Tag Archiv für PGP

Rechtsanwalt für Internetrecht klagt gegen BND, bietet aber keinen PGP-Schlüssel an

Wie der Spiegel berichtet (via CR-Online), klagt der Berliner Anwalt Niko Härting (Twitter: @nhaerting) vor dem Bundesverwaltungsgericht gegen eine Durchleuchtung von e-Mails aus dem Jahre 2010, da aus dem Jahresbericht (vgl. hier) des parlamentarischen Kontrollgremiums hervorging, daß der BND 37 Mio. e-Mails abgefangen, aber nur in 12 Fällen auf nachrichtendienstlich relevantes Material gestoßen sein soll. Soweit so gut, je mehr Klagen vor unterschiedlichen Gerichten gegen diese Schnüffelei vorliegen, desto größer ist auch die Wahrscheinlichkeit, daß Licht in die Sache kommt und Verantwortliche mindestens Rede und Antwort stehen müssen (man wird ja bescheiden, bei dieser Regierung).

Was den Fall aber interessant macht ist etwas Anderes und genau passend zu zwei anderen Artikeln zu Rechtsanwälten hier im Blog (hier und dort): Weiterlesen

Diese e-Mail enthält vertrauliche Informationen

Regelmäßig findet sich in der Signatur von e-Mails im Gechäftsverkehr mit Firmen, Freiberuflern — Rechtsanwälte eingeschlossen! — ein Passus, manchmal sogar in drei oder vier Sprachen, der mehr oder weniger höflich bis drohend darauf hinweist, daß die e-Mail und deren Anhänge vertrauliche und/oder rechtlich geschützte Informationen enthalte und daß man, sofern man nicht der intendierte Empfänger ist, sowohl den Absender informieren möge, als auch die Weitergabe der Informationen — unter Strafandrohung — zu unterbleiben habe. In etlichen Fällen enthalten diese E-Mails durchaus Informationen, die nicht für jedermann bestimmt sind. Offensichtlich ist man sich der Problematik bewusst, daß e-Mails technisch bedingt deutlich weniger vertraulich sind, als Briefe. Gemeinsam ist diesen e-Mails aber, jedenfalls bei dem was ich bisher gesehen habe, dass sie niemals irgendeinen Hinweis auf einen kryptografschen Schlüssel, sei es PGP oder S/MIME, enhalten. Man möchte zwar die Vertraulichkeit gewahrt wissen, ist aber selbst nicht bereit etwas dafür zu tun. Allein der Einsatz einer kryptografischen Signatur könnte die Irrläuferquote reduzieren, da sie bereits beim Absender mit hoher Wahrscheinlichkeit entdeckt werden würden, weil der Einsatz eines zwar zu der e-Mailadresse passenden Schlüssels, aber falschen Empfängers nicht vollständig vermeidbar wäre, aber einfache Tippfehler in den Mailadressen zu einer Rückmeldung führen würden. Weiterlesen

Kundenverarsche „E-Mail made in Germany“

Die Deutsche Telekom und United Internet (Web.DE & GMX) haben heute ihr gemeinsames Projekt „E-Mail made in Germany“ vorgestellt, bei dem sie in Zukunft den Mailverkehr zwischen ihren Mail-Servern verschlüsselt übertragen werden, d.h. der Transportweg wird verschlüsselt, das ist etwas anderes als wenn die e-Mails verschlüsselt werden, denn am Ende des Weges wird wieder entschlüsselt. Es ist sicherlich nicht prinzipiell falsch was Deutsche Telekom und United Internet hier vorhaben, aber es geht im Grunde am eigentlichen Problem vorbei. Zunächst stammt der dazugehörige Standard STARTTLS (RFC 2595, RFC 3207) bereits von 1999 und 2002. Man muss sich also fragen, wieso die das erst jetzt implementieren und dies nicht schon vor zehn Jahren erfolgt ist. Bei den genannten Providern kann der Endkunde bereits seit Jahren seine e-Mails verschlüsselt über TLS (Nachfolger des veralteten SSL) einreichen, sofern er dies auf seinem Rechner in seinem e-Mailprogramm konfiguriert hat, d.h. die Technik ist bei den Unternehmen schon lange im Einsatz und wird jetzt nur auf den Austausch der E-Mails zwischen ihnen ausgedehnt. Weiterlesen

Sollte man seine e-Mails verschlüsseln? Ja, aber …

Seit langem wird aus aktuellem Anlass mal wieder darüber diskutiert, ob man seine e-Mails verschlüsseln sollte oder nicht. Ich persönlich würde sagen ja. Das gilt uneingeschränkt für Privatleute und Unternehmen. Wie die Projekte Prism und Tempora hoffentlich eindrucksvoll gezeigt haben, ist das Mitlesen der über TCP/IP-laufenden Kommunikation deutlich einfacher, als bei herkömmlichen Kommunikationsformen und -wegen, da dies vollautomatisch und vor allen Dingen spurlos erfolgt. Die Verschlüsselungssoftware (GnuPG, S/MIME) ist frei verfügbar und nach einmaliger Einrichtung auch problemlos nutzbar. Man sollte die Verschlüsselung als eine Art von Notwehr verstehen: Weiterlesen

Rechtsanwälte im Internet

Ich hatte in den letzten Monaten, bereits lange vor der Snowden-Affäre, viel Kontakt mit Rechtsanwälten. Neben der Suche nach geeigneten Kanzleien kam es dabei auch zu, über den Erstkontakt hinausgehender, Korrespondenz, die unter Anderem per e-Mail geführt wurde. Einige Anwälte bevorzug(t)en sogar ausdrücklich die Abwicklung per e-Mail, auch gegenüber dem Telefon, da sie schwer erreichbar sind. Schon damals ist mir aufgefallen, daß zwar fast jede Kanzlei im WWW vertreten ist, aber die Allerwenigsten einen Hinweis auf die Möglichkeit einer verschlüsselten Kontaktaufnahme bieten (weder auf der Webseite, noch in den Mailsignaturen). Gerade bei RA sollte man eigentlich ein höheres Sicherheitsbewusstsein erwarten. Selbst wenn die Leistung vom Klienten nicht aktiv nachgefragt wird, müsste ein RA spätestens bei der ersten Mailantwort seinem Mandanten die Möglichkeit zumindest anbieten. Weiterlesen

Können die Geheimdienste SSH und PGP entschlüsseln?

Mitte Juni behauptete Edward Snowden in einem Chat mit Lesern des „The Guardian“ (Edward Snowden: NSA whistleblower answers reader questions), daß Verschlüsselung tatsächlich schützt. Weiterlesen

Der E-Postbrief mit Ende-zu-Ende-Verschlüsselung — Sicher?

In einer Presseerklärung bewirbt die Deutsche Post ihren e-Postbrief jetzt für Berufsgruppen, die einem Berufsgeheimnis unterliegen, wie Rechtsanwälte, Ärzte etc. Ermöglicht werden soll dies durch eine Ende-zu-Ende-Verschlüsselung der elektronischen Kommunikation, wobei der Verschlüsselungsvorgang selbst direkt im Browser abläuft. Weiterlesen

Filehoster Mega: Sicherheit aus Anwendersicht

Der erste Ansturm auf den neuen Filesharingdienst Mega von Kim Schmitz alias Kim Dotcom hat sich gelegt und Alltag macht sich breit. Eines der Hauptwerbeargumente von Mega („The Privacy Company“) ist seine Sicherheit mittels durchgängiger Verschlüsselung. Abseits der rein technisch-mathematischen, aber wichtigen Diskussion (Antwort von Mega) zur Sicherheit der verwendeten Algorithmen und deren Implementation bleiben prinzipielle Schwachstellen im System, deren Behebung unweigerlich auf Kosten der universellen Nutzbarkeit und Einfachheit gehen würde, was wiederum die Masse der Anwender abschrecken würde. Weiterlesen