getretene De‐Mail‐ Gesetz regelt die Mindestanforderungen an einen sicheren elektronischen Nachrichtenaustausch. Darüber hinaus sorgt es für ein geregeltes Ver fahren zur Prüfung dieser Mindestanforderungen, die für alle De‐Mail‐ Anbieter in gleicher Weise gelten. • Zertifizierter Datenschutz: Die De‐Mail‐Anbieter müssen durch ein Datenschutzzertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) umfassende Maßnahmen zum Schutz per sonenbezogener Daten belegen. Mit De‐Mail können Sicherheit und Datenschutz beim Austausch elektroni‐ scher Nachrichten von einem heute flächendeckend geringen Niveau auf ein flächendeckend hohes Niveau angehoben werden. 8 | www.de‐mail.de
De-Mail im Detail Mehr Sicherheit schon beim Log-in Für die Anmeldung an einem De‐Mail‐Konto gibt es zwei Anmeldeverfahren: • Für das „normale“ Sicherheitsniveau reicht die Anmeldung mit Ihrem Benutzernamen und Ihrem Passwort, wie Sie es von E‐Mail‐Anwendungen kennen. Man spricht in diesem Fall von Authentifizierung durch Wissen. • Für das „hohe“ Sicherheitsniveau bzw. die sichere Anmeldung setzen Sie Ihren Benutzernamen, Ihr Passwort und einen „Token“ ein, d. h. einen Ge genstand. Das kann der neue Personalausweis sein, eine Signaturkarte oder andere zugelassene Verfahren, z. B. auf Basis von USB‐Sticks oder Mobiltelefonen (etwa das mTAN‐Verfahren, bei dem eine SMS mit zufällig generierter Zahlenkombination an Ihr Mobiltelefon geschickt wird und Sie diese TAN bei der Anmeldung am De‐Mail‐Konto eingeben). Wird ein Token eingesetzt, spricht man von einer Zwei‐Faktor‐Authentifizierung durch Wissen und Besitz. Die De‐Mail‐Anbieter können beliebig viele Ver fahren für diese sichere Anmeldung anbieten, müssen aber mindestens zwei vorsehen und in jedem Fall das Verfahren mit dem neuen Personal ausweis. Welche Art von Token Sie für die Anmeldung an Ihrem De‐Mail‐ Konto nutzen, hängt von Ihren persönlichen Vorlieben ab. Die Anmeldung mit dem „hohen“ Sicherheitsniveau ist vom Gesetzgeber als Standard für Ihren Zugang zum De‐Mail‐Konto vorgesehen und wird für die meisten De‐Mail‐spezifischen Versandoptionen benötigt. Auf Ihr Ver langen kann der De‐Mail‐Anbieter Ihnen den Zugang zum De‐Mail‐Konto auch mit Benutzername und Passwort eröffnen. In diesem Fall stehen Ihnen die Grundfunktionalitäten von De‐Mail zur Verfügung. www.de‐mail.de | 9
Nachweise und Versandmöglichkeiten Eine Standard‐De‐Mail – bei der keine zusätzlichen De‐Mail‐Versandoptionen gewählt wurden – ist auf ihrem Weg durch das Internet verschlüsselt. Die Nachrichteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/ Empfängeradresse, Versandzeitpunkt usw.) sind durch die Verschlüsselung vor dem Mitlesen und gegen Veränderungen durch Dritte geschützt. Zudem sind sowohl Absender als auch Empfänger eindeutig identifiziert. Bereits eine Standard‐De‐Mail hat ein hohes Maß an Verbindlichkeit und kann für zahlreiche Anwendungsfälle genutzt werden. Zusätzlich zu dieser Standard‐De‐Mail kann der Nutzer eine oder mehrere der folgenden Versandoptionen wählen: • Versandbestätigung: Der Absender erhält eine von seinem De‐Mail‐Anbieter qualifiziert elektronisch signierte Bestätigung, dass er diese Nachricht ver schickt hat. • Bestätigung des Versands mit hohem Authentisierungsniveau: Absen der und Empfänger erhalten eine vom De‐Mail‐Anbieter des Absenders qualifiziert elektronisch signierte Bestätigung, dass der Absender mit hohem Authentisierungsniveau angemeldet war, als er diese De‐Mail verschickt hat. • Eingangsbestätigung: Absender und Empfänger erhalten eine vom De‐Mail‐ Anbieter des Empfängers qualifiziert elektronisch signierte Bestätigung, dass diese De‐Mail im Postfach des Empfängers eingegangen ist. In allen drei Fällen umfasst die Signatur des De‐Mail‐Anbieters alle Nach richteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/Empfän geradresse, Versandzeitpunkt usw.). Sie erhalten dadurch einen belastbaren Nachweis für Ihre elektronisch übermittelte Nachricht. 10 | www.de‐mail.de
De-Mail im Detail Darüber hinaus können Sie – zum Beispiel bei besonders vertraulich zu behandelnden Inhalten – eine weitere Sicherheitsoption wählen: • Persönlich: Der Absender legt fest, dass der Empfänger die Nachricht nur lesen kann, wenn er sich wie der Absender mit hohem Authentisierungs‐ niveau angemeldet hat. Die verschiedenen Versandarten und Bestätigungen kombinieren Sie von Fall zu Fall je nach Zweck bzw. Inhalt Ihrer De‐Mail. Ende-zu-Ende-Verschlüsselung und elektronische Signatur Wenn Sie weitere Sicherheitskomponenten einsetzen möchten, können Sie Ihre Nachrichten zusätzlich mit eigenen Komponenten qualifiziert elek tronisch signieren oder Ende‐zu‐Ende verschlüsseln. Die De‐Mail‐Anbieter sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem die für die Verschlüsselung erforderlichen öffentlichen Schlüssel bzw. Verschlüsse lungszertifikate hinterlegt werden können. Hierdurch wird der Einsatz von Ende‐zu‐Ende‐Verschlüsselung erheblich vereinfacht. www.de‐mail.de | 11
Staat und Wirtschaft definieren gemeinsam den Rahmen. Die Wirtschaft setzt De-Mail um. Lediglich die Rahmenbedingungen für den sicheren Nachrichtenaustausch im Internet über De‐Mail werden – unter enger Einbindung der Wirtschaft – vom Staat geschaffen. Die Umsetzung von De‐Mail in Form konkreter Pro dukte erfolgt durch Unternehmen, die sich an diesen Rahmen halten. Die grundlegenden Anforderungen an Sicherheit, Funktionalität und Inter operabilität wurden vom Bund gemeinsam mit der Wirtschaft erarbeitet und in Form von technischen Richtlinien festgeschrieben. Die Einhaltung dieser Richtlinien durch De‐Mail‐Anbieter wird in einem gesetzlich geregelten Ak kreditierungsverfahren geprüft. Das Angebot von De‐Mail‐Diensten erfolgt durch miteinander im Wettbewerb stehende Unternehmen, die sich auf Grundlage des einheitlichen Rahmens durch Zusatzangebote voneinander abgrenzen können. De‐Mail ist damit die Basis einer flächendeckenden und gleichzeitig wettbewerbsfreundlichen Infrastruktur für eine sichere elektronische Kommunikation. Zugelassene De‐Mail‐Anbieter erkennen Sie übrigens an dem folgenden Siegel, das durch das Bundesamt für Sicherheit in der Informationstechnik vergeben wird: 12 | www.de‐mail.de
Unterstützung bei der Einführung von De-Mail für Behörden und Unternehmen 2011 hat das Kompetenzzentrum (CC De‐Mail) zahlreiche Behörden aus der Bundes‐, Landes‐ und Kommunalverwaltung und Unternehmen bei der Anbindung an De‐Mail sowie der Integra tion von De‐Mail in ihre bestehenden Prozesse unterstützt. Das CC De‐Mail wurde vom Bundesministerium des Innern mit Mitteln aus dem IT‐Investitionsprogramm aufgebaut. Im Zuge dieser Beratungsarbeit hat das CC De‐Mail Konzepte mit organisa torischen, wirtschaftlichen und technischen Schwerpunkten erstellt sowie einen Katalog mit generischen De‐Mail‐Einsatzszenarien. Dabei wurden Muster‐ und Best‐Practice‐Verfahren für die Ermittlung und Auswahl von Einsatzszenarien erarbeitet. Weitere Ergebnisse sind Wirtschaftlichkeits betrachtungen, Prozess‐ und Fachverfahrensadaptionen und Vorgehens weisen für die technische Integration sowie für erforderliche Anpassungen von Standardapplikationen bei der De‐Mail‐Einführung. Die erarbeiteten Ergebnisse aus den Beratungsprojekten eignen sich eben so wie die Konzepte zur eigenständigen Nachnutzung durch Behörden und Unternehmen, die De‐Mail einsetzen möchten. Die Ergebnisse des Kompetenzzentrums „De‐Mail in der deutschen Verwal tung“ sind auf www.de‐mail.de veröffentlicht. www.de‐mail.de | 13
Informationen zur Zulassung von De-Mail-Anbietern Prüfung der Sicherheit, Funktionalität und Interoperabilität Akkreditierung als BSI De-Mail-Anbieter Anbieter Anbieter vor der Liste akkreditierter Akkreditierung De-Mail-Anbieter auf www.bsi.bund.de BfDI Prüfung des Datenschutzes Anforderungen an die Akkreditierung Unabhängig davon, für welchen De‐Mail‐Anbieter Sie sich entscheiden, Sie können darauf vertrauen, dass Sie ein einheitliches und geprüftes Sicher‐ heitsniveau antreffen. Dafür sorgt das De‐Mail‐Gesetz: Alle De‐Mail‐Anbieter werden nach einheitlichen Kriterien in einem transparenten Verfahren ge‐ prüft. Das ist eine wichtige Voraussetzung für das Entstehen von Vertrauen in die Sicherheit und Qualität der De‐Mail‐Dienste. Die De‐Mail‐Anbieter müssen Nachweise in den folgenden Bereichen erbringen: • Sicherheit, Funktionalität und Interoperabilität - verantwortlich für das Prüfungsverfahren ist das Bundesamt für Sicherheit in der Informations‐ technik (BSI). Die aktuellen Zulassungskriterien sind veröffentlicht unter www.bsi.bund.de. • Datenschutz - verantwortlich für das Prüfungsverfahren ist der Bundes‐ beauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die aktuellen Zulassungskriterien sind veröffentlicht unter www.bfdi.bund.de. Wenn Sie De‐Mail‐Anbieter werden möchten, wenden Sie sich bitte an de‐mail@bsi.bund.de. 14 | www.de‐mail.de
Impressum Herausgeber Bundesministerium des Innern IT‐Stab, Referat IT 4 Alt‐Moabit 101 D 10559 Berlin Bezugsquelle Bundesministerium des Innern E‐Mail: demail@bmi.bund.de Internet: www.de‐mail.de Tel.: +49(0)30 18681‐0 Fax: +49(0)30 18681‐2926 Stand Juli 2012 Druck Silber Druck oHG Niestetal Gestaltung und Bildnachweis Serviceplan Berlin GmbH & Co. KG Berlin Text Bundesministerium des Innern Berlin Diese Broschüre ist Teil der Öffentlichkeitsarbeit der Bundesregierung. Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt. www.de‐mail.de | 15
www.cio.bund.de www.de-mail.de
Sie können auch lesen