Neues Mail-Konzept für Behörden

e-Mail-Management in der Praxis

  

secure
web
communication

 

Startseite    Seite2
 Risiken im Internet
Aktuelle Szenarien
Grundwissen
Sewecom-Ansatz

Zentrale Themen
eGovernment
Onlinebanking
Institutionen
Sicherheits-Links

Bildungsinitiative
Datensicherheit

PC-Sicherheits-Infos
Sewecom-Standard
   Sewecom-Abb.

Begriffe: A-Z

Veranstaltungen

Aktuelle Nachrichten

Referenz-Links
 Überblick: Sitemap
Rechtliche Hinweise
Kontakt/Impressum

Gewerblich:
Seminare
Beratung

Sewecom-Inhalte
Sicherheitsfirmen

 
 


Internetkommunikation bedroht

Im Internet ist es möglich, auf schnelle und einfache Weise zu kommunizieren und Informationen auszutauschen. Diese Möglichkeiten für den Kontakt zwischen Staat und Bürgern nutzbar zu machen, ist ein zentrales Ziel des E-Governments. Der Schutz der Privatsphäre der beteiligten Kommunikationspartner ist dabei die große Herausforderung. Die hier aufgezeigte Kommunikationslösung ist vor allem für Anfragen über das Internet gedacht, die nicht durch Formulare vorstrukturiert sind und prinzipiell vertrauliche Daten enthalten können. Im Behördenalltag zeigt sich schließlich, dass Fragen der Bürger häufig durch das eigene aktuelle "Fallbeispiel" erläutert werden. Deshalb ist es wichtig, auch Kommunikationssituationen zu schützen, in denen Menschen über das Internet Anfragen stellen und schon bei der Frage vertrauliche Daten übermitteln könnten.


Herkömmliche eMail fragwürdig

Die Vorteile der herkömmlichen eMail liegen auf der Hand: Schnell und einfach können Informationen ausgetauscht und verbreitet werden. Es können große Benutzergruppen im Adressbuch des eMail-Programms angelegt werden, die ohne Aufwand das Versenden an beliebig viele Empfänger ermöglichen. Eine erhaltene eMail kann mit wenig Aufwand weitergeleitet werden. Inhalte können sich so kaskadenartig in kürzester Zeit über die ganze Welt verbreiten. In Bezug auf den Datenschutz sind diese Vorteile der eMail gleichzeitig ihre Nachteile. Die Gefahr liegt bei dieser hohen Funktionalität gerade darin, dass es ohne viel Aufwand möglich ist, Daten zu kopieren, weiterzuleiten und an beliebig viele Empfänger zu transferieren. Der standardmäßige Vorgang beim Versenden von eMails ist dabei ein Kopiervorgang. Der Datenbestand wird pro Empfänger jeweils verdoppelt. Werden personenbezogene Daten auf diese Weise ausgetauscht, ist anschließend kaum nachvollziehbar, wo diese datenschutzrelevanten Daten gespeichert sind. Gerade für den Umgang mit schutzwürdigen Daten wäre es jedoch wichtig, die Datenbestände im Überblick zu behalten, um Daten, die nicht mehr benötigt werden, gezielt löschen zu können.
Bei eMails gibt es bereits Möglichkeiten der Verschlüsselung und Signierung. Die eMails können somit sicher transferiert werden und Inhalte können von Unbefugten nicht gelesen werden. Bei einer Manipulation der eMail würde sogar eine Warnung angezeigt. In der Praxis hat sich diese Form der Verschlüsselung und Signierung jedoch nicht durchgesetzt. Für viele Menschen ist dieser Vorgang zu kompliziert. Dadurch ist die Nutzungsquote von Verschlüsselungsmöglichkeiten wie z.B. PGP in der Praxis leider minimal. Selbst in vertraulichen Beratungsprozessen wird diese Methode von weniger als 2 % der Ratsuchenden genutzt, wenn sie überhaupt angeboten wird. Sie spielt in der Praxis der alltäglichen Internetkommunikation somit kaum eine Rolle. Die herkömmliche eMail ist aus diesen genannten Gründen also nicht geeignet für vertrauliche Kommunikation zwischen Behörden und Bürgern.

Neues Mailkonzept bei eGovernment

Beim E-Government-Mailkonzept wird für vertrauliche Kommunikation ganz auf die herkömmliche eMail verzichtet. Es handelt sich hier um ein datenbankorientiertes und webbasiertes Mailverfahren. Bürger, die mit einer Behörde kommunizieren wollen, müssen sich lediglich einen Benutzer-Account auf der Webseite der Behörde anlegen. Die Kommunikation kann dabei mit jedem Standardbrowser getätigt werden. Die Anschaffung spezieller Software ist für den Bürger also nicht nötig. Die technischen Kenntnisse der Installation von Verschlüsselungssoftware sind bei diesem Konzept auch nicht notwendig. In diesem Neuansatz wird die gesamte Kommunikation automatisch per SSL verschlüsselt. Sowohl Vertraulichkeit als auch Authentizität der Behörde (durch SSL-Zertifikat nach dem Signaturgesetz) können gewährleistet werden.

Kostensparendes e-Mail-Management möglich

Eine Kommunikation, die auf einer Datenbank beruht, ermöglicht nun auch ein gezieltes behördeninternes Organisieren der Kommunikationsprozesse. So ist von vornherein planbar, welchem Mitarbeiter welche Anfragen (auf bestimmten Seiten der öffentlichen Homepage) zugeordnet werden. Eine themenspezifischen Vorauswahl ist dabei über die Homepage möglich. Dies erspart eine zeitaufwändige Verteilung von Mails. Außerdem können Löschvorgänge standardisiert werden, so dass zu löschende Daten im Blick bleiben und auch der Datenschutzgrundsatz der Datensparsamkeit gewährleistet wird. Bei Überschreitung von vordefinierten Fristen wird eine Löschungsempfehlung vom Programm angezeigt. Die Mail-Funktionalität wird für vertrauliche Kommunikation eingeschränkt und jeweils an die Modalitäten und den Bedarf der jeweiligen Behörde angepasst. Vereinbarungen mit Nutzern und Datenschutzinformationen können dabei vor dem Erstkontakt sogar per Formular verbindlich vorgeschaltet werden.
Bei dieser eMail-Alternative wird 100 % der Kommunikation verschlüsselt. Dieses Verfahren erfüllt somit weit höhere Anforderungen an Datensicherheit und Datenschutz als die herkömmliche eMail und ist dazu noch einfacher zu handhaben als Verschlüsselungssoftware im eMail-Programm.

Rahmenbedingungen und Ausblick

Dieses Mail-Konzept kann nur dann wirksamen Schutz bieten, wenn ein umfassendes Gesamtkonzept für Datenschutz und Datensicherheit vorliegt, wie es im Sewecom-Standard für sichere Kommunikation im Internet empfohlen wird. Dabei werden die Grundbedingungen des IT-Grundschutzhandbuchs des BSI als Voraussetzung für ein sicheres Mailkonzept angesehen. Behörden können das E-Government-Mailkonzept in ihre bestehende Sicherheits-Infrastruktur integrieren, da dieses Verfahren auf unterschiedlichsten Plattformen realisiert werden kann. Die Umsetzung ist dabei mit weit verbreiteten Komponenten möglich.

In Zukunft ist es sinnvoll, zusätzlich ein Authentisierungsverfahren für die eindeutige Identifizierung per Chip-Karte der Bürger zu integrieren (Elektronische Unterschrift). In den nächsten Jahren ist damit aber noch nicht flächendeckend zu rechnen. Der geregelte Zugriff ist dabei aber bereits durch die Vergabe von Benutzernamen und Passwort möglich. Sowohl Bürger, die zufällig auf die Homepage kommen können direkt eine Anfrage versenden, die Antwort können nur sie in ihrem Account abfragen. Aber auch eine weitere Stufe der Authentifizierung ist möglich: Sie können mit einem postalisch zugestellten (oder persönlich übergebenen) Freischalt-Code verifizieren, dass keine Fremde Person sich für sie ausgibt.

Dieses Mailkonzept fasst somit die derzeitigen Möglichkeiten zusammen, um die Privatsphäre des Bürgers bei der Kommunikation mit Behörden auch heute schon umfassend zu schützen.

 

Weitere Hintergrundinformationen:

Sewecom-Mail (Funktionalität)

Sewecom-Standard (Sicherheitskonzept)

e-Mail-Management (Übersicht)

zur Sewecom-Homepage