LdN359 - Digitalisierung: Passwort per Brief

Zu dem in der LdN359 von euch vorgetragenen Beispiel, das für einige vielleicht nach einem weiteren digitalen Schildbürgerstreich klingt, fühle ich mich berufen etwas beizutragen. Ich bin selbst als Datenschutzbeauftragter in der Kommunalverwaltung tätig und hatte mit dem Thema „zeitgemäße Kommunikation mit Bürger*innen“ schon zu tun.

Zuerst müssen Verwaltungen klären, ob die Kommunikation per Mail überhaupt denkbar ist (Stichwort Text-/ Schriftform, Möglichkeiten der Landes-VwG und/ oder Digitalisierungsgesetze…bla).

Ist das möglich, stellt sich die Frage nach einer geeigneten Sicherung dieser Übertragung (sowohl aus datenschutzrechtlicher Sicht bzgl. personenbezogenen Daten („pbD“), aber auch davon unabhängig bzgl. anderer vertraulicher Sachverhalte). Was in Bezug auf die Übermittlung pbD geeignete Sicherheitsvorkehrungen aus Sicht der Aufsichtsbehörden darstellen, haben diese in diesem Papier dargestellt.
Dem folgend, würde bis zu einer bestimmten Sensibilität der Daten auch eine Transportverschlüsselung (die Aufsichtsbehörden unterscheiden hier noch zwischen „obligatorischer“ und „qualifizierter“ T.), die dem aktuellen Stand der Technik entsprechen müsste, ausreichen. Daneben steht auch noch die Frage, ob Bürger*innen von sich aus verlangen können, Daten per „nur“ transportverschlüsselter Mail zu erhalten und damit ggf. auf Rechte aus der DSGVO (s. z.B. Art. 32) zu verzichten. (1/)

…

Als Ü40 sehe ich mich als einen der ersten Digital Natives dieses Landes. Ich war zeitweise als IT-Admin nebenberuflich tätig, mein privater Mailserver unterstützt GPG und S/MIME, und mein meistgenutzer Messenger ist Element mit selbstgehostem Matrix Server…

Wenn ich mich aber umsehe (egal ob in meiner Alterskohorte, darüber oder darunter), sehe ich Leute, deren IT-Kompetenz direkt hinter dem Aufbau eines voreingerichteten Routers aufhört. Ich kenne genug Leute, die schon am Anpassen einer Telefonnummer im Adressbuch scheitern. Von der Nutzung eines Zertifikats für Elster brauchen wir da gar nicht zu reden…

Da ist leider das Versenden eines Passworts per Brief die einzige, wirklich brauchbare Lösung. Sie mag langsam sein, ist aber einfach und zuverlässig.
Alles, was darüber hinausgeht (Fido2 Keys, ePerso, …) ist leider von einem Großteil der Bevölkerung nicht nutzbar, da vielfach einfach das Interesse für Datensicherheit fehlt.

…

Jeder Bundesbürger sollte das Recht haben, sich nicht mit IT auseinandersetzen zu müssen, und nicht in irgendwelche Handyapps gezwungen werden, um auf wichtige Dokumente zugreifen zu können…

Für mich ist hier die einzige Variante, wie man das Alltagstauglich umgesetzt bekommt, die flächendeckende Nutzung des ePerso. Nur wenn das so weit Verbreitung findet, dass es sich lohnt, seine Perso-Pin auswendig zu lernen, dann haben wir eine brauchbare Infrastruktur zur Identifikation und Signatur…

(2/ ) Nun weiter ausgehend von dem Fall, dass derart schützenswerte Daten übermittelt werden sollen, dass eine bloße Transportverschlüsselung nicht mehr ausreicht, bedarf es einer Ende-zu-Ende-Verschlüsselung („E2EE“).

Ihr habt diesbezüglich zum Beispiel auf PGP hingewiesen, sowie auf die Möglichkeiten, die BundID und der neue Personalausweis bieten.

Das ist auch alles richtig, nur leider für die Kommunen, zumindest aus meiner Erfahrung, auch nicht unkompliziert.

2 Beispiele, an die zu denken wäre:

a) Portal

Soweit ich sehe gibt es in BaWü auch ein eigenes Online-Bürgerportal , dass die Buzzword:„digitale Verwaltung“ ermöglichen soll. Ich bin nicht in BaWü, aber auch in meinem Bundesland gibt es so etwas. Da BundID und ein gemeinsames bundesweites Portal ewig nicht voran kam, haben nun eine ganze Reihe von Ländern eigene Parallelstrukturen aufgebaut. Diese sollen nun mit dem Online-Zugangsgesetz 2.0 wieder zu einer Plattform zusammengeschrumpft werden oder zumindest untereinander Daten austauschen. Da aber einige Länder schon fleißig investiert haben in ihr Portal und daran anschließende Dienste (mussten sie ja, denn nach „altem OZG“ gab’s ja ne Deadline für die Digitalisierung), gibt’s da jetzt Streit (aber wieder ein anderes Thema). Letztlich sind die Fragen, wie und woran sind die Kommunen und Bürger*innen in BaWü angebunden bzw. gewöhnt.

b) PGP

PGP, ich nutze es auch, hat derzeit m.E. drei für Verwaltungen wichtige Nachteile:

I) gesehen auf die Gesamtbevölkerung nutzt das halt immer noch so gut wie niemand. Selbst das BSI räumt dies ein.

Um das zu verändern, müsste es m.E. erstmal eine funktionierende Info-Kampagne geben, die allen Beteiligten (also mind. Kommunen und Bürger*innen) die Risiken der bisher üblichen (bedenkenlosen) Nutzung von e-Mail klar macht. Schöne Zusammenfassung, die auch noch ein paar weitere Aspekte abdeckt.

II) Eine Ursache für die immer noch (zu) geringe Verbreitung von PGP ist, dass es auch nach vielen Verbesserungen für Max Mustermann, der „einfach so wie immer e-Mailen will“, zu komplex und unverständlich ist. Ich finde das bitter, lebe aber leider damit…

(…)

(3/ ) III) Um PGP für die Übermittlung einer E2EE E-Mail an eine Bürgerin zu nutzen, benötige ich erstmal ihren öffentlichen Schlüssel. Woher soll die Kommune den bekommen? Außerdem zu beachten: damit überhaupt der Gedanke funktioniert, dass ich sicher „Ende (Kommune) zu Ende (berechtigte Empfängerin)“ übermittle, muss ich auch sicherstellen, das der öffentliche Schlüssel tatsächlich derjenige der Empfängerin ist. Da „Web of Trust“ ebenfalls für viele Bürger*innen und Kommunen ein Fremdwort sein dürfte und ich mir die Einladung zur „kommunalen Kryptoparty“ (bitte bringen Sie ihren Ausweis und den öffentlichen Schlüssel mit) nicht vorstellen kann, noch ein Problem. Ja, ggf. schaffen es einige, ihren Schlüssel mittels des e-Persons zu signieren. Dabei dürfte aber leider noch die zu geringe Verbreitung/ Nutzung dazu führen, dass es nicht großflächig funktioniert.

Das Kommunen nicht nur eMails an Bürger*innen auf sicherem Wege verschicken, sondern diesen auch die Möglichkeit geben wollen/ müssen, e-Mails auch genauso sicher an die Kommune zu schicken, erweitert die Lösungsfindung noch etwas - spare ich mir hier, da es eh schon viel zu lang wird.

Was tun Kommunen nun? Einige setzen auf so genannte „Secure-E-Mail-Gateways“, siehe dazu Ziff. 4.3 dieser Handreichung. Das könnte auch beim Landkreis aus eurem Beispiel der Fall sein. Die Nachricht liegt dann kurz gesagt auf einem Portalserver, bei dem sich die Empfängerin in geeigneter Weise authentifizieren muss, um die Nachricht abrufen zu können. Dafür werden in den mir bekannten Lösungen Nutzerkonten eingerichtet, die mind. durch Passwort, besser durch 2 Faktoren oder durch sog. Passkeys abgesichert sind. Und jetzt komme ich endlich zu eurem Sachverhalt: Der Landkreis hat offenbar entschieden, dass er für die Übermittlung des (Initial-?)Passworts an den korrekten Empfänger nur den Weg der Briefpost zur Verfügung hat (denkbare Argumentation: a) wir kennen die Adresse (z.B. auch durch Abgleich mit dem Melderegistereintrag und b) das Briefgeheimnis „schützt“ den Übertragungsweg ausreichend.).

Was will ich deutlich machen: sicher gibt es „bessere Wege“, aber es ist leider nicht so einfach, ggf. ist der technisch ausgereifte Weg nicht der geeignete, da von den Bürger*innen nicht ohne weiteres akzeptiert…
Auch wenn ich oft und laut selbst über digitalen Analphabetismus in der Verwaltung schimpfe - es gibt hier und da viele gute Leute dort. Aus meiner Sicht ist das Hauptproblem die extreme Zersplitterung und Uneinheitlichkeit der IT-Entwicklung der vergangenen Jahre/Jahrzehnte. Das wieder zugunsten allgemeiner Standards einzufangen - ich bezweifle ob’s klappt und bin daher sehr pessimistisch bzgl. der „Digitalisierung der Verwaltung“ in den nächsten Jahren.

(…)

(4/4)
Philip und Ulf, vielen Dank für eure Arbeit, macht bitte weiter so! Allen hier im Forum auch vielen Dank für eure oft sehr klugen Kommentare und Vertiefungen. Fühlt euch eingeladen, gern meinen Text „auseinanderzunehmen“ - ich freue mich über freundliche Kritik. Zustimmung nehme ich auch, wäre bei dem Thema aber eher traurig, da es meinen Pessimismus stärkt. :o)

VG

Ich möchte @privacybydefault s Punkt unterstützend.

Die Problembeschreibung im Podcast ist richtig, das ist nicht der Weg wie die Verwaltung bürger_innen Daten übermitteln sollte.

Aber die Antwort sollte m.e. nach nicht sein: da muss doch einfach ein kompetenter Mitarbeiter PGP installieren dann läuft das schon.

Ich finde sehr verständlich, dass die Verwaltung keine Lösungen anbietet, wo die bürger_innen technisch irgendwas falsch machen kann. Die Verwaltungs IT ist typischerweise personell nicht auf Rosen gebettet, und wenn die pgp anbietet, die empfänger_innen aber nicht wissen wie das funktioniert, hat niemand die Kapazität das den Menschen zu erklären.

Ich kann die Kritik von @vieuxrenard und @philipbanse hier nicht ganz nachvollziehen. Soweit ich das verstanden habe, ging es darum, sensible Daten an die Person zu versenden. Da ist es natürlich lobenswert, dies verschlüsselt zu tun.

Der Weg über irgendeine Form von OpenPGP oder auch S/MIME wäre sicher sehr gut. Aber wie Ulf selbst sagt, benötigt das Schulungsaufwand. Behördenseitig kann man das sicher leisten. Aber in Richtung der Bürger:innen? Das heißt, wenn die Person nicht ohnehin OpenPGP verwendet (Das kam zumindest für mich nicht so raus.), ist der Weg eher unrealistisch. Ähnlich sieht es mit BundID aus. Auch hier müsste die Person überzeugt werden, ein Konto anzulegen und durch verschiedene Reifen zu springen. Insbesondere schwierig würde es, wenn es die Person nicht will.

Der Weg mit E-Mail + Post nutzt zwei Wege, um Informationen über Zugang und das Passwort selbst zu übermitteln. Es ist damit auf jeden Fall besser, als einfach beides per Mail zu schicken. Nach Ankunft des Briefes kann sich die Person einloggen und alles ist OK.

Eventuell wäre es bei dem obigen Verfahren eine Verbesserung, wenn das Passwort per E-Mail und der Rest per Brief kommen würde. Das heißt, im Brief stehen Infos zum Zugang sowie eine Ankündigung, dass demnächst das Passwort per E-Mail kommt. Nach der ungefähren Postlaufzeit könnte man das Passwort versenden („Das angekündigte Passwort ist XYZ.“)

Hier gäbe es zwar Abzüge in der B-Note. Aber aus meiner Sicht wäre das hinreichend sicher und es würde eure Kritik mit der verzögerten Zustellung ein wenig aufheben.

Ich bin sogar schon Ü50, aber ähnliche Karriere.
Ich selbst nutze kein PGP, ist mir tatsächlich viel zu viel Act.
Und wie du schon schriebst. Im Umfeld sehe ich nur ein zwei Nerds, denen ich PGP zutraue.
Selbst bzw. insbesondere die Jungen (meine Kids sind 17 und 19) stöhnen schon, wenn ich denen wieder mit irgendwelchen Zusatzaktionen zur Datensicherheit komme.
PGP einrichten WTF?
Die haben keinen Bock auf komplizierte Tools. Die nutzen WhatsApp, mit etwas Glück Signal und den rudimentären Mailclient des Smartphones.
Mein Vorschlag/Vision wäre:
Eine Bundescloud. Jeder Bürger hat einen Account (BundesID). Einmal anmelden mit PrsoApp. Dort habe ich eine Dateiablage und alle öffentlichen Stellen legen dort was rein und informieren mich über die hinterlegte Mailadresse.
Noch viel cooler wäre ein Bundesmessenger. Quasi WhatsApp des Staats.
Aber die Bürger von einem Verschlüsselungstool für Mails zu überzeugen, dass nicht „von alleine funktioniert“ ist utopisch.
Ich muss hier noch ketzerisch anmerken, dass ihr euch regelmäßig über den MFA Zwang bei Banken ärgert, weil es so nervig ist. Und dann erwartet ihr vom Ottonormaluser, dass er sich PGP installiert und Schlüssel austauscht. Neverever

Nachdem ich heute erneut erfolglos versucht habe mit meinem Freund ein Tagesgeldkonto für ihn einzurichten (Portugiesischer Staatsbürger, wohnhaft und arbeitend in Deutschland) - denn die digitale Identifikation / Post Ident ist nur möglich mit deutschem Ausweis oder alternativ einem Reisepass. Andere Identifikationsmöglichkeiten werden nicht angeboten. Portugiesische ID geht nicht, dtsch Führerschein / Sparkassenkarte etc hilft alles auch nichts. - habe ich mich gerade beim Lage hören gefragt, ob bei solchen digitalen Lösungen auch EU Bügerinnen oder generell Bürgerinnen ohne deutschen Ausweis mitgedacht werden. Ansonsten ist der Brief an die Meldeadresse doch der fairere Weg …

Du beschreibst 1 zu 1 id.bund.de (BundID). Nachteile:
Ist noch an zu wenige Verfahren angeschlossen (kommt aber)
Behörde darf den Weg nur wählen, wenn du den Zugang eröffnest
Es gibt keine Bund.ID-Adresse, die man auf einem Formular eintragen könnte

Falls ihr noch weitere Fundstücke für euer Kuriositäten-Kabinett der Verwaltungsdigitalisierung sucht, haben wir bei FragDenStaat auch noch einen schönen Fall:
Der Landesbeauftrage für Datenschutz und Informationsfreiheit (LfDI) in Rheinland-Pfalz hat sich sein ganz eigenes „analoges Post-Identifizierungsverfahren“ ausgedacht. Erhält der LfDI eine Anfrage auf Informationszugang nach dem Landestransparenzgesetz in elektronischer Form (= per Email), dann fragt er zunächst nach einer postalischen Anschrift (das dürfte für sich genommen schon datenschutzrechtich problematisch sein, siehe OVG Münster, Urt. v. 15.06.2022, s.a. OVG Münster: Postanschrift für einen Auskunftsantrag nach dem IFG nicht benötigt - datenschutzticker.de datenschutzticker.de - Seite 0). Nach Nennung einer Postanschrift schickt er zur Verifzierung der Identität der antragstellenden Person einen Brief (!). Darin wird die Person aufgefordert, zu bestätigen, dass die Email von ihr stamme. So möchte der LfDI nach eigener Auskunft die Identität der Antragstellenden klären und Identitätsmissbrauch verhindern. Das Absurde dabei: Zur „Bestätigung“ der Identität genügt es, eine Email mit dem Inhalt zu schreiben, „Ja die Email kam von mir“. Erst dann (und nur wenn es sich um eine inländische Meldeanschrift handelt) beginnt der LfDI den Antrag nach dem Landestransparenzgesetz überhaupt zu bearbeiten.

Unter anderem wegen diesem Schikanösen vorgehen verklagt FragDenStaat den LfDI mittlerweile auch, näheres zu der ganzen Sache gibt es hier: Klage gegen Landesbeauftragten: Warum Behörden in Rheinland-Pfalz dem Weihnachtsmann antworten, nicht aber FragDenStaat

Ein Punkt der aus meiner Sicht auch gegen E-Mail Verschlüsselung (egal ob PGP oder S/MIME) spricht, ist die Tatsache das viele (vor allem jüngere Menschen) E-Mail nur noch per Webmail Interface verwenden. Insbesondere viele Nutzer von Gmail haben gar keine E-Mail Tool mehr (oder nur die vorinstallierte App). Bis auf ganz wenige Ausnahmen ist dann die Nutzung von Verschlüsselung gar nicht möglich.
In einem geschlossenen Benutzerkreis wie z.B. den GFF Mitarbeiterinnen für die Kommunikation untereinander PGP einzurichten, wenn ich auch noch die IT Umgebung vorgebe ist natürlich möglich. Ich nehme aber an, das auch die GFF nicht ihre gesamte Kommunikation mit Externen mit PGP verschlüsselt. Das wäre dann ja vergleichbar zu einem Landkreis der mit allen seinen Bewohnerinnen kommunizieren will.
Ich denke also die einzige Lösung dafür sind Webportale mit sicherem Zugang. Wenn da dann im schlimmsten Fall einmalig ein Passwort per Brief geschickt wird, halte ich das nicht für dramatisch so lange es idealerweise für alle Bürger ein Portal gibt. Aber da sind wir natürlich wieder bei der allgemeinen Digitalisierungsproblematik, dass im Zweifel jede Kommune da was Eigenes bastelt.

Ja, es gibt einerseits den Prozess, dass eIDs gegenseitig „notifiziert“ werden, also gegenseitig anerkannt. Das ist aber noch in den Kinderschuhen und funktioniert meines Wissens nach nur bei Verwaltungsleistungen.

Dann gibt es noch die eID-Karte für Bürgerinnen und Bürger der EU und des EWR, die technisch der eID gleichgestellt sein sollte. Ob damit aber eine privatwirtschaftliche Identifizierung wirklich funktioniert, weiß ich ebenfalls nicht.

Ansonsten habt ihr doch Glück, 95% der Online-Identifizierung erfolgt doch per Video-Ident. Geht das nicht mit dem portugiesischen Ausweis?

Danke für die Antwort. Nein, Video Ident geht nur mit deutschem Ausweis. Alternativ geht nur ein Reisepass, der alle 5 Jahre abläuft.

Beim Thema Passwort per Post musste ich schmunzeln, kommt es mir doch sehr bekannt vor. Als Betriebsprüferin in der Hessischen Steuerverwaltung bin ich froh über die Möglichkeit, Dokumente über die Cloud HessenDrive zur Verfügung stellen zu können. Das ‚Verfallsdatum‘ des Downloadlinks kann man bei Erstellung deaktivieren, so dass das Dokument zeitlich unbegrenzt heruntergeladen werden kann. Das notwendige Passwort muss zwingend auf anderem Weg bekannt gegeben werden als der Downloadlink. Das Programm bietet zwar theoretisch die Möglichkeit, das Passwort per SMS zu versenden, diese Möglichkeit ist bei uns allerdings gesperrt. Also bleiben nur Postweg oder Telefon. Ich versende das Passwort mittlerweile immer direkt mit der Anordnung, muss dann aber in der Email auf ein Schreiben verweisen, welches die Leute schon vor Wochen erhalten haben. Einfach ist anders, aber immernoch weitaus besser als Post oder Fax

Das ist der Aspekt, der mir in der Diskussion bislang fehlt. Wenn es Informationen sind die (streng) vertraulich sind, dann ist es grundlegende Anforderung der Informationssicherheit diese über zwei verschiedene Medien zu übertragen. Und da haben Kommunen sicherlich heute ein einfaches operatives Problem, da sie wahrscheinlich in den allermeisten Fällen nur Anschrift und E-Mail-Adresse haben.

Das gentrennte Medium könnte ich nur damit umgehen, dass der Adressat selber über Passwort und zweiten Faktor einen sicheren Zugriff hat und nicht jeder, der in Besitz des Links kommt, nur mit einem Faktor auf die Information zugreifen kann. Wohlgemerkt … wenn es (streng) vertrauliche Informationen sind.

Als Nutzer des elektronischen Bürger- und Organisationenpostfachs bin ich bei der elektronischen Kommunikation mit Behörden echt frustriert. Trotz meiner Nutzung von ebo.bund.de, welches mir eine Kommunikation mit fast jeder Behörde im „besten“ elektronischen Format (A4 ) ermöglicht, erhalte ich Antworten immer auf dem herkömmlichen Postweg.

Besonders enttäuschend war eine Sache mit dem Versorgungsamt vor dem Sozialgericht, in der ich die ordnungsgemäße Zustellung meiner Dokumente über den elektronischen Zugang der Stadt verteidigen musste. Sie argumentierten, dass meine Dokumente aufgrund fehlender handschriftlicher Unterschriften niemals formgerecht sein könnten. Es erforderte kräftigen schüttelns durch den Richter, um das Rechtsamt der Stadt davon zu überzeugen, dass meine Dokumente tatsächlich ordnungsgemäß zugestellt wurden.

Und natürlich erhalte ich alle Schriftsätze vom Sozialgericht und den Bescheid des Versorgungsamt am Ende ausschließlich per Post, ungeachtet meiner wiederholten Erklärungen, dass ich bitte bitte wirklich ernsthaft am elektronischen Rechtsverkehr teilnehmen möchte.

Beim Gericht war es einfach besonders krass: Während meine Schriftsätze über das eBO an das Gericht oft am selben Tag an das Rechtsamt per beBPo weitergeleitet werden, dauert der Postweg vom Sozialgericht in der Nachbarstadt zu mir 13-15 Tage, gemessen vom Datum der Einlieferung in die Hauspost beim Gericht bis zum Einwurf in meinen Briefkasten.

Und natürlich ist die Geschäftsstelle des Gerichts berechtigterweise echt genervt dass ich alle drei Tage anrufe und Frage ob die Gegenseite mittlerweile geantwortet hat.

Ich kann dazu aus Behördensicht (ich bin in einer Körperschaft in Hessen) nur sagen, dass es wir DE-Mail und sonstiges elektronischen Schriftverkehr besitzen aber wir nur mit großem Aufwand darüber antworten können.

Der Eingang von Schreiben darüber ist kein Problem. Wir haben dafür zentrale Posteingänge, von denen mir das weitergeleitet wird. Werde ich dann aber gebeten darüber zu antworten, geht das für mich nur mit großem Aufwand. Da ich selbst nur Schreiben selbst oder über eine zentrale Druckstelle verschicken kann. Lediglich beim Gericht, habe ich selbst einen Zugang zu eGericht und kann dort direkt antworten. Bevor ich also mein Schreiben an irgendeine Stelle im Haus schicke (dazu fehlt mir auch die Zeit) und diese bitte das irgendwann mal z.B. per DE-Mail zu verschicken, geht es schneller für mich per Post.

Hallo Lageteam,

zum dem in der Lage der Nation vom 28.11.2023 habt ihr den Fall der Digitalen Kommunikation des Landratsamt Ravensburg thematisiert, bei dem eine E-Mail-Hinweis auf eine digital anstehende Nachricht zugestellt wurde und auf einen Passwort-Versand per Post hingewiesen wurde. Ihr habt dann darauf hingewiesen, dass es ja viele besseren Lösungen z. B. mit PGP-Keys geben würde, die man ja sogar mit seinem digitalen Personalausweis seinen Schlüssel unterschreiben lassen kann.

Was Ihr jedoch aus meiner Sicht übersehen habt ist die Fragestellung, woher das Landsratsamt Ravensburg eigentlich einen eventuell beim Empfänger vorliegenden PGP-Schlüssel oder S/MIME Zertifikat erhalten oder abgefragt haben sollte um direkt eine solche verschlüsselte Kommunikation aufzubauen? Hierfür gibt es meiner Meinung nach keine Lösung am Markt.

Wir haben in der Firma ebenfalls eine Maillösung, bei der beim ersten Verschicken einer verschlüsselten E-Mail diese auf einem Web-Mail-Gateway zum Download geparkt wird und das Passwort für den Zugriff erstmalig auf einem anderen sicheren Weg zum Empfänger kommen muss (z. B. per Post wie beim Landsratsamt Ravensburg). Wenn sich jedoch der Empfänger das erste Mal an dem Web-Mail-Gateway mit dem Passwort angemeldet hat, dann kann dieser danach festlegen, wie zukünftige verschlüsselte Kommunikation erfolgen soll. Unser Gateway bietet hier zum Beispiel die Verschlüsselung mit einem hochgeladenen PGP-Schlüssel, einem S/MIME Zertifikat oder auch über Passwort-Verschlüsselte PDFs an, aber natürlich auch weiterhin der Webbrowser-Zugriff. Das bedeutet, dass diese Passwort-Zustellung nur einmalig notwendig ist und ab dann der verschlüsselte Mailversand automatisiert erfolgt.

Meine Vermutung ist, dass das Landratsamt Ravensburg eine ähnlich Lösung wie unser Unternehmen einsetzt und halte die Vorgehensweise eigentlich für eine ziemlich sinnvolle Lösung der Problematik, die nur beim ersten Austausch komisch daherkommt. Besser wäre es vermutlich, wenn man das Gateway einfach mit der Authentisierung des elektronischen Personalausweise kombinieren würde, jedoch stellt sich dann wieder die Frage, wieviele Empfänger einen solchen funktionierenden Ausweis zur Hand haben und ob es eigentlich Lösungen am Markt gibt, die einen solchen Unterstützen.

Diesen Aspekt wollte ich nur einmal zur Kenntnis bringen.

Ich war auch etwas überrascht über den Vergleich der GFF von Ulf zu einem ganzen Amt. Natürlich kannst du das einer kleineren Organisation „beibringen“, verschlüsselt zu kommunizieren, aber doch keinem Amt.
Wie alle hier im Thread bereits beschrieben haben, ist es absolut zum scheitern verurteilt, PGP oder gar S/MIME einzusetzen.
Ich denke der Blick in die Private Wirtschaft zeigt, dass es keine Skalierbare Lösung ist. Schaut man Auto Hersteller an, wie diese kommunizieren und was für ein komplexes System das benötigt, um (Gateway to Gateway) Verschlüsselt zu kommunizieren, dann will ich nicht wissen, wie das ein Amt übernehmen soll? Und bei Auto-Herstellern sprechen wir von IT Admin spricht mit IT Admin - Selbst da ist es schwierig.

Wir stehen uns hier selbst im Weg - Das ist ja kein Email Problem - Wie man so gerne sagt - Email ist kein Content Austausch Medium. Wir brauchen ein Content Austausch Medium - Etwas was mir einen Link zur Verfügung stellt und von dort kann ich die Datei herunterladen.
S/MIME und PGP sind alt und haben ihre Problem - Aber OneDrive/Dropbox etc. können das komplett ersetzen - Gib mir einen Link, ruf mich an und gib mir ein Passwort - Oder eID etc.