{"id":948,"date":"2015-07-16T15:55:47","date_gmt":"2015-07-16T15:55:47","guid":{"rendered":"http:\/\/skrobotz.de\/de-mail\/?p=948"},"modified":"2015-09-10T11:44:38","modified_gmt":"2015-09-10T11:44:38","slug":"pgp-verschluesselung-von-de-mail","status":"publish","type":"post","link":"https:\/\/skrobotz.de\/de-mail\/?p=948","title":{"rendered":"PGP-Verschl\u00fcsselung von De-Mail"},"content":{"rendered":"

Die Linke<\/a> hat am 11. Juni 2015 in einer Kleinen Anfrage<\/a> (BT-Drs. 18\/5190<\/a>) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Beh\u00f6rden, zur Ende-zu-Ende-Verschl\u00fcsselung, zum m\u00f6glichen Datenzugriff durch Sicherheitsbeh\u00f6rden und zu vergleichbaren Projekten in anderen europ\u00e4ischen L\u00e4ndern gel\u00f6chert. Die Antworten des Innenministeriums vom 1. Juli 2015 (BT-Drs. 18\/5440<\/a>) sind h\u00f6chst interessant, und<\/a> gut<\/a> f\u00fcr<\/a> eine<\/a> ganze<\/a> Reihe<\/a> Blogposts<\/a>.<\/em><\/p>\n

So auch zu den Fragen<\/a> rund<\/a> um<\/a> die<\/a> Verschl\u00fcsselung<\/a> der<\/a> De-Mail<\/a> mittels <\/a>PGP<\/a>:<\/p>\n

12. Wie bewertet die Bundesregierung die zwei Jahre nach Einf\u00fchrung erfolgte Nachbesserung in Punkto einer ab dem 20. April 2015 m\u00f6glichen<\/a> Ende-zu-Ende-Verschl\u00fcsselung, und sieht sie dadurch alle fr\u00fcheren Datenschutzkritikpunkte an De-Mail ausger\u00e4umt (bitte begr\u00fcnden)?<\/em>
\nSchon in der Vergangenheit konnten De-Mail-Nutzer ihre Dokumente auf dem bereits verschl\u00fcsselten Transportweg zus\u00e4tzlich Ende-zu-Ende verschl\u00fcsseln. Seit dem 20. April 2015 ist von den De-Mail-Diensteanbietern die M\u00f6glichkeit zur Nutzung der Ende-zu-Ende-Verschl\u00fcsselung bei De-Mail stark vereinfacht worden. Dieses De-Mail erg\u00e4nzende, zus\u00e4tzliche Angebot ist aus Sicht der Bundesregierung begr\u00fc\u00dfenswert. Die mit Blick auf Datenschutz und Datensicherheit in der Vergangenheit vorgebrachten Forderungen nach zus\u00e4tzlicher Sicherheit wurden dadurch auf nutzerfreundliche Art und Weise erf\u00fcllt. Auch die Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit hat die Einf\u00fchrung der Ende-zu-Ende-Verschl\u00fcsselung bei De-Mail in ihrer Pressemitteilung
\nvom 9. M\u00e4rz 2015 ausdr\u00fccklich begr\u00fc\u00dft<\/a>.<\/p>\n

 <\/p>\n

13. Werden die De-Mail-Server auch als PGP-Keyserver<\/a> genutzt?<\/em>
\nBei der Bereitstellung von PGP-Diensten durch die De-Mail-Diensteanbieter wird lediglich der in die Akkreditierung bereits einbezogene \u00d6ffentliche Verzeichnisdienst (\u00d6VD) um entsprechende Felder erweitert<\/a>. Es gibt daher in diesem Kontext keinen eigenst\u00e4ndigen PGP-Server.<\/p>\n

 <\/p>\n

15. Was passiert, wenn eine verschl\u00fcsselte amtliche Nachricht bei einem De-Mail-Nutzer eintrifft, dieser sie aber aus technischen Gr\u00fcnden nicht \u00f6ffnen kann, weil er sein PGP-Passwort vergessen hat?<\/em>
\nF\u00fcr eine erfolgreiche Ende-zu-Ende-verschl\u00fcsselte-Kommunikation m\u00fcssen sich beide Kommunikationspartner \u00fcber die Verschl\u00fcsselung verst\u00e4ndigen. Insoweit ergeben sich aus einer Nutzung der Ende-zu-Ende-Verschl\u00fcsselung innerhalb einer De-Mail-Kommunikation keine Besonderheiten. Auch im Fall, dass die Entschl\u00fcsselung beim Empf\u00e4nger fehlschl\u00e4gt, ist f\u00fcr diesen der Absender und ggf. auch der Betreff erkennbar, so dass der Empf\u00e4nger praktisch die M\u00f6glichkeit hat, auf die Probleme hinzuweisen und ggf. eine erneute Zusendung oder die Informations\u00fcbermittlung auf einem anderen Kommunikationskanal zu vereinbaren.<\/p><\/blockquote>\n

<\/p>\n

Diese Frage mit dieser — zutreffenden<\/a> — Antwort macht die Schwierigkeit der Verschl\u00fcsselung mittels PGP deutlich. Das System ist so konstruiert, dass es einen Zugriff der Anbieter (und damit technisch auch Dritter wie beispielsweise „Sicherheitsbeh\u00f6rden“ und andere Kriminelle) auf die De-Mails nicht nur zul\u00e4sst, sondern sogar vorschreibt. Der Anbieter muss<\/em> die ihm verschl\u00fcsselt \u00fcbermittelte De-Mail (Schritt 9 der Funktionalen Beschreibung: „sicherer Kanal“) entschl\u00fcsseln und Zugriff auf ihren Inhalt nehmen (BSI<\/em>, Technische Richtlinie TR 01201 Version 1.1.1 Teil 3.1<\/a> S. 32, Schritt 26). Erst dann darf er sie f\u00fcr den Transport an den Empf\u00e4nger bzw., wenn dieser Nuitzer eines anderen Anbieters ist, f\u00fcr den Transport an diesen erneut verschl\u00fcsseln (Schritt 32, S. 35). Entsprechend muss<\/em> der andere Anbieter erst die (inter-Anbieter-) Transportverschl\u00fcsselung entfernen (Schritt 47, S. 42) und seinerseits Zugriff auf den Nachrichteninhalt nehmen (Schritt 54, S. 45) , ehe er die Nachricht wiederum transportverschl\u00fcsselt und letztlich dem Nutzer zustellt.<\/p>\n

Der einzig gesetzlich vorgesehene Schutz gegen\u00fcber dem zwangsweisen Zugriff des Anbieters auf den Nachrichteninhalt (zum Zwecke der Virenkontrolle, im Gesetz „Schadsoftware“ genannt, \u00a7 3 Abs. 4 Satz 2 Nr. 4 De-Mail-G) ist die Nutzung von PGP. Und die ist auch mit dem nun angebotenen Plugin nicht trivial<\/a>. Es muss gesondert installiert werden. Es nimmt den Nutzern nicht die Schl\u00fcsselverwaltung ab. Sie m\u00fcssen sich vielmehr selbst darum bem\u00fchen, den \u00f6ffentlichen Schl\u00fcssel zu verbreiten — und den privaten des Adressaten zu eruieren.<\/p>\n

Wie es einfacher geht, zeigen — zum Missfallen von „Sicherheitsbeh\u00f6rden“ etwa in Gro\u00dfbritannien<\/a> und in den USA<\/a> — Messenger wie Threema, doch auch Facebooks WhatsApp und Apples iMessage. Dessen Funktionsweise wird bei t3n anschaulich erkl\u00e4rt<\/a> (zur\u00fcckgehend auf einen Artikel von techcrunch<\/a>): Apple generiert f\u00fcr jedes iMessage nutzende Ger\u00e4t Schl\u00fcsselpaare (zum Verschl\u00fcsseln, und auch zum Signieren). Die privaten Schl\u00fcssel werden allein (so die Behauptung Apples<\/a>) auf dem Endger\u00e4t des Nutzers gespeichert, die \u00f6ffentlichen verwaltet Apple. Entwirft nun ein Nutzer A eine Nachricht an Empf\u00e4nger B, verschl\u00fcsselt iMessage die Nachricht im Hintergrund (und ohne jedes Zutun der Nutzer A oder B) jeweils mit einem \u00f6ffentlichen Schl\u00fcssel von B — je nachdem, wieviele Ger\u00e4te B bei Apple „gemeldet“ hat, entstehen entprechend viele Kopien, jede f\u00fcr sich codiert. Im Klartext verbleibt allein der Kopf der Nachricht, ihr Header. Das jeweilige Endger\u00e4t von B kann die Nachricht mit dem ihm eigenen privaten Schl\u00fcssel decodieren. Nach der \u00dcbertragung an den Nutzer B l\u00f6scht Apple die Nachricht. Bei diesem liegt die Nachricht nach dem Empfang unverschl\u00fcsselt vor. Das in der Frage angesprochene Szenario ist damit weitaus unwahrscheinlicher. Es setzte den Verlust der Hard- bzw. entsprechenden Software von Bs Ger\u00e4t voraus. Apple hingegen hat auch w\u00e4hrend des Transports keinen Zugriff auf den Nachrichteninhalt<\/a>.<\/p>\n

Eine solche leichte und benutzerfreundliche Art der Ende-zu-Ende-Verschl\u00fcsselung sieht das De-Mail-Konzept des BSI nicht vor. Eventuell liegt hierin tats\u00e4chlich, wie vom CCC immer wieder<\/a> gemutma\u00dft<\/a>, Absicht — wie nicht zuletzt die deutliche Zur\u00fcckhaltung<\/a> der „Sicherheitsbeh\u00f6rden“ gegen\u00fcber der Ank\u00fcndigung vermuten l\u00e4sst, die Nutzung von PGP zu vereinfachen. Denn, das m\u00fcssen sie konzedieren: Crypto<\/a> wirkt<\/a>.<\/p>\n

Inwieweit die Beh\u00f6rden dies nutzen, wei\u00df die Bundesregierung aber nicht:<\/p>\n

20. In welcher Form wird sichergestellt, dass Beh\u00f6rden oder andere Institutionen, die mit besonders schutzbed\u00fcrftigen personenbezogenen Daten Dritter umgehen, solche Daten untereinander ausschlie\u00dflich Ende-zu-Ende verschl\u00fcsselt versenden?<\/em>
\n\u00a7 9 Satz 1<\/a> des Bundesdatenschutzgesetzes (BDSG) verpflichtet die verantwortlichen datenverarbeitenden Stellen, technische und organisatorische Ma\u00dfnahmen zu treffen, die zur Gew\u00e4hrleistung der Ausf\u00fchrung der Vorschriften des BDSG erforderlich sind. Insbesondere sind die in der Anlage zu \u00a7 9 BDSG<\/a> genannten Anforderungen zu gew\u00e4hrleisten. Nach \u00a7 9 Satz 2 BDSG<\/a> sind Ma\u00dfnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verh\u00e4ltnis zu dem angestrebten Schutzzweck steht. Die Beachtung dieser Vorschrift und die Beurteilung der Erforderlichkeit und Verh\u00e4ltnism\u00e4\u00dfigkeit von Ma\u00dfnahmen obliegt den verantwortlichen Stellen. Dabei werden diese von ihren beh\u00f6rdlichen Datenschutzbeauftragten unterst\u00fctzt und von den zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rden der L\u00e4nder und der Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit kontrolliert.<\/p><\/blockquote>\n

* * *<\/p>\n

Schlie\u00dflich interessierten die Linke noch Fragen der Beweissicherheit der De-Mail. Die Bundesregierung sah hier erwartungsgem\u00e4\u00df keine Probleme, auch nicht bei der Einf\u00fchrung eines Anscheinsbeweises zu Lasten des Absenders einer De-Mail<\/a> nach \u00a7 371a ZPO<\/a>:<\/p>\n

14. Existieren nach Auffassung der Bundesregierung noch Probleme der Rechtssicherheit von De-Mail (z. B. bez\u00fcglich Beweiskraft, Beweislast oder Schriftformerfordernis), und wenn ja, wie sollen diese gel\u00f6st werden? Wenn nein, warum nicht?<\/em>
\nDie Rechtssicherheit der De-Mail-Kommunikation ist durch gesetzgeberische Ma\u00dfnahmen gew\u00e4hrleistet. Durch die Erg\u00e4nzung des \u00a7 371a<\/a> der Zivilprozessordnung durch das Gesetz zur F\u00f6rderung des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013 (BGBl. I S. 3786<\/a>) ist mit Wirkung vom 1. Juli 2014 der gegen\u00fcber einer einfachen Mail erh\u00f6hte Beweiswert einer absenderbest\u00e4tigten De-Mail gesetzlich bestimmt worden. Zugleich ist in s\u00e4mtlichen Verfahrensordnungen au\u00dfer der Strafprozessordnung mit Wirkung vom 1. Januar 2018 vorgesehen, dass die Einreichung eines Schriftsatzes durch absenderbest\u00e4tigte De-Mail das prozessuale Schriftformerfordernis erf\u00fcllt. Mit dem E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749<\/a>) wurde in den bundesrechtlichen Verfahrensordnungen des Verwaltungsverfahrensgesetzes, der Abgabenordnung sowie des Ersten Buches Sozialgesetzbuch f\u00fcr die Ersetzung einer durch Rechtsvorschrift angeordneten Schriftform neben der elektronischen Form auch die Versendung eines elektronischen Dokumentes mit einer absenderbest\u00e4tigten De-Mail zugelassen. Durch die in \u00a7 9 Absatz 1 des De-Mail-Gesetzes (BGBl. I S. 666) normierte Auskunftspflicht
\nder De-Mail-Diensteanbieter ist im \u00dcbrigen sichergestellt, dass die
\nNutzer \u00fcber die Rechtsfolgen einer De-Mail informiert werden.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Die Linke hat am 11. Juni 2015 in einer Kleinen Anfrage (BT-Drs. 18\/5190) ihre Kritik an der De-Mail wiederholt und sodann in gesamt 24 Fragen die Bundesregierung zu den Kosten der Entwicklung des Systems, zur Akzeptanz bei Nutzern und Beh\u00f6rden, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/948"}],"collection":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=948"}],"version-history":[{"count":13,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/948\/revisions"}],"predecessor-version":[{"id":975,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=\/wp\/v2\/posts\/948\/revisions\/975"}],"wp:attachment":[{"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/skrobotz.de\/de-mail\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}