So einfach wie E-Mail, so sicher wie Papierpost - www.cio.bund.de

Die Seite wird erstellt Dominik Baumgartner
 
WEITER LESEN
So einfach wie E-Mail, so sicher wie Papierpost - www.cio.bund.de
So einfach wie E-Mail,
                  so sicher wie Papierpost.

                                              Bürgerinnen
              Behörde
                                              und Bürger

                              Anbieter

Unternehmen                                           Unternehmen
                   Anbieter              Anbieter

        Bürgerinnen
                                                    Behörde
        und Bürger

www.cio.bund.de                                     www.de-mail.de
Bleiben Sie auf dem Laufenden
Mit dieser Broschüre möchten wir Sie über den aktuellen Stand des Projektes
De‐Mail informieren. Weitere Informationen zu De‐Mail, über 70 Antworten
auf „Häufig gestellte Fragen“ und den De‐Mail‐Newsletter veröffentlicht das
Bundesministerium des Innern auf der Internetseite www.de‐mail.de.

Privatpersonen, Unternehmen und öffentliche Einrichtungen, die De‐Mail‐
Dienste nutzen wollen, finden Informationen sowie weiterführende Hinweise
zu De‐Mail und zum Schutz von IT‐Systemen und Daten auf der Internet­
seite www.bsi‐fuer‐buerger.de.

Unternehmen und öffentliche Einrichtungen, die De‐Mail‐Dienste anbieten
wollen, finden Fachinformationen wie die Technischen Richtlinien und die
­Listen der zertifizierten De‐Mail‐Prüfstellen und Auditoren auf der Internet­
seite www.bsi.bund.de.

Informationen über De‐Mail‐konforme Produkte stellen die zugelassenen De‐
Mail‐Anbieter auf ihren eigenen Internetseiten bereit. Eine Liste dieser akkre‐
ditierten De‐Mail‐Anbieter finden Sie auf der Internetseite www.bsi.bund.de.

2 | www.de‐mail.de
So einfach wie E-Mail,
so sicher wie Papierpost.

Inhalt
Bleiben Sie auf dem Laufenden                                          2
Die Vorteile von De‐Mail für Privatpersonen, Unternehmen
und Behörden                                                           4
Unverschlüsselt, ungeschützt, ohne Nachweis – was heißt das genau?     6
Verschlüsselt, geschützt, nachweisbar – was heißt das genau?           7
De‐Mail im Detail:
         Mehr Schutz für Ihre Daten                                    8
         Mehr Sicherheit schon beim Log‐in                             9
         Nachweise und Versandmöglichkeiten                           10
         Ende‐zu‐Ende‐Verschlüsselung und elektronische Signatur      11
Staat und Wirtschaft definieren gemeinsam den Rahmen.                 12
Die Wirtschaft setzt De‐Mail um.
Unterstützung bei der Einführung von De‐Mail für Behörden
und Unternehmen                                                       13
Informationen zur Zulassung von De‐Mail‐Anbietern                     14
Impressum                                                             15

                                                        www.de‐mail.de | 3
Die Vorteile von De-Mail für Privatpersonen,
    Unternehmen und Behörden

                                           geschützte
                     einfach wie E-Mail                      kostensparend
                                             Daten

                      verbindlich und                        vertrauliche
                       nachweisbar        immer & überall   Korrespondenz

Vorteile von De‐Mail für Privatpersonen

Mit De‐Mail können viele Vorgänge verschickt werden, für die bisher nur der
Postweg infrage kam. Das hat viele Vorteile für Privatpersonen, Unternehmen
und Behörden:

•   De‐Mails sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet
    verschlüsselt.
•   Sowohl die Identität der Kommunikationspartner als auch die Zustellung
    der De‐Mails können zweifelsfrei nachgewiesen werden. Das ist wichtig
    für Sender und Empfänger. Zugleich wirkt die Nachweisbarkeit der Inter­
    netkriminalität entgegen, da die Absender von Spam‐ oder Phishing‐
    Mails nicht mehr anonym bleiben.
•   Privatpersonen können Geschäftliches und Behördengänge schnell und
    bequem unabhängig von Öffnungszeiten und Aufenthaltsort erledigen.
•   Unternehmen und Behörden können viele Vorgänge vollständig elektro­
    nisch, d. h. ohne Medienbrüche, bearbeiten - auch rechtlich relevante
    ­Arbeitsschritte, die eine nachweislich fristgerechte Zustellung erfordern.
    Hierdurch werden viele Effizienzsteigerungen in Wirtschaft und ­Verwaltung
    ermöglicht. Hinzu kommen Kosteneinsparungen bei Papier und Porto.
    Kurz: Mit De‐Mail sparen Sie Zeit und Geld.

4 | www.de‐mail.de
geschützte
                  einfache Integration                         kostensparend
                                              Daten

                    verbindlich und                                 viele
                     nachweisbar         ohne Medienbruch   Einsatzmöglichkeiten

Vorteile von De‐Mail für Unternehmen und Behörden

•   De‐Mail basiert auf heute weit verbreiteten E‐Mail‐Technologien. Vorhan­
    dene Schnittstellen können daher ohne hohe Integrationsaufwendungen
    für De‐Mail genutzt werden.
•   De‐Mail erfordert keine besonderen Kenntnisse – es ist so einfach wie
    ­E‐Mail. Im einfachsten Fall verwenden Sie Webanwendungen, die den be­
    kannten E‐Mail‐Diensten sehr ähnlich sind und keine weiteren Installa­
    tionen von Hardware oder Software an Ihrem Rechner erfordern. Oder Sie
    schließen die E‐Mail‐Infrastrukturen Ihrer Organisation über ein „Gateway“
    an De‐Mail an, sodass vorhandene E‐Mail‐Clients verwendet werden können.
•   Für alle De‐Mail‐Anbieter gelten die gleichen hohen Anforderungen an IT‐
    Sicherheit und Datenschutz. Sie haben daher die Gewähr, bei jedem De‐
    Mail‐Anbieter ein einheitliches und geprüftes Sicherheitsniveau zu erhalten.
•   Sie können sicher sein, dass Sie alle De‐Mail‐Nutzer zuverlässig erreichen.
    Es spielt keine Rolle, ob diese ein Konto bei Ihrem De‐Mail‐Anbieter
    ­haben oder bei einem anderen, denn die Systeme aller De‐Mail‐Anbieter
    sind miteinander verbunden.

                                                                          www.de‐mail.de | 5
Unverschlüsselt, ungeschützt, ​
    ohne Nachweis – was heißt das genau?

       Mitlesen       Manipulation        Spam und   keine gesicherte       keine
                                          Phishing       Identität      Nachweisbarkeit

         Absender
         Ab   d                                                          Empfänger
                                                                         E  fä

Gefahren bei der Nutzung unverschlüsselter E‐Mails

Bisher werden in Deutschland über 95 Prozent aller E‐Mails unverschlüsselt
von E‐Mail‐Konten versendet. Das bedeutet:

•   Unverschlüsselte E‐Mails können ohne großen Aufwand auf ihrem Weg
    durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem
    Inhalt verändert werden.
•   Absender und Empfänger können nie vollständig sicher sein, mit wem sie
    gerade kommunizieren.
•   A bsender wissen nicht zuverlässig, ob die gesendete E‐Mail tatsäch­
    lich beim Empfänger angekommen ist und können es daher auch nicht
    nachweisen.
•   Der Anteil von SPAM, d. h. von unerwünschten, massenhaft versendeten
    E‐Mails eines schwer oder gar nicht ermittelbaren Absenders, am E‐Mail‐
    Verkehr hat in den letzten Jahren stark zugenommen.
•   Immer häufiger werden Zugangsdaten zu E‐Mail‐Konten ausgespäht (soge­
    nanntes „Phishing“, das in der Regel zum Identitätsdiebstahl genutzt wird).

6 | www.de‐mail.de
Verschlüsselt, geschützt, nachweisbar –
was heißt das genau?

     verschlüsselte   geschützte      geschlossener   Identifizierung aller   verbindlich und
     Transportwege      Daten          Nutzerkreis        Teilnehmer           nachweisbar

         Absender
         Ab   d                                                                 Empfänger
                                                                                E  fä

Schutz bei der Nutzung verschlüsselter De‐Mails

De‐Mails haben – ohne zusätzliche Installationen – wichtige Sicherheitsmerk‐
male, die der herkömmlichen E‐Mail fehlen:

•   De‐Mails können nicht von Dritten abgefangen und verändert werden,
    weil sie auf ihrem Weg durch das Internet immer verschlüsselt sind.
•   Versender und Empfänger einer De‐Mail sind stets nachvollziehbar, weil
    die Nutzer erst dann ein De‐Mail‐Konto erhalten, wenn sie sich vorher
    eindeutig identifiziert haben.
•   Nutzer erhalten auf Wunsch Versand‐ und Eingangsnachweise für ihre
    De‐Mails („elektronisches Einschreiben“).
•   SPAM wird verhindert, weil die Absender eindeutig identifiziert sind.
•   Phishing und Identitätsdiebstahl werden bekämpft, weil sich Nutzer mit
    einem doppelt gesicherten Verfahren anmelden können (siehe Seite 9).

Aufgrund dieser Sicherheitsmerkmale stärkt und unterstützt De‐Mail die
Möglichkeiten der Nutzer, ihre persönlichen Daten wirksam zu schützen.

                                                                          www.de‐mail.de | 7
Mehr Schutz für Ihre Daten
De‐Mail ist ein wichtiges Instrument zur Verbesserung des Selbstdaten­
schutzes und der Datensicherheit. Dafür sorgen folgende Faktoren:

•   Obligatorische Transportverschlüsselung: Die von Ihnen übermittelten
    Daten sind im Gegensatz zu E‐Mails auf ihrem Weg durch das Internet
    immer verschlüsselt.
•   Optionale Sicherheitskomponenten: De‐Mail unterstützt den Einsatz zu­
    sätzlicher Sicherheitskomponenten wie Ende‐zu‐Ende‐Verschlüsselung
    oder Signatur.
•   Hohe Anforderungen an die technische und organisatorische Sicherheit
    der De‐Mail‐Anbieter: Das am 3. Mai 2011 in Kraft getretene De‐Mail‐­
    Gesetz regelt die Mindestanforderungen an einen sicheren elektronischen
    Nachrichtenaustausch. Darüber hinaus sorgt es für ein geregeltes Ver­
    fahren zur Prüfung dieser Mindestanforderungen, die für alle De‐Mail‐
    Anbieter in gleicher Weise gelten.
•   Zertifizierter Datenschutz: Die De‐Mail‐Anbieter müssen durch ein
    ­Datenschutzzertifikat des Bundesbeauftragten für den Datenschutz und
    die Informationsfreiheit (BfDI) umfassende Maßnahmen zum Schutz per­
    sonenbezogener Daten belegen.

Mit De‐Mail können Sicherheit und Datenschutz beim Austausch elektroni‐
scher Nachrichten von einem heute flächendeckend geringen Niveau auf ein
flächendeckend hohes Niveau angehoben werden.

8 | www.de‐mail.de
De-Mail im Detail

Mehr Sicherheit schon beim Log-in
Für die Anmeldung an einem De‐Mail‐Konto gibt es zwei Anmeldeverfahren:

•   Für das „normale“ Sicherheitsniveau reicht die Anmeldung mit Ihrem
    ­Benutzernamen und Ihrem Passwort, wie Sie es von E‐Mail‐Anwendungen
    kennen. Man spricht in diesem Fall von Authentifizierung durch Wissen.
•   Für das „hohe“ Sicherheitsniveau bzw. die sichere Anmeldung setzen Sie
    Ihren Benutzernamen, Ihr Passwort und einen „Token“ ein, d. h. einen Ge­
    genstand. Das kann der neue Personalausweis sein, eine Signaturkarte
    oder andere zugelassene Verfahren, z. B. auf Basis von USB‐Sticks oder
    Mobiltelefonen (etwa das mTAN‐Verfahren, bei dem eine SMS mit zufällig
    generierter Zahlenkombination an Ihr Mobiltelefon geschickt wird und Sie
    diese TAN bei der Anmeldung am De‐Mail‐Konto eingeben). Wird ein
    Token eingesetzt, spricht man von einer Zwei‐Faktor‐Authentifizierung
    durch Wissen und Besitz. Die De‐Mail‐Anbieter können beliebig viele Ver­
    fahren für diese sichere Anmeldung anbieten, müssen aber mindestens
    zwei vorsehen und in jedem Fall das Verfahren mit dem neuen Personal­
    ausweis. Welche Art von Token Sie für die Anmeldung an Ihrem De‐Mail‐
    Konto nutzen, hängt von Ihren persönlichen Vorlieben ab.

Die Anmeldung mit dem „hohen“ Sicherheitsniveau ist vom Gesetzgeber
als Standard für Ihren Zugang zum De‐Mail‐Konto vorgesehen und wird für
die meisten De‐Mail‐spezifischen Versandoptionen benötigt. Auf Ihr Ver­
langen kann der De‐Mail‐Anbieter Ihnen den Zugang zum De‐Mail‐Konto
auch mit Benutzername und Passwort eröffnen. In diesem Fall stehen Ihnen
die Grundfunktionalitäten von De‐Mail zur Verfügung.

                                                         www.de‐mail.de | 9
Nachweise und Versandmöglichkeiten
Eine Standard‐De‐Mail – bei der keine zusätzlichen De‐Mail‐Versandoptionen
gewählt wurden – ist auf ihrem Weg durch das Internet verschlüsselt. Die
Nachrichteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/­
Empfängeradresse, Versandzeitpunkt usw.) sind durch die Verschlüsselung
vor dem Mitlesen und gegen Veränderungen durch Dritte geschützt. Zudem
sind sowohl Absender als auch Empfänger eindeutig identifiziert.

Bereits eine Standard‐De‐Mail hat ein hohes Maß an Verbindlichkeit und kann
für zahlreiche Anwendungsfälle genutzt werden.

Zusätzlich zu dieser Standard‐De‐Mail kann der Nutzer eine oder mehrere der
folgenden Versandoptionen wählen:

•   Versandbestätigung: Der Absender erhält eine von seinem De‐Mail‐Anbieter
    qualifiziert elektronisch signierte Bestätigung, dass er diese Nachricht ver­
    schickt hat.
•   Bestätigung des Versands mit hohem Authentisierungsniveau: Absen­
    der und Empfänger erhalten eine vom De‐Mail‐Anbieter des Absenders
    qualifiziert elektronisch signierte Bestätigung, dass der Absender mit
    hohem Authentisierungsniveau angemeldet war, als er diese De‐Mail
    verschickt hat.
•   Eingangsbestätigung: Absender und Empfänger erhalten eine vom De‐Mail‐
    Anbieter des Empfängers qualifiziert elektronisch signierte Bestätigung,
    dass diese De‐Mail im Postfach des Empfängers eingegangen ist.

In allen drei Fällen umfasst die Signatur des De‐Mail‐Anbieters alle Nach­
richteninhalte (Text und Anlagen) sowie die Kopfdaten (Absender‐/Empfän­
geradresse, Versandzeitpunkt usw.). Sie erhalten dadurch einen belastbaren
Nachweis für Ihre elektronisch übermittelte Nachricht.

10 | www.de‐mail.de
De-Mail im Detail

Darüber hinaus können Sie – zum Beispiel bei besonders vertraulich zu
behandelnden Inhalten – eine weitere Sicherheitsoption wählen:

•   Persönlich: Der Absender legt fest, dass der Empfänger die Nachricht nur
    lesen kann, wenn er sich wie der Absender mit hohem Authentisierungs‐
    niveau angemeldet hat.

Die verschiedenen Versandarten und Bestätigungen kombinieren Sie von
Fall zu Fall je nach Zweck bzw. Inhalt Ihrer De‐Mail.

Ende-zu-Ende-Verschlüsselung und elektronische Signatur

Wenn Sie weitere Sicherheitskomponenten einsetzen möchten, können Sie
Ihre Nachrichten zusätzlich mit eigenen Komponenten qualifiziert elek­
tronisch signieren oder Ende‐zu‐Ende verschlüsseln. Die De‐Mail‐Anbieter
sind verpflichtet, einen Verzeichnisdienst anzubieten, in dem die für die
­Verschlüsselung erforderlichen öffentlichen Schlüssel bzw. Verschlüsse­
lungszertifikate hinterlegt werden können. Hierdurch wird der Einsatz von
Ende‐zu‐Ende‐Verschlüsselung erheblich vereinfacht.

                                                         www.de‐mail.de | 11
Staat und Wirtschaft definieren gemeinsam
  den Rahmen. Die Wirtschaft setzt De-Mail um.

Lediglich die Rahmenbedingungen für den sicheren Nachrichtenaustausch
im Internet über De‐Mail werden – unter enger Einbindung der Wirtschaft –
vom Staat geschaffen. Die Umsetzung von De‐Mail in Form konkreter Pro­
dukte erfolgt durch Unternehmen, die sich an diesen Rahmen halten.

Die grundlegenden Anforderungen an Sicherheit, Funktionalität und Inter­
operabilität wurden vom Bund gemeinsam mit der Wirtschaft erarbeitet und
in Form von technischen Richtlinien festgeschrieben. Die Einhaltung dieser
Richtlinien durch De‐Mail‐Anbieter wird in einem gesetzlich geregelten Ak­
kreditierungsverfahren geprüft.

Das Angebot von De‐Mail‐Diensten erfolgt durch miteinander im Wettbewerb
stehende Unternehmen, die sich auf Grundlage des einheitlichen Rahmens
durch Zusatzangebote voneinander abgrenzen können. De‐Mail ist damit
die Basis einer flächendeckenden und gleichzeitig wettbewerbsfreundlichen
Infrastruktur für eine sichere elektronische Kommunikation.

Zugelassene De‐Mail‐Anbieter erkennen Sie übrigens an dem folgenden
Siegel, das durch das Bundesamt für Sicherheit in der Informationstechnik
vergeben wird:

12 | www.de‐mail.de
Unterstützung bei der Einführung von
­De-Mail für Behörden und Unternehmen

                        2011 hat das Kompetenzzentrum (CC De‐Mail)
                        zahlreiche Behörden aus der Bundes‐, Landes‐
                        und Kommunalverwaltung und Unternehmen
                        bei der Anbindung an De‐Mail sowie der Integra­
                        tion von De‐Mail in ihre bestehenden Prozesse
                        unterstützt.

  Das CC De‐Mail wurde vom Bundesministerium des Innern mit Mitteln
  aus dem IT‐Investitionsprogramm aufgebaut.

Im Zuge dieser Beratungsarbeit hat das CC De‐Mail Konzepte mit organisa­
torischen, wirtschaftlichen und technischen Schwerpunkten erstellt sowie
einen Katalog mit generischen De‐Mail‐Einsatzszenarien. Dabei wurden
Muster‐ und Best‐Practice‐Verfahren für die Ermittlung und Auswahl von
Einsatzszenarien erarbeitet. Weitere Ergebnisse sind Wirtschaftlichkeits­
betrachtungen, Prozess‐ und Fachverfahrensadaptionen und Vorgehens­
weisen für die technische Integration sowie für erforderliche Anpassungen
von Standardapplikationen bei der De‐Mail‐Einführung.

Die erarbeiteten Ergebnisse aus den Beratungsprojekten eignen sich eben­
so wie die Konzepte zur eigenständigen Nachnutzung durch Behörden und
Unternehmen, die De‐Mail einsetzen möchten.

Die Ergebnisse des Kompetenzzentrums „De‐Mail in der deutschen Verwal­
tung“ sind auf www.de‐mail.de veröffentlicht.

                                                        www.de‐mail.de | 13
Informationen zur Zulassung von De-Mail-Anbietern

                         Prüfung der Sicherheit,
                           Funktionalität und
                            Interoperabilität

                                                   Akkreditierung als
                                        BSI         De-Mail-Anbieter

                                                                              Anbieter

      Anbieter vor der
                                                                        Liste akkreditierter
      Akkreditierung
                                                                        De-Mail-Anbieter auf
                                                                         www.bsi.bund.de

                                        BfDI

                             Prüfung des
                            Datenschutzes
Anforderungen an die Akkreditierung

Unabhängig davon, für welchen De‐Mail‐Anbieter Sie sich entscheiden, Sie
können darauf vertrauen, dass Sie ein einheitliches und geprüftes Sicher‐
heitsniveau antreffen. Dafür sorgt das De‐Mail‐Gesetz: Alle De‐Mail‐Anbieter
werden nach einheitlichen Kriterien in einem transparenten Verfahren ge‐
prüft. Das ist eine wichtige Voraussetzung für das Entstehen von Vertrauen
in die Sicherheit und Qualität der De‐Mail‐Dienste.
Die De‐Mail‐Anbieter müssen Nachweise in den folgenden Bereichen erbringen:

•   Sicherheit, Funktionalität und Interoperabilität - verantwortlich für das
    Prüfungsverfahren ist das Bundesamt für Sicherheit in der Informations‐
    technik (BSI). Die aktuellen Zulassungskriterien sind veröffentlicht unter
    www.bsi.bund.de.

•   Datenschutz - verantwortlich für das Prüfungsverfahren ist der Bundes‐
    beauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die
    aktuellen Zulassungskriterien sind veröffentlicht unter www.bfdi.bund.de.

Wenn Sie De‐Mail‐Anbieter werden möchten, wenden Sie sich bitte an­​
de‐mail@bsi.bund.de.

14 | www.de‐mail.de
Impressum

Herausgeber
Bundesministerium des Innern
IT‐Stab, Referat IT 4
Alt‐Moabit 101 D
10559 Berlin

Bezugsquelle
Bundesministerium des Innern
E‐Mail: demail@bmi.bund.de
Internet: www.de‐mail.de
Tel.: +49(0)30 18681‐0
Fax: +49(0)30 18681‐2926

Stand
Juli 2012

Druck
Silber Druck oHG
Niestetal

Gestaltung und Bildnachweis
Serviceplan Berlin GmbH & Co. KG
Berlin

Text
Bundesministerium des Innern
Berlin

Diese Broschüre ist Teil der Öffentlichkeitsarbeit der Bundesregierung.
Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.

                                                         www.de‐mail.de | 15
www.cio.bund.de   www.de-mail.de
Sie können auch lesen