Als Reaktionen auf PRISM und sonstige Datenzugriffe von Geheimdiensten, empfehlen Politiker und Datenschützer E-Mails zu verschlüsseln. Wir haben uns gefragt, ob ein durchschnittlicher Bürger überhaupt weiß, wie das geht. Dann haben wir weiter gedacht und bemerkt, dass wir heutzutage fast komplett ohne Papier korrespondieren, vielen aber gar nicht klar ist, welche Folgen das hat.
Und so kamen wir auf die Idee eine Folge über die juristischen Fragen digitaler Kommunikation zu machen. Auf die Politik versuchen wir zu verzichten, auch wenn sie immer wieder mit hinein spielt.
Wir geben auch ganz offen zu, dass diese Folge eine Extraportion Nerdigkeit enthält, die entsteht wenn sich ein Informatiker und ein Jurist treffen. 🙂 Wenn Sie also vorher noch nichts von Verschlüsselungen gehört haben, hilft diese Anleitung uns besser zu verstehen. 🙂
- Thema: „E-Mails und Verträge“ (02:25) – In diesem Teil erklären wir die verschiedenen gesetzlichen Formen (Schriftform, Textform, elektronische Form) und was sie rechtlich bedeuten. Zum Beispiel, ob Verträge per E-Mail wirksam sind. Oder ob eine E-Mail ausreicht, wenn die AGB einer Plattform eine schriftliche Kündigung fordern.
- Thema: „Beweiswert von E-Mails“ (25:00) – Anschließend diskutieren wir, welchen Beweiswert eine E-Mail hat. Wir vergleiche sie mit einfachen Briefen, Einschreiben, Faxen und räumen mit dem Mythos auf, dass ein Einschrieben ein sicheres Beweismittel ist. Ferner gehen wir auf Verschlüsselungsarten, wie fortgeschrittene und qualifizierte elektronische Signaturen sowie deren rechtliche Bedeutung ein. Ebenso sprechen wir über den E-Post Brief und De-Mail. Zum Schluss ist Markus entsetzt, als ich ihm sage, dass die E-Mail auch für Anwälte als hinreichend sicher für vertrauliche Kommunikation gilt. Das werden wir dann demnächst wohl doch überdenken müssen.
Wir freuen uns wieder über Kommentare und Themenvorschläge sowie Bewertungen bei iTunes.
Deus Figendi
25. Juli 2013 at 17:08Ahoy,
mir scheint nach den Erklärungen als wäre es ebensogut wie „qualifiziert“ wenn man eine erweiterte Signatur (also PGP oder GPG) nimmt und unter Zeugen versendet.
VIELLEICHT reicht es sogar aus wenn ein Zeuge den eigenen Schlüssel unterschrieben hat, also dass was das WebOfTrust von GPG sowieso macht.
„Wie erklärt man asymetrische Verschlüsselung“ wollte der Marcus wissen.
Also ich finde das Bild mit dem Schloss gar nicht schlecht was in dem einen Video da verwendet wird, ich habe es jüngst einer Freundin so erklärt:
Also du hast einen Schlüssel und HUNDERT(e) identische Schlösser zu denen dieser Schlüssel passt. Du schickst an all deine Freunde so ein Schloss. Wenn sie dir nun etwas verschlossen (verschlüsselt) senden wollen packen sie es in eine Schatulle und verschließen es mit DEINEM Schloss, dann senden sie dir die Schatulle und weil nur du den einzigen Schlüssel hast kannst auch nur du die Schatulle öffnen, logischerweise kann nicht mal dein Freund, der es verschickt hat die Schatulle öffnen, nachdem er sie verschlossen hat (aber er kann sich natürlich vorher eine Kopie des Inhalts machen).
So und jetzt denke daran, dass wir von digitalen Daten reden, natürlich hast du nicht hunderte Schlösser sondern eines, aber das kannst du kopieren und jeder andere kann es auch kopieren du musst also kein offenes Schloss zurück schicken wenn dir eine verschlüsselte Nachricht zugeht, das Schloss wird nicht „verbraucht“.
Und dann erklärte ich noch was Keyserver sind:
Weil das ein bisschen anstrengend ist, dass du jedem deiner Kontakte ein Schloss senden musst und jeder den du noch nicht kennst, der dir aber was verschlüsselt senden will muss dich fragen und darum gibt es Keyserver.
Wie gesagt, Schlösser sind kopierbar, und du machst jetzt folgendes, du hast eben diesen Schlüssel mit zwei identischen (und kopierbaren!!!) Schlössern, ein Schloss behältst du daheim von dem du Kopien an Freunde verschickst, das andere bringst du zur Post (ich hielt das für eine geeignete Infrastruktur, Einwohnermeldeämter gingen auch). Deine Post-Filiale macht sich jetzt eine oder drei Kopien von deinem Schloss und verschickt die an andere Postfilialen und die machen das gleiche bis jede Postfiliale eine Kopie DEINES Schlosses hat. Wenn dir jetzt jemand etwas verschlossenes schicken will geht er einfach auf die Post und fragt nach deinem Schloss, dir machen dem eine Kopie und er kann dir was verschlossenes schicken mit einem Schloss für das du den Schlüssel hast.
Bonusinformation: Schloss und Schlüssel lassen sich austauschen, mit dem Schlüssel kann man auch Schatullen verschließen und dann mit dem Schloss (was jeder hat oder haben kann) öffnen. Aber das lasse ich bei Erklärungen meist weg, Signaturen erklärt man dann einfach anders oder gar nicht XD (ich erkläre meist einfach was eine Prüfsumme ist).
Thomas Schwenke
26. Juli 2013 at 12:24Danke sehr, das ist sehr anschaulich und verständlich. Ich werde die Erklärung übernehmen und hoffe damit auf mehr Verständnis zu stoßen. Aber meistens wird abgewunken und dann heißt es, „dann schicken Sie es per Post“. 🙂
Ralph
20. September 2013 at 9:33Gut erklärt, danke.
Phil
30. Juli 2013 at 1:07Ich war sehr überrascht über die angesprochene Signatur unter einer geschäftlichen E-Mail, die mit Name, Berufsbezeichnung und Handynummer ausreichen soll. Aber mittlerweile habe ich dazu gelernt, dass das für „Freie Journalisten“ wohl wirklich so ist. Jedoch nicht für Mitarbeiter einer GmbH, AG oder ähnlichem. (Siehe http://de.wikipedia.org/wiki/Signatur_(E-Mails_im_Gesch%C3%A4ftsverkehr) )
Anna
31. Juli 2013 at 15:17Das Video ist super!
Ich bin jetzt um einiges schlauer als vorher ;).
Das mit der Signatur war mir bisher auch noch nicht bekannt.
Martin Hamsch
31. Juli 2013 at 20:24Lieber Herr Kollege Schwenke, Kompliment zum Podcast! Ergänzung zum letzten Podcast : http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&sid=95517d173bf45ae78559193a56262128&nr=63495&pos=0&anz=1&Blank=1.pdf
Lg Martin Hamsch
Alliser
4. August 2013 at 17:47Vielleicht die beste bzw. professionellste Folge bislang. Zum einen möchte ich hier erneut den Herren @monoxyd loben, für sein stringentes am Ball bleiben und der sehr guten Gesprächsführung, und das alles ohne Vorgespräch!1!!
Zudem war ihm der erste Was zum…-Moment auf Seiten von Hr. Schwenke arg gegönnt. Ansonsten ist das facepalmisieren in den bisherigen Ausgaben doch etwas einseitig. 🙂
Sebastian Vogt
4. August 2013 at 20:39Nach einer eher schwachen Ausgabe über die Google-Brille (was nicht an euch lag, sondern einfach daran, dass das alles noch sehr hypothetisch ist), wieder eine interessante und informative Ausgabe. Sehr schön war vor allem die Erläuterung zum Einschreiben und der Beweiskraft. Freue mich auf die nächste Ausgabe 🙂
Ralph
20. September 2013 at 9:35Danke für den gelungenen Podcast. Eine Frage hätte ich aber zum Beweiswert von Emails: Wie ist das in der Praxis? Ein Zivilverfahren findet manchmal Jahre nach der EMailkommunikation statt, es werden dann meist Ausdrucke präsentiert. Diese haben aber keinen Hash-Wert. Wie trete ich also den Beweis an, dass das Mail so wie behauptet tatsächlich über die Server lief? Müssen die Provider da Auskunft geben? Logt sich der Richter in meinen Account ein, um den erweiterten Header zu sehen?
Danke,
Ralph
Ludwig W. Mieth
12. November 2013 at 18:03Sehr geehrter Herr Kollege,
herzlichen Dank für Ihre kurzweiligen Ausführungen.
Eine Anmerkung zum Beispiel der Schenkung in Minute 9: § 518 BGB sieht die notarielle Beurkundung für das Schenkungsversprechen und nicht nur Schriftform vor.
Mit freundlichen kollegialen Grüßen
Ludwig W. Mieth
HeilunG
4. Januar 2014 at 19:41Vielen Dank für den gelungenen Podcast. Zu der angesprochenen DE-Mail hätte ich da noch eine Frage. Und zwar ist man ja verpflichtet, diese Regelmäßig abzurufen. Daneben gelten damit erhaltene Mails nach 3 Tagen(?) als zugestellt.
Was aber passiert, wenn ich z.B. im Gefängnis keinerlei Zugriff auf das Internet und damit meine DE-Mail erhalte? Weder kann ich eine entsprechende Automatische Benachrichtigung einstellen noch habe ich die Möglichkeit meine Nachrichten abzurufen. Zumindest in dem Jugendarrest in dem ich mal Projekte gemacht habe, war kein Internetzugang vorhanden oder auch nur vorgesehen.
Michael
29. Januar 2014 at 19:33Aus techn. Sicht kann ich nur jedem von DE-Mail abraten.
1) Keine digitale Signatur des Absenders vorhanden – signiert wird nur vom Provider des Absenders (gmx, web.de, t-online). heißt: Jeder Mitarbeiter des Providers ist in der Lage in meinem Namen signierte eMails zu verschicken. Weiterhin ist die kommunikation zwischen mir (Computer, Smartphone) im besten Fall nur via SSL verschlüsselt, die je nach Implementierung heute (Stand 2014) knackbar ist.
2) eMail und auch DE-Mail sind dezentral. Beim Versenden der Mail gelangt die eMail über _mehrere_ Server. Jeder DE-Mail packt die verschlüsselte Mail aus, prüft diese Viren und verschlüsselt die Mail wieder und schickt diese weiter zum nächsten Server. Wie von Marcus bereits angesprochen, _greifen_ NSA, GCHQ und BND die Mails an mind. einem Server ab.
3) DE-Mail funktioniert nur in Deutschland. Europäischer oder internationaler Mail-Verkehr ist nicht möglich.
4) DE-Mail kostet Geld.
Man brauche sich nur mal vorstellen, mein Smartphone wird geklaut und der Dieb ist in der Lage Behördenschreiben oder sonstige Schreiben rechtssicher zu versenden. Den Sicher ist es – steht ja schließlich im Gesetz!
Zum genauen Nachhören kann ich jedem nur „Bullshit made in Germany – So hosten Sie Ihre De-Mail, E-Mail und Cloud direkt beim BND!“ von Linus Neumann empfehlen
http://media.ccc.de/browse/congress/2013/30C3_-_5210_-_de_-_saal_g_-_201312282030_-_bullshit_made_in_germany_-_linus_neumann.html
Tulpenzwiebel
23. Februar 2014 at 1:46Hallo zusammen,
vielen Dank für den interessanten Beitrag. Eine Frage ergibt sich für mich noch bezüglich der fortgeschrittenen elektronischen Signatur: Was ist die Zertifizierung durch die c’t Kryptokampagne [1] wert?
Ich liege wohl richtig mit der Annahme, dass dies nicht der qualifizierten elektronischen Signatur entspricht, aber inwieweit steigert es den „Wert“ (Stichwort Identität des Absenders) der Signatur?
Viele Grüße und vielen Dank!
Tulpenzwiebel
Links:
[1] http://www.heise.de/security/dienste/Was-ist-die-c-t-Krypto-Kampagne-473381.html
Thomas Schwenke
24. Februar 2014 at 10:39Die PGP-Verschlüsselung ist eine fortgeschrittene Signatur, die einen „Augenscheinsbeweis“ darstellt. D.h. deren Beweiswert wird auch nach freier Würdigung der Richter beurteilt, ist aber höher als bei einfachen Signaturen. Das gilt zumindest, wenn es um den Inhalt empfangener E-Mails geht. Dass überhaupt eine E-Mail zugegangen ist, lässt sich auch per PGP nicht nachweisen.