Internet-Law

Onlinerecht und Bürgerrechte 2.0

9.3.12

Der (Un)Sinn der De-Mail

Über den Sinn und Zweck des Dienstes De-Mail, mit dem der Gesetzgeber eine sichere Kommunikationsstruktur im Internet schaffen will, ist gerade im Netz kontrovers diskutiert worden. Rechtsanwältin Ann-Karina Wrede hat sich intensiv mit dem Thema befasst und beurteilt das Konzept positiv. Sie hat mir freundlicherweise folgenden Gastbeitrag zur Verfügung gestellt:

Der (Un)Sinn der De-Mail
von Ann-Karina Wrede

Seit der CeBIT ist es amtlich: insgesamt drei Unternehmen dürfen sich nun ganz offiziell „De-Mail-Diensteanbieter“ nennen. Doch obwohl schon viel über das neue Angebot berichtet worden ist, scheint sich der Mehrwert dieser Dienstleistung noch nicht wirklich herumgesprochen zu haben und so hagelt es mal wieder massenhaft Kritik. Wie immer eigentlich, wenn Unwissenheit im Spiel ist…

Die Ausgangslage
Zur Ausgangslage soll hier nur kurz festgestellt werden, dass im gewöhnlichen Unternehmensalltag vertrauliche Unterlagen über das Standard-E-Mail-Protokoll SMTP verschickt werden – und damit ohne die Gewährleistung von Authentizität, Integrität oder Vertraulichkeit und Verfügbarkeit.

(Unter anderem) aufgrund dieser Sicherheitsrisiken wurde im Mai 2011 das De-Mail-Gesetz verabschiedet, welches den rechtlichen Rahmen zur Einführung vertrauenswürdiger De-Mail-Dienste und damit zur sicheren elektronischen Kommunikation schuf. Dies ist im Übrigen der Unterschied zum E-Postbrief, da sich die Post nicht den Vorgaben des De-Mail-G unterworfen hat – was sie inzwischen aber laut welt.de zu überdenken scheint…

Bei der De-Mail also gilt das Motto:

„De-Mail – So einfach wie E-Mail, so sicher wie Papierpost.“

Jedermann (und jede Frau) soll also in der Lage sein, einfach sichere Nachrichten zu verschicken, ohne dass dafür eine besondere Soft- oder Hardware implementiert werden muss.

Die Kritiker
Doch wie immer bei Veränderungen sind die Kritiker nicht weit entfernt. Und so wird kritisiert, was das Zeug hält. Die Anknüpfungspunkte hierfür lassen sich vor allem in den Bereichen

  • der fehlenden Ende-zu-Ende-Verschlüsselung,
  • den Kosten und
  • der insgesamten Sinn(los)igkeit des ganzen Dienstes

finden. Kritisiert wird dabei vor allem von vorgeblich technikaffinen Personen. Diese lassen oft pragmatische Gesichtspunkte außer Acht.

Fehlende Ende-zu-Ende-Verschlüsselung
Die Kritik bezieht sich auf die vorgenommene Entschlüsselung zur Prüfung von Nachrichten auf Schadsoftware. Fakt ist: Es gibt keine Ende-zu-Ende-Verschlüsselung, zumindest nicht als Standardeinstellung. Wer dennoch nicht auf sie verzichten möchte, muss lediglich einen öffentlichen Schlüssel in den Verzeichnisdienst (§ 7 De-Mail-Gesetz) hochladen und kann diesen mit seinem Kommunikationspartner austauschen. Anschließend ist eine durchgängige Ende-zu-Ende-Verschlüsselung möglich, eine Prüfung auf Schadsoftware findet nicht statt. Dies setzt natürlich einen gewissen Aufwand des Nutzers voraus – und sicherlich auch eine gewisse Sensibilität desselbigen. Mit entsprechenden Kurzanleitungen auf den Serviceseiten der Diensteanbieter sollte dies aber selbst für den Durchschnittsverbraucher keine große Hürde darstellen.

Doch auch wenn diese Option nicht genutzt werden sollte und es tatsächlich für einige Sekunden zu einer „Entschlüsselung“ der Nachrichten zur Malewareprüfung kommt, ist es nicht so, dass die Nachrichten in dieser Zeit für jeden (Dritten) frei zugänglich „irgendwo rum liegen“. Tatsächlich befinden sich die Nachrichten während dieser Zeit auf verschlüsselten Festplatten und auch der gesamte Transport findet verschlüsselt statt. Wegen ausgefeilter und abgestufter Rollen- und Berechtigungskonzepte bei den Diensteanbietern ist auch den jeweiligen Mitarbeitern nicht per se ein Mitlesen der Nachrichteninhalte (sprich ein Zugriff auf diese) möglich.

Die Kosten
Die Kosten des Ganzen bilden einen weiteren Kritikpunkt. Denn diese seien zu hoch. Doch vergleicht man die der Mentana oder der Telekom, die etwa um die 39 Cent liegen, stellt man fest, dass dieser Preis noch weit unter dem eines Standardbriefes liegt. Die Versandbestätigung soll etwa 69 Cent extra kosten, was in Summe einen Preis von 1,08 € ausmacht und damit immer noch deutlich unter den Kosten eines entsprechenden Einwurf-Einschreibens von 1,60 € liegt. Dass eine elektronische Nachricht außerdem schneller verschickt sein dürfte als eine Papierpost, dürfte dabei auf der Hand liegen…

Sinn(los)igkeit des ganzen Dienstes
Bliebe also nur noch die Kritik an der gesamten Sinn(los)igkeit des neuen Angebots. Zumindest bei Twitter fallen Hashtags wie #Dummenfang oder #VDS. Doch da scheint noch immer nicht im Bewusstsein der technikaffinen Twitter-Nutzer angekommen zu sein, dass es auch andere Menschen gibt, die nicht so mir-nichts-dir-nichts wissen, wie man Dateien oder E-Mails tatsächlich verschlüsselt – und an dieser Stelle ist nicht der bloße Passwortschutz (= Zugriffschutz) gemeint. Denn tatsächlich weiß der einzelne Nutzer vor dem Rechner oft nicht, was eigentlich der Unterschied zwischen einem Passwortschutz und einer Verschlüsselung ist und schon gar nicht, wie man letztere herstellen kann.

Verschlüsselungen mittels WinZip oder PGP sind in Unternehmen für den „normalen“ Mitarbeiter oft zu kompliziert, unverständlich und überfordernd. Dies wiederum hat oft zur Folge, dass lieber nichts verschlüsselt wird und vertrauliche Unterlagen im Klartext durchs World Wide Web geschickt werden. Dass dies keine wirkliche Lösung sein kann, liegt ebenfalls auf der Hand.

Fazit
Ein gewisses Maß an Skepsis bei Einführung neuer Produkte ist sicherlich sinnvoll, sollte aber den Blick aufs Wesentliche nicht verdecken. Die Einführung der De-Mail ist unter Umständen nicht für alle Unternehmen und vielleicht auch nicht für jede Privatperson die beste Lösung, mit Sicherheit aber ein Schritt in die richtige Richtung zur sicheren elektronischen Kommunikation. Sie bietet den Vorteil, dass keine Implementierung neuer Hard- oder Software notwendig ist und dass sie tatsächlich so einfach zu verschicken ist, wie eine herkömmliche E-Mail.

Darüber hinaus liegt der gesamten Akkreditierung eine mehrstufige Prüfung durch unterschiedliche und unabhängige Sachverständige zugrunde, welche die Einhaltung der gesetzlichen (wozu auch die Einhaltung von Löschfristen gehören) und technischen Anforderungen begutachtet haben.

Kritik ist gut und wichtig, allerdings sollte sie stets konstruktiv und objektiv sein – oder zumindest eine vergleichbare Alternative bieten. Diese ist allerding – zumindest im Moment – nirgends zu finden.

posted by Stadler at 08:29  

28.7.10

E-Brief: Die Post antwortet Richard Gutjahr

BR-Moderator und Blogger Richard Gutjahr hat in seinem Blog letzte Woche einen kritischen Beitrag zum neuen “E-Postbrief” der Post AG gemacht und dabei auch die Post selbst um eine Stellungnahme gebeten. Und wer schon immer wissen wollte, warum es eigentlich Schneckenpost heißt, dem liefert der gelbe Riese jetzt die Antwort. Denn nach nur 11 Tagen hat die Post geantwortet. Warum sie für diese floskelhafte und in Teilen auch unzutreffende Antwort derart lange gebraucht hat, versteht wohl nur, wer den Betrieb eines Großkonzerns von innen kennt. Und nein liebe Post, euer E-Brief unterliegt nicht dem Briefgeheimnis des Art. 10 GG, sondern (nur) dem Fernmeldegeheimnis.

posted by Stadler at 08:18  

12.7.10

Gesetzesentwurf zu De-Mail

Der Gesetzgeber will einen Dienst namens “De-Mail” schaffen, über den Bürger, Unternehmen und die Verwaltung zuverlässig und vertraulich elektronisch miteinander kommunizieren können. Hierzu liegt ein erster Gesetzesentwurf vor, den netzpolitik.org veröffentlicht hat.

Akkreditierte Diensteanbieter sollen die Nutzung  eines  Postfach-  und  Versanddienstes  für  sichere  elektronische  Post ermöglichen, wie § 1 Abs. 2 des Referentenentwurfs erläutert.

Interessant ist u.a., dass diese Diensteanbieter den Status eines sog. beliehenen Unternehmers erhalten und verpflichtet sind, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der  Gesetze,  die  die  Verwaltungszustellung  regeln,  förmlich  zuzustellen.

Auf  Antrag  des  Versenders  wird  außerdem der  Zugang  einer  Nachricht  in  das  Postfach  des Empfängers förmlich bestätigt. Öffentliche Stellen können zusätzlich verlangen, dass auch eine Abrufbestätigung erteilt wird.

Kritik gab es im Vorfeld an der technischen Konzeption, u.a. weil das Verfahren nicht mit dem elektronischen Gerichts- und Verwaltungspostfach (EGVP) kompatibel ist.

Der Bürger begibt sich damit auch in gewissem Umfang in die Obhut des Staates und von akkreditierten Dienstleistern wie der Telekom. Man muss folglich darauf vertrauen, dass die eigenen Daten und die Kommunikationsinhalte dort sicher sind. Und dieses Vertrauen wird nicht jeder aufbringen, im Hinblick auf einen Staat, der einen gewissen Hang zur Überwachung seiner Bürgers pflegt (Onlinedurchsuchung, Vorratsdatenspeicherung).

posted by Stadler at 13:01  

27.8.09

BGH zu unverlangter Werbung per E-Mail

Der Beschluss des BGH zum Spamming vom 20.05.2009 ist jetzt im Volltext online.

Der amtliche Leitsatz lautet:

Bereits die einmalige unverlangte Zusendung einer E-Mail mit Werbung kann einen rechtswidrigen Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb darstellen.

Der BGH hatte ein Wettbewerbsverhältnis verneint und deshalb Ansprüche nach dem UWG verneint. Allerdings sah er in der Zusendung von Spam-Mails einen Eigriff in den eingerichteten und ausgeübten Gewerbebetrieb und hat deshalb Ansprüche aus unerlaubter Handlung bejaht.

BGH, Beschluss vom 20. Mai 2009, Az.: I ZR 218/07

posted by Stadler at 10:16