Pet 1-17-09-9028-019060 Kundenschutz im

Commentaren

Transcriptie

Pet 1-17-09-9028-019060 Kundenschutz im
Pet 1-17-09-9028-019060
Kundenschutz im
Telekommunikationsbereich
Der Deutsche Bundestag hat die Petition am 27.06.2013 abschließend beraten und
beschlossen:
Die Petition der Bundesregierung – dem Bundesministerium des Innern – zu
überweisen.
Begründung
Mit der Petition wird gefordert, im Rahmen des Gesetzgebungsprozesses zur
Einführung vertrauenswürdiger De-Mail-Dienste solle auf bestehende und sich seit
vielen Jahren bewährende Authentifizierungstechniken aufgebaut werden.
Die Eingabe wurde auf der Internetseite des Petitionsausschusses des Deutschen
Bundestages veröffentlicht. Sie wurde von 334 Mitzeichnern unterstützt. Außerdem
gingen 11 Diskussionsbeiträge ein.
Zur Begründung des Anliegens wird auf das De-Mail-Projekt, ein von der
Bundesregierung
initiiertes
und
in
Zusammenarbeit
mit
mehreren
privaten
Dienstanbietern realisiertes Vorhaben, Bezug genommen. De-Mail soll das verbindliche
und vertrauliche Versenden von Dokumenten und Nachrichten über das Internet
ermöglichen.
In der Petition werden als Kritikpunkte hierzu im Wesentlichen vorgetragen, der Entwurf
sehe eine Abhängigkeit der Bürger von wenigen, kommerziellen Diensteanbietern vor.
Es gebe neben bereits bestehenden Lösungen keine Notwendigkeit für ein neues
Konzept wie De-Mail. Durch das Vorhaben des Bundesamts für Sicherheit in der
Informationstechnologie (BSI) erhalte die Bundesregierung zu viel Einfluss auf das
System und könne so unerlaubterweise jeglichen Informationsfluss kontrollieren. Die
gespeicherten Daten könnten jederzeit ohne rechtliche Grundlage von Behörden
abgerufen werden. Die Sicherheit von De-Mail werde nicht durch systemeigene
Maßnahmen garantiert, sondern beruhe auf dem Vertrauen zu den kommerziellen
Diensteanbietern. Es gebe keine Kontrollmechanismen, die gewährleisteten, dass
sämtliche
durch
umgesetzt würden.
De-Mail durchgeführte Sicherheitsmaßnahmen
immer korrekt
Außerdem würden die Bürger verpflichtet, sich für De-Mail dauerhaft in Systemen der
Diensteanbieter zu registrieren.
Auch die Finanzierung der De-Mail-Dienste sei ungeklärt. Entweder erfolge diese aus
Mitteln des Bundes und damit aus Steuergeldern oder über die Tarife der
Diensteanbieter. In jedem Fall würden die durch die Diensteanbieter berechneten
Entgelte deutlich über deren Selbstkosten liegen, da diese gewinnorientiert arbeiten
würden.
Vor diesem Hintergrund wird mit der Petition angeregt, alternativ zu De-Mail die
bewährten Konzepte ITU-T X.509 oder RFC 4880 („OpenPGP“) zu verwenden. Diese
setzten die mit dem De-Mail-Konzept verfolgten Ziele der Absenderauthentifizierung
und der Integrität und Vertraulichkeit der Übermittlung mathematisch beweisbar und
somit mittels des eigenen Systems um. Dadurch bedürften sie einer deutlich geringeren
und somit praktisch machbaren Kontrolle. Zudem seien sie wesentlich kostengünstiger
und würden aufgrund ihrer Bekanntheit schneller von den Bürgern akzeptiert.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht zu
der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung stellt sich
zusammengefasst wie folgt dar:
Das Gesetz zur Regelung von De-Mail-Diensten und zur Änderung weiterer
Vorschriften (De-Mail-Gesetz) ist am 3. Mai 2011 in Kraft getreten (BGBl. I, S. 666).
„De-Mail-Dienste“ werden darin definiert als „Dienste auf einer elektronischen
Kommunikationsplattform, die einen sicheren, vertraulichen und nachweisbaren
Geschäftsverkehr für jedermann im Internet sicherstellen sollen“ (vgl. § 1 Abs. 1 des
De-Mail-Gesetzes).
Entgegen der Darstellung in der Petition kann der Petitionsausschuss in dem
Gesetzestext keine Festlegung auf wenige, kommerzielle Diensteanbieter erkennen.
Jedes Unternehmen, das De-Mail-Dienste anbieten will, kann sich beim BSI
akkreditieren lassen.
Hinsichtlich der Aussage, es bestehe keine Notwendigkeit zur Schaffung neuer
Konzepte über die bereits bestehenden hinaus, stellt der Petitionsausschuss fest, dass
bisher weniger als fünf Prozent der E-Mails verschlüsselt versendet werden, obwohl die
erforderlichen Technologien – auch die in der Petition genannten – seit vielen Jahren
verfügbar
sind.
Das
Ziel
von
De-Mail
ist
es
deshalb,
grundlegende
Sicherheitsfunktionen für den Nutzer einfach anwendbar zu machen (beispielsweise
ohne notwendige Zusatzinstallationen auf dem eigenen Rechner) und auf diese Weise
Sicherheitsfunktionen stärker als bisher in die breite Nutzung zu bringen.
Zudem weist der Ausschuss darauf hin, dass Zugriffe auf Telekommunikationsinhalte
oder nähere Umstände der Telekommunikation durch staatliche Stellen bei De-Mail,
ebenso wie bei anderen Telekommunikationsdaten, einen Eingriff in Artikel 10
Grundgesetz (Brief-, Post- und Fernmeldegeheimnis) darstellen. Ein solcher Eingriff
erfordert einen richterlichen Beschluss. Zusätzliche Möglichkeiten zur „Kontrolle des
Informationsflusses“ für die Bundesregierung bestehen nach der gegenwärtigen
gesetzlichen Regelung hingegen nicht.
Was die Problematik der Sicherheitsgarantie des Konzeptes betrifft, verweist der
Petitionsausschuss darauf, dass das Vertrauen in die De-Mail-Diensteanbieter auf
transparenten Regeln im Hinblick auf IT-Sicherheit und Datenschutz beruht. Diese
gelten für alle Diensteanbieter in gleicher Weise und werden im Rahmen des
Akkreditierungsverfahrens durch das BSI überprüft sowie im Rahmen der Aufsicht
überwacht. Darin wird u. a. der Einsatz konkreter, bestehender Sicherheitstechnologien
durch die Diensteanbieter – darunter auch der Einsatz des in der Petition erwähnten
X.509-Standards – gefordert.
Entgegen der Eingabe ist es nicht zutreffend, dass Bürger verpflichtet sind, sich bei
De-Mail zu registrieren. Die Registrierung für Bürger, Unternehmen und andere
Institutionen ist freiwillig.
Was die Finanzierung der De-Mail-Dienste angeht, stellt der Petitionsausschuss fest,
dass diese durch die Diensteanbieter und nicht durch den Bund erfolgt. Der Bund hat
die
Durchführung
De-Mail-Gesetz
des
sowie
De-Mail-Projekts
die
technischen
finanziert,
in
Anforderungen
dessen
und
Rahmen
Regeln
für
das
die
Diensteanbieter (sog. Technische Richtlinien De-Mail) erarbeitet wurden, die wiederum
Grundlage des Akkreditierungsverfahrens sind. Da De-Mail-Anbieter miteinander im
Wettbewerb stehen, besteht von Seiten der Bundesregierung die Erwartung, dass sich
marktgerechte Preise für De-Mail-Dienste bilden werden.
Abschließend weist der Ausschuss darauf hin, dass die ersten Anbieter von De-Mail
ihre Zulassung vom BSI am 6. März 2012 erhielten. Damit hat die Einführung von
De-Mail für den sicheren elektronischen Nachrichtentransport begonnen. Auf der
CeBIT 2012 und der Internationalen Funkausstellung 2012 präsentierten Unternehmen
bereits ihre De-Mail-Produkte bzw. gaben ihre Tarife für den De-Mail-Service bekannt.
Vor
diesem
Hintergrund
empfiehlt
der
Petitionsausschuss,
die
Petition
der
Bundesregierung – dem Bundesministerium des Innern – zu überweisen, um sie auf
das Anliegen der Petition besonders aufmerksam zu machen.
Der von der Fraktion von BÜNDNIS 90/DIE GRÜNEN gestellte Antrag, die Petition der
Bundesregierung – dem Bundesministerium des Innern – als Material zu überweisen,
soweit die Petition auf die Notwendigkeit eines der qualifizierten signifikanten Signatur
vergleichbaren hohen Sicherheitsstandards für die Versendung verschlüsselter Mails
aufmerksam macht, ist mehrheitlich abgelehnt worden.