Sehr geehrter Herr Kratz,
entschuldigen Sie bitte die späte Antwort auf Ihre Anfrage, die der gegenwärtig hohen Arbeitsbelastung geschuldet ist.
Obwohl Sie sich ausdrücklich auf das Informationsfreiheitsgesetz beziehen, ist dieses nicht einschlägig. Der Antrag ist nicht auf Zugang zu amtlichen Aufzeichnungen des BMI gerichtet, sondern auf Antworten auf konkrete Fragestellungen und eine Sachdiskussion. (ZI4: vielleicht kann man das ganz weglassen?)
1. Ist es Providern von De-Mails, wenn auch nur theoretisch, möglich nach strafrechtlich relevanten Material in De-Mails zu suchen? Wenn ja, warum?´
2. Sind die Provider verpflichtet nach strafrechtlich relevantem Material in den De-Mails zu suchen?
3. Sind solche Verpflichtungen geplant?
4. Ist es Providern von De-Mails, wenn auch nur theoretisch, möglich De-Mails nach beliebigen Suchbegriffen zu durchsuchen? Wenn ja, warum?
5. Liegen, wenn ja welche, Untersuchungen oder Erkenntnisse vor, die sich mit der Frage befassen, ob De-Mail Provider sich durch (automatisiertes) durchsuchen, insbesondere von Behördenmails, einen wirtschaftlichen Vorteil verschaffen können?
Antwort zu 1.-5.:
Ein Zugriff durch die Provider auf DE-Mails, um z.B. nach strafrechtlich relevanten Inhalten oder wirtschaftlich verwertbaren Informationen zu suchen, ist nach deutschem Recht nicht möglich. Die akkreditierten De-Mail-Provider Telekom, 1&1 und Mentana Claimsoft unterliegen deutschem Recht, da sie die Daten in Deutschland verarbeiten. Erst Recht sind die Provider nicht dazu verpflichtet.
Bei De-Mail sind die Nachrichten auf ihrem Weg durch das Netz stets verschlüsselt (vergleichbar zu Verfahren z.B. im Online-Banking) und werden auch verschlüsselt im Postfach des Empfängers abgelegt. In den zertifizierten Hochsicherheitsumgebungen De-Mail-Diensteanbietern (DMDA) werden die Nachrichten automatisiert (also ohne dass ein Mitarbeiter des DMDA konkret handelt) umgeschlüsselt. Für diese Hochsicherheitsumgebungen gelten deshalb hohe Anforderungen an organisatorische und technische Sicherheit, die im De-Mail-Gesetz sowie in den Technischen Richtlinien zu De-Mail des Bundesamtes für Sicherheit in der Informationstechnik festgeschrieben sind:
· Die IT-Systeme sind speziell gegen Angriffe gehärtet (durch Entfernung/Deaktivierung nicht genutzter Funktionen des Betriebsystems, Abschottung durch Firewalls, regelmäßige Updates, Virenscanner, Überwachung der Systemeigenschaften und -anwendungen).
· Das Dateisystem ist verschlüsselt, so dass bei einem Diebstahl der Datenträger kein Zugriff darauf möglich ist. Es ist daher auch kein direkter Zugriff auf Backup-Daten möglich.
· Die Nachrichten werden in verschlüsselter Form in den Postfächern abgelegt. Zur sicheren Aufbewahrung des Schlüssels kommen spezielle Hardwarekomponenten, sogenannte Hardware Security Modules (HSM) zum Einsatz. Der Schlüssel kann auf diese Weise nicht entwendet werden.
· Der DMDA muss durch sein Rollenkonzept nachweisen, dass die Aufgaben für die Schlüsselverwaltung und der Verwaltung der Daten durch unterschiedliche Administratoren erfolgen.
· Der Zugriff auf einen Server oder Daten in Postfächern erfordert daher, dass zwei Administratoren gemeinsam handeln.
· Alle Aktivitäten der Administratoren auf den einzelnen IT-Systemen werden aufgezeichnet. So ist nachvollziehbar, welche Person was getan hat. Die Logdaten müssen regelmäßig ausgewertet werden. Dabei ist der Logdatenadministrator nicht identisch mit den anderen beiden Administratoren.
· Alle Administratoren, die beim DMDA hinsichtlich De-Mail zum Einsatz kommen, müssen im Rahmen der Akkreditierung nach De-Mail-G ein polizeiliches Führungszeugnis vorlegen.
· Die Umsetzung der Maßnahmen wird im Rahmen der Akkreditierung nach De-Mail-G geprüft. Nur die Provider, die alle Maßnahmen umgesetzt haben, werden vom Bundesamt für Sicherheit in der Infor-mationstechnik (BSI) zugelassen.
Ein Zugriff auf die Daten oder auch ein automatisierte Durchsuchen nach beliebigen Suchbegriffen beim De-Mail-Provider kann deshalb faktisch ausgeschlossen werden. Neben den zahlreichen technischen und organisatorischen Hürden müssten drei unterschiedliche Mitarbeiter eines akkreditierten und überprüften Providers mit hoher krimineller Energie zusammenwirken (und sich strafbar machen), um De-Mails beim Provider mitzulesen. Die hierfür aufzubringende kriminelle Energie und das technische Know-How sind dabei weit höher als es bei vergleichbaren papierbasierten Verfahren erforderlich wäre.
Nutzer, die Verfahren zur Ende-zu-Ende-Verschlüsselung über die entsprechenden Installationen auf ihren Endgeräten im Einsatz haben, können diese einfach zusätzlich einsetzen. Für alle anderen Nutzer sollen durch De-Mail keine unnötigen Hürden aufgebaut werden, um grundlegende Sicherheits-funktionen endlich mehr in die breite Nutzung zu bringen.
Mit freundlichen Grüßen
