Mit der Verschlüsselung von E-Mails lässt sich das Risiko verringern, dass Unbeteiligte Zugriff auf die Inhalte der versendeten Nachrichten erlangen und diese zu eigenen Zwecken verwenden. Wir bieten zwei Verfahren an, mit denen Sie uns verschlüsselte E-Mails zusenden können: das PGP- und das S/MIME-Verfahren.

Zur Verschlüsselung Ihrer E-Mails mit dem PGP-Verfahren (PGP: Pretty Good Privacy) laden Sie unseren PGP-Schlüssel auf Ihren Computer und importieren ihn in Ihren Schlüsselring. In der Regel benötigen Sie dafür einen Zusatz zu Ihrem E-Mail-Programm, beispielsweise Enigmail für Thunderbird oder Mailvelope bei Webmail; einige E-Mail-Programme bieten auch eine integrierte Verschlüsselungsfunktion an. Um als Antwort auch eine verschlüsselte E-Mail von uns zu erhalten, legen Sie Ihrer elektronisch signierten E-Mail Ihren Schlüssel bei oder verweisen auf den Schlüsselserver bzw. Zertifikatsdiensteanbieter, über den Ihr Schlüssel heruntergeladen werden kann. Unsere öffentlichen PGP-Schlüssel finden Sie jeweils bei der Nennung unserer E-Mail-Adressen verlinkt. Für E-Mails an unsere zentrale E-Mail-Adresse steht der folgende PGP-Schlüssel zur Verfügung:

• Öffentlicher PGP-Schlüssel für mailbox@datenschutz-berlin.de

Der Schlüssel hat den Fingerabdruck:
AE98 87FD 2971 671B 21E6 34C6 B0CD 40AE 7D82 01A7

Der Schlüssel ist von unserer behördeneigenen Zertifizierungsstelle (PGP CA BlnBDI, Fingerabdruck: 3279 5EB0 95EC 320F A380 5822 A735 35BE 7216 34AD) und von der Zertifizierungsstelle der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (CA DSK, Fingerabdruck: FDD1 68BB AF10 C026 1948 FD23 F9D3 AACB 6CFD 9D14) beglaubigt. Informationen zur Zertifizierung der PGP-Schlüssel entnehmen Sie bitte dem nachfolgenden Abschnitt.

Unsere PGP-Schlüssel sind grundsätzlich nur zur Verschlüsselung von Inhalten geeignet, die normalen Schutzbedarf aufweisen. Sie werden ausnahmslos durch den aktuellen CA-Schlüssel unserer Zertifizierungsstelle gezeichnet (CA: Certificate bzw. Certification Authority).

• Aktueller CA-Schlüssel

Der Schlüssel hat den Fingerabdruck:
3279 5EB0 95EC 320F A380 5822 A735 35BE 7216 34AD

Schlüssel, die nicht durch unseren aktuellen CA-Schlüssel gezeichnet sind, sind keine Schlüssel unserer Behörde und dürfen in dienstlicher Funktion nicht verwendet werden. Durch unseren aktuellen CA-Schlüssel werden ausschließlich Schlüssel gezeichnet, die den Anforderungen des Kryptokonzepts unserer Behörde in der zum Zeichnungszeitpunkt geltenden Version entsprechen. Die Anforderungen richten sich nach den Vorgaben der Technischen Richtlinie 03116-4 des BSI.

Beglaubigungen von Schlüsseln externer Stellen werden ausschließlich mit dem folgenden Schlüssel ausgeführt:

• Schlüssel zur Beglaubigung externer PGP-Schlüssel

Der Schlüssel hat den Fingerabdruck:
D92E 378E E273 6D3A 5A97 F48C 35EB D286 5518 7A16

Schlüssel externer Stellen, die nicht durch diesen Schlüssel gezeichnet sind, sind von unserer Beglaubigung ausgenommen, die Beglaubigungen sind dementsprechend ungültig. Schlüssel von Behörden werden nur beglaubigt, wenn unserer Zertifizierungsstelle ein mit Dienstsiegel versehenes Schreiben vorliegt, das den Fingerabdruck des Schlüssels sowie Angaben zu Name und E-Mail-Adresse der Schlüsselinhabenden enthält. Schlüssel von Privatpersonen werden nur beglaubigt, wenn die Schlüsselinhabenden persönlich ein Personaldokument sowie ein handschriftlich unterschriebenes Dokument mit E-Mail-Adresse und Fingerabdruck des Schlüssels vorlegen. Kopien der Personaldokumente werden durch die Zertifizierungsstelle weder gefertigt noch aufbewahrt.

Unsere Zertifizierungsstelle beglaubigt ausschließlich Schlüssel mit einer Restgültigkeit von fünf Jahren oder weniger. Zum Beglaubigungszeitpunkt müssen die Mindestanforderungen an Schlüssellänge und verwendeten Algorithmus der Technischen Richtlinie 02102-1 des BSI erfüllt sein. Beglaubigungssignaturen haben eine Laufzeit, die die Gültigkeit des zur Beglaubigung eingesetzten Schlüssels nicht übersteigt.

Zum Versand von S/MIME-verschlüsselten E-Mails laden Sie unser S/MIME-Zertifikat sowie gegebenenfalls die Zertifikate der ausstellenden Zertifizierungsstellen herunter und importieren sie in Ihr E-Mail-Programm. Sobald dies erfolgt ist, können Sie uns nach dem S/MIME-Verfahren verschlüsselte Nachrichten senden. Für unsere Antwort benötigen wir ebenso ein S/MIME-Zertifikat von Ihnen. Legen Sie dieses der von Ihnen signierten E-Mail an uns bei.

• S/MIME-Zertifikat

Das Zertifikat hat den Fingerabdruck:
732C EB13 8F7A BC3D 7206 3E02 486B 6E03 0E33 2A8C

Das Zertifikat wurde von der Zwischenzertifizierungsstelle Berlin CA05 2016 zertifiziert, die ihrerseits von der Stammzertifizierungsstelle Berlin PCA2 der Public-Key-Infrastruktur der Berliner Verwaltung durch das IT-Dienstleistungszentrum Berlin (ITDZ) zertifiziert wurde. Die zugehörige Website führt sämtliche Stamm- und Zwischenzertifikate auf, die Sie zur Prüfung der Zertifizierung benötigen. Achten Sie vor dem Import drauf, dass die Zertifikate über eine gesicherte Verbindung geladen werden.