Das Projekt „De-Mail“ ist Bestandteil des Modernisierungsprogramms "Vernetzte und transparente Verwaltung" der Bundesregierung. Es soll für Privatanwender intuitiv nutzbar, für Unternehmen einfach in die vorhandene Infrastruktur integrierbar sein sowie verschlüsselte, authentische und nachweisbare E-Mail-Kommunikation ermöglichen. Die von Beginn an fehlende Implementation von Ende-zu-Ende-Verschlüsselung stellt allerdings einen eklatanten Mangel dar, welchem mit einer rudimentären Lösung versucht wird entgegenzuwirken. Alle De-Mail-Provider sind nun verpflichtet einen Verzeichnisdienst anzubieten, in dem jeder seinen öffentlichen Schlüssel bzw. die Verschlüsselungszertifikate hinterlegen kann. In der vorliegenden Bachelorarbeit wird das Sicherheitskonzept von De-Mail analysiert und beschrieben sowie mit anderen Lösungen (z.B. S/MIME, PGP, ePost-Brief) verglichen. Neben den technischen Sicherungsmaßnahmen sind auch die organisatorischen Maßnahmen zu beschreiben und zu untersuchen.

Excerpt

Inhaltsverzeichnis

1 Einleitung

2 Das Projekt „De-Mail“

2.1 Übersicht der Funktionalitäten

2.2 Technische Richtlinie von De-Mail

2.2.1 Modul IT-Basisinfrastruktur

2.2.2 Modul Accountmanagement

2.2.3 Modul Postfach und Versanddienst

2.2.4 Modul Identitätsbestätigungsdienst

2.2.5 Modul Dokumentenablage

2.2.6 Modul Sicherheit

3 Gesetzlicher Rahmen und Realisierung

3.1 Das De-Mail-Gesetz

3.2 De-Mail-Diensteanbieter

3.2.1 Allgemeine Punkte für die Akkreditierung

3.2.2 Testat über die IT-Sicherheit

3.2.3 Zertifikat des Datenschutzbeauftragten der Bundesregierung

4 Problemfallanalyse

4.1 Ende-zu-Ende-Verschlüsselung

4.2 Feststellung, Aktualität und Korrektheit der Identitätsdaten

4.3 Zentrale verifizierte Datensätze im ÖVD und deren Suche

4.4 Auskunftsermittlung von Postfachinhabern

4.5 Interoperabilität

4.6 Nachrichtenversand mit einfacher Sicherheit beim Login

5 Alternativen im Vergleich

5.1 E-Post

5.2 OpenPGP

5.3 S/MIME

6 Fazit

Zielsetzung & Themen

Ziel dieser Bachelorarbeit ist es, das Sicherheitskonzept von De-Mail zu analysieren, zu bewerten und kritisch mit alternativen Lösungen wie S/MIME, PGP und dem E-Postbrief zu vergleichen, um aufzuzeigen, inwieweit das Projekt die Anforderungen an eine vertrauliche, authentische und nachweisbare Kommunikation erfüllt.

Analyse der technischen Richtlinien und Rahmenbedingungen von De-Mail.
Untersuchung des gesetzlichen Rahmens und des Akkreditierungsprozesses für Diensteanbieter.
Kritische Analyse von Sicherheitsdefiziten wie der fehlenden Ende-zu-Ende-Verschlüsselung.
Vergleichende Gegenüberstellung mit bestehenden Standards zur sicheren E-Mail-Kommunikation.
Bewertung des Einflusses organisatorischer Maßnahmen auf das Sicherheitsniveau.

Auszug aus dem Buch

4.1 Ende-zu-Ende-Verschlüsselung

Wie bereits erwähnt verspricht De-Mail eine Zusicherung der Vertraulichkeit aufgrund eines verschlüsselten Kommunikationsraumes sowie eine höhere Rechtsverbindlichkeit als eine E-Mail. Bei der in De-Mail implementierten Verschlüsselung handelt es sich aber leider lediglich um eine Transportverschlüsselung zwischen den einzelnen Kommunikationspartnern. Bei De-Mail wurde die Verschlüsselung nicht durch eine Ende-zu-Ende-Verschlüsselung (E2EE), sondern lediglich durch eine Punkt-zu-Punkt-Verschlüsselung (P2PE) realisiert. Bei einer P2PE werden die Daten von einer Kommunikationsstation zur anderen verschlüsselt und mit einer Checksumme versehen übertragen, womit sichergestellt ist, dass die Daten während des Transportes nicht mitgelesen oder verändert wurden. Der technische Aufwand um dieses zu garantieren liegt bei den Providern. Dies bedeutet aber auch, dass, sobald der Provider die Nachricht erhält, diese Nachricht in dem entsprechenden System temporär in Klartext (also nicht verschlüsselt) vorhanden ist, bevor sie anschließend verschlüsselt weiter übermittelt wird.

Bei der E2EE hingegen wird die Nachricht beim Absender eigenhändig verschlüsselt, anschließend durch die Provider übertragen und erst der Empfänger entschlüsselt die Nachricht. Um dieses zu realisieren ist aber eine Anwendungsinstallation auf den Rechnersystemen der beiden Nutzer unabdingbar. Im Falle von De-Mail wird auf die E2EE verzichtet wodurch nicht garantiert werden kann, dass die Daten an den Kommunikationsstationen weder mitgelesen noch geändert werden. Ein Grund auf die zwingende Ende-zu-Ende-Verschlüsselung zu verzichten, war die erwähnte Schadsoftwareprüfung, ein anderer die Vermeidung des für den Nutzer entstehenden Aufwandes, z.B. durch Schlüsselverwaltung, Softwareinstallation.

Zusammenfassung der Kapitel

1 Einleitung: Diese Einleitung beleuchtet die Defizite herkömmlicher E-Mail-Kommunikation bezüglich der Schutzziele der IT-Sicherheit und führt in das Projekt De-Mail als Lösungsansatz ein.

2 Das Projekt „De-Mail“: Dieses Kapitel erläutert die Entstehungsgeschichte, die Zielsetzung des Projektes sowie den detaillierten Aufbau der Technischen Richtlinie des BSI und deren Module.

3 Gesetzlicher Rahmen und Realisierung: Hier wird das De-Mail-Gesetz als rechtliches Fundament sowie der Prozess der Akkreditierung von Diensteanbietern, inklusive der Rolle von Auditoren und Datenschutzbeauftragten, beschrieben.

4 Problemfallanalyse: In diesem zentralen Kapitel werden spezifische Sicherheitsrisiken wie die fehlende Ende-zu-Ende-Verschlüsselung, Datenintegrität und Herausforderungen bei der Interoperabilität analysiert.

5 Alternativen im Vergleich: Dieser Abschnitt vergleicht De-Mail mit existierenden Verfahren wie E-Post, OpenPGP und S/MIME, um Gemeinsamkeiten und Unterschiede in der Sicherheitsarchitektur aufzuzeigen.

6 Fazit: Das Fazit fasst die Ergebnisse zusammen und bewertet kritisch, ob De-Mail die an das Projekt gestellten Sicherheitsanforderungen erfüllen kann oder ob konsequentere Ansätze erforderlich wären.

Schlüsselwörter

De-Mail, IT-Sicherheit, BSI, Technische Richtlinie, Ende-zu-Ende-Verschlüsselung, E-Mail-Sicherheit, Akkreditierung, Identitätsbestätigung, Datenschutz, Signaturgesetz, E-Post, PGP, S/MIME, Punkt-zu-Punkt-Verschlüsselung, Nachrichtenaustausch.

Häufig gestellte Fragen

Worum geht es in dieser Bachelorarbeit grundsätzlich?

Die Arbeit befasst sich mit der Analyse der Sicherheitsfunktionen des De-Mail-Projektes der Bundesregierung und bewertet, inwieweit diese die Anforderungen an eine sichere und rechtsverbindliche elektronische Kommunikation erfüllen.

Was sind die zentralen Themenfelder der Analyse?

Die zentralen Themen umfassen die technischen Spezifikationen des BSI, den gesetzlichen Rahmen des De-Mail-Gesetzes, die Sicherheitsmechanismen für den Nachrichtenversand sowie einen Vergleich mit existierenden kryptografischen Alternativen.

Was ist das primäre Ziel der Forschungsarbeit?

Das Hauptziel ist die Bewertung, ob De-Mail das Versprechen eines sicheren Kommunikationsraumes einlöst und wo technische sowie organisatorische Mängel in der Umsetzung liegen.

Welche wissenschaftliche Methode wird in dieser Arbeit verwendet?

Die Arbeit verwendet eine deskriptive und analytische Methode, indem sie offizielle technische Richtlinien, Gesetze und Sicherheitsstandards analysiert und diese mit etablierten IT-Sicherheitskonzepten vergleicht.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in die Vorstellung der technischen Richtlinien, die Erläuterung der gesetzlichen Anforderungen an Diensteanbieter (Akkreditierung), die detaillierte Problemfallanalyse einzelner Sicherheitsaspekte und den Vergleich mit alternativen Lösungen wie OpenPGP und S/MIME.

Welche Schlüsselwörter charakterisieren diese Arbeit?

Wesentliche Begriffe sind De-Mail, IT-Sicherheit, Ende-zu-Ende-Verschlüsselung, Akkreditierung, Identitätsbestätigung und Datenschutz.

Warum wird die Ende-zu-Ende-Verschlüsselung bei De-Mail kritisiert?

Die Arbeit kritisiert, dass De-Mail primär auf Punkt-zu-Punkt-Verschlüsselung setzt, wodurch Nachrichten bei den Providern temporär im Klartext vorliegen können und der Benutzer somit keinen durchgängigen Schutz seiner Datenintegrität und Vertraulichkeit genießt.

Welchen Einfluss hat die Akkreditierung auf die Vertrauenswürdigkeit von De-Mail?

Die Akkreditierung durch das BSI stellt sicher, dass Anbieter hohe technische und organisatorische Standards einhalten müssen, was für die Vertrauenswürdigkeit des Systems essenziell ist, wenngleich die Arbeit darauf hinweist, dass dies technische Defizite wie die fehlende Ende-zu-Ende-Verschlüsselung nicht vollständig kompensieren kann.

Wie unterscheidet sich De-Mail vom E-Postbrief der Deutschen Post?

De-Mail ist stärker durch eine vom BSI definierte Technische Richtlinie geprägt, während der E-Postbrief ein proprietäres Angebot der Deutschen Post darstellt; beide Systeme weisen jedoch in der Praxis ähnliche Herausforderungen bezüglich ihrer geschlossenen Infrastruktur auf.

Was schlägt der Autor als Verbesserung für De-Mail vor?

Der Autor empfiehlt die Integration einer vollautomatischen und nutzerfreundlichen Ende-zu-Ende-Verschlüsselung sowie eine strengere Trennung der Authentifizierungsniveaus, um die Akzeptanz und Sicherheit des Systems signifikant zu erhöhen.

Excerpt out of 50 pages - scroll top

Details

Title: Analyse der Sicherheitsfunktionen von De-Mail
College: University of Hamburg (Informatik)
Grade: 2,9
Author: Andre Kreykenbohm (Author)
Publication Year: 2011
Pages: 50
Catalog Number: V202320
ISBN (eBook): 9783656296751
ISBN (Book): 9783656713661
Language: German
Tags: De-Mail S/MIME PGP ePost-Brief Verschlüsselung BSI Bundesamtes für Sicherheit in der Informationstechnik Bundesministerium des Innere BMI rechtssichere elektronische Kommunikation Akkreditierung E-Mail Vernetzte und transparente Verwaltung
Product Safety: GRIN Publishing GmbH

Quote paper: Andre Kreykenbohm (Author), 2011, Analyse der Sicherheitsfunktionen von De-Mail, Munich, GRIN Verlag, https://www.grin.com/document/202320

Analyse der Sicherheitsfunktionen von De-Mail