Die virtuelle Poststelle und E-Mail-Verschlüsselung mit JULIA Mailoffice

 

Management Summary

Die umfassendere Lösung für die verschlüsselte UND signierte Kommunikation auf der Basis von E-Mail (SMTP) ist ein E-Mail-Gateway, das eingehende Nachrichten auf Signatur und Verschlüsselung prüft und entsprechend behandelt. Aber auch ausgehende Nachrichten können nach einem Regelwerk verschlüsselt und/oder signiert werden.

Die GKD wird die Software JULIA-Mailoffice für alle Kunden ab ca. Mitte 2006 einsetzen.

---

 

Ausgangssituation

Die Eröffnung des Zugangs für elektronische Dokumente gem. §3a VwVfG NW ist eine organisatorische und technische Herausforderung für die Verwaltungen.

Basis für die technische Seite war in den bisherigen Überlegungen das Konzept der "Virtuellen Poststelle" (VPS). In einfachen Worten ist eine VPS nichts anderes als die Software-Umsetzung eines zentralen Eingangs- und Ausgangspostfachs.

Eine solche Lösung hat viele Vorteile:

• Nutzung einer gemeinsamen Plattform für die gesamte Verwaltung
• zentrale Ver- und Entschlüsselung
• Möglichkeit der Nutzung einer Kommunen-übergreifenden VPS

Die auf dem Markt befindliche Lösung für eine VPS auf Basis der - in NRW im Prinzip gesetzten Software Governikus - heißt Govello. Govello bietet eine Umsetzung der VPS auf der Basis des Protokolls OSCI ("Online Services Computer Interface").

Die Software selbst aber auch der Ansatz einer Umsetzung der VPS auf Basis von OSCI hat allerdings gravierende Nachteile:

• der Bürger muss eine Software für die Kommunikation mit der Behörde herunterladen, installieren und betreiben, er kann sein Standard-Mailprogramm nicht nutzen
• Auf der Behördenseite muss der Sachbearbeiter bzw. ein vorgeschalteter Postsachbearbeiter ebenfalls diese Software haben
• Ein Brückenschlag von OSCI zu SMTP ("normaler" Mail) ist noch nicht realisiert
• Govello ist noch nicht in einem Stadium, dass man ernsthaft als einsetzbar bezeichnen könnte - vor allem nicht, wenn man darüber rechtsverbindlich kommunizieren will

Diese Nachteile haben verschiedene Rechenzentren dazu bewogen, sich nach Alternativlösungen für das Problem des Zugangs von digital signierten und verschlüsselten Dokumenten umzusehen. Dabei war aber noch ein anderer Gedanke treibend: Wieso kann man über eine VPS verschlüsselt und sicher kommunizieren und die Mails werden - teilweise mit datenschutzrechtlich brisanten Inhalten - weiterhin unverschlüsselt durch das Internet übertragen? Das Thema ist natürlich vor allem im Mailverkehr zwischen Behörden von großer Bedeutung.

Die Lösung beider Probleme heißt "zentrales Mailgateway zur Behandlung verschlüsselter und signierter Eingänge und zu verschlüsselnder und zu signierender Ausgänge". Ein Mailgateway behandelt jede eingehende und ausgehende Mail nach einem bestimmten Regelsystem. Dabei werden Eingangs-Mails, die verschlüsselt und/oder digital signiert sind mittels einer kryptographischen Komponente entschlüsselt und die Signatur geprüft. Das Ergebnis der Signaturprüfung wird als Anlage an die Mail gehängt. Bei ausgehenden Mails kann über ein Regelsystem festgelegt werden, wann Verschlüsselung und Signatur zum Einsatz kommen. Voraussetzung für die Verschlüsselung einer ausgehenden Mail ist das Vorhandensein eines Verschlüsselungszertifikats des Empfängers.

---

 

JULIA Mailoffice

Sowohl bei der citeq in Münster als auch bei der KRZN Moers ist das Produkt "JULIA-Mailoffice" der Firma ICC im Testeinsatz. Basierend auf den Erfahrungen dieser Rechenzentren wird die GKD über einen Einsatz entscheiden und die Dienste dieses Gateways ihren Kunden anbieten.

Die VPS des Bundes setzt bei der Ver- und Entschlüsselung von SMTP-Nachrichten ("normalen" Mails) auf JULIA.

---

Funktionsweise von JULIA Mailoffice

JULIA Mailoffice funktioniert im Detail folgendermaßen: 1. Eingang

• die eingehende Mail wird auf das Vorhandensein von Signatur und/oder Verschlüsselung geprüft
• Mails ohne Signatur und ohne Verschlüsselung werden unbehandelt weitergegeben an die regulären SMTP-Gateways bzw. Mailserver
• bei verschlüsselte Mails muss geprüft werden, ob das private Zertifikat des Empfängers zur Entschlüsselung für den JULIA-Server erreichbar ist
• ist das nicht der Fall, wird die Nachricht verschlüsselt an den Empfänger weitergeleitet
• ist ein Zertifikat vorhanden, wird die Nachricht damit entschlüsselt
• ist eine Signatur vorhanden, wird die Signaturprüfung über eine Trustcenterabfrage angestartet
• Das Ergebnis der Zertifikatsprüfung wird von JULIA als Anlage an die Nachricht gehängt
• Die entschlüsselte und/oder geprüfte Nachricht wird mit der Anlage an den Empfänger geleitet

2. Ausgang

• für ausgehende Mails können verschiedene Regeln zur Verschlüsselung und Signatur eingestellt werden
• Voraussetzung für die Verschlüsselung ist, dass ein öffentlicher Schlüssel des Empfängers vorhanden ist, fehlt ein solcher, kann JULIA die Nachricht an ein Web-Postfach weiterleiten. Von dort kann der Empfänger die Nachricht via verschlüsselter Internetverbindung im Browser herunterladen.
• bei den Kunden wird ein modifiziertes E-Mail-Formular eingesetzt werden, das die Funktionen von JULIA leicht verständlich umsetzt

 

Weiteres Vorgehen

Die GKD wird nach den positiven Beschlüssen der Gremien JULIA zunächst bei der GKD und dann bei der Stadt Paderborn für "echte" Exchange-Server einsetzen.

Bei Erfolg wird das Produkt allen Kunden zur Verfügung gestellt werden.

---