Gedanken zur Email- und Dokumenten- Sicherheit (Teil 2)

 

Über den Gastautor:

Hanns J. Proenen ist seit vielen Jahren verantwortlich für Informationssicherheit bei GE Commercial Finance in Europa. Er betreibt eine Website mit Informationen rund um Datensicherheit und Datenschutz unter www.data-defenders.de.

Zeitstempel

 

Mitunter ist das Eingangsdatum einer Post rechtlich relevant. Eingehende Briefpost wird daher in den meisten Unternehmen mit einem Eingangsstempel versehen. Dies ist besonders zur Einhaltung von Fristen kritisch. Auch bei Email ist es möglich, ein- und ausgehende Nachrichten sowie andere Dokumente (PDF, DOC, etc.) mit einem Zeitstempel zu versehen. Dies geschieht über einen akkreditierten Zeitstempel Service, der die Email oder das Dokument über ein Zertifikat (schon wieder) mit Zeitstempel signiert.. Bekannte Zeitstempel Anbieter sind hier, hier und hier.

 

Vorsteuerabzug bei elektronischen Rechnungen

 

Um Vorsteuerabzug geltend zu machen, muss eine Originalrechnung vorgelegt werden. Das Deutsche Umsatzsteuergesetz akzeptiert elektronische Rechnungen nur, wenn sie mit einer qualifizierten elektronischen Signatur und einem Zeitstempel versehen sind. Ein simpler Ausdruck der elektronisch übermittelten Rechnung wird für den Vorsteuerabzug nicht anerkannt. Die oben genannten Anbieter von Zeitstempel-Diensten bieten hierzu Komplettpakete an.

 

Zertifikate und Certifcate Authorities (CA)

 

Zertifikate werden von sogenannten Certificate Authorities (CA) ausgegeben. Das Vertrauen in ein Zertifikat kann immer nur so hoch sein wie das Vertrauen in die ausstellende CA, ähnlich der ausstellenden Behörde eines Ausweises, deren Glaubwürdigkeit sicher höher ist als wenn eine Firma einen Hausausweis erstellt. Zu den international renommiertesten CA´s zählen Verisign und TC Trustcenter. Letztere ist in Hamburg ansässig und nach $ 15 Abs. 1 des deutschen Signaturgesetztes akkreditiert.

 

Zertifikate existieren in verschiedenen Vertrauensklassen.

 

Die Klasse 1 belegt lediglich, dass eine Email tatsächlich von dem angegebenen Email-Absender kommt, also z.B. von Peter.Pan@nirgendwo.de. Wer sich dahinter real verbirgt bleibt weiter unklar. Das stellt schon einen guten Schutz dar, wenn Ihnen diese Emailadresse bekannt ist, z.B. Ihre Bank oder Ihnen bekannte Handelspartner.

 

Klasse 1 Zertifikate sind für Privatleute kostenfrei bei TC Trustcenter zu erhalten, für den gewerblichen Einsatz werden 13,50 Euro pro Jahr verlangt.

 

Ein Klasse 2 Zertifikat belegt die Identität der Organisation hinter dem @-Zeichen, also z.B. dass eine Email von "wer-auch-immer@ge.com" tatsächlich von der General Electric Company kommt. Die CA überprüft diesen Sachverhalt. Dies entspricht im wesentlichen der Verwendung von Firmenpapier.

 

Die Klasse 3 belegt die echte Person hinter einer Email, also z.B.. dass sich hinter petra.musterfrau@musterdomain.de tatsächlich Frau Petra Musterfrau aus Musterort verbirgt. Dazu muss Petra Musterfrau der CA ihre Identität über das Postident-Verfahren nachweisen.

 

Schließlich gibt es sogenannte qualifizierte Zertifikate, die als verbindliche Unterschrift nach dem Signaturgesetz verwendet werden können.

 

Zertifikate der Klassen 2 und 3 liegen bei TC Trustcenter bei 69 Euro pro Jahr, jedoch gibt es für Firmen beträchtliche Mengenrabatte.

 

Technisch gesehen kann man mit kostenloser Software durchaus auch eigene Zertifikate erstellen - diese sind aber als Beleg der Identität völlig nutzlos, da niemand die ausstellende CA kennt.

 

Zertifikate können von der CA als ungültig widerrufen werden, man nennt dies Revozierung. Dies geschieht zum Beispiel, wenn ein Zertifikat in die falschen Hände geraten ist oder Mitarbeiter ein Unternehmen verlassen. Die CA stellt dazu im Internet Revozierungslisten bereit. Viele Programme (Outlook, Thunderbird, Acrobat Reader, etc.) fragen diese Listen ab und warnen den Empfänger einer Email, dass die signierte Email von einem widerrufenen Zertifikat stammt.

 

Und was ist mit PGP?

 

In der öffentlichen Wahrnehmung wird Email Verschlüsselung mit PGP gleichgesetzt (PGP = pretty good privacy). PGP wurde 1991 von Phil Zimmermann entwickelt und funktioniert genau wie oben beschrieben mit öffentlichen und privaten Schlüsseln. Es gibt heute eine kommerzielle Verson von PGP und eine kostenfreie Open Source Realisierung.

 

PGP/GPG ist eine hervorragende Technologie und vor allem bei Banken weit verbreitet. Genau wie Zertifikate kann PGP verschlüsseln und signieren. Es hat aber gegenüber Zertifikaten zwei wesentliche Nachteile:

 

• Die Schlüssel werden selber erstellt und nicht von einer vertrauenswürdigen CA. Somit ist die Signatur ziemlich wertlos. Jeder Kriminelle könnte sich einen PGP Schlüssel ausstellen, der ihn als den Papst ausweist

.

• Die PGP oder GPG Software muss extra gekauft (PGP) und installiert werden. Und die Gegenstelle muss diese Software ebenfalls installieren. Gerade in Unternehmen stößt dies oft auf Widerstand der IT Abteilung. Die Nutzung von Zertifikaten ist hingegen bereits fest in Windows, Linux und Mac-OS verankert und wird von vielen Programmen ohne weiter Installation benutzt.

Die besten Firewalls und Antivirenprogramme helfen nicht gegen gefälschte/manipulierte Emails. Was wirklich hilft ist gesunder Menschenverstand. Denn: es gibt keine Patches gegen Dummheit.

Gedanken zur Email- und Dokumenten- Sicherheit (Teil 1)

 

Über den Gastautor:

Hanns J. Proenen ist seit vielen Jahren verantwortlich für Informationssicherheit bei GE Commercial Finance in Europa. Er betreibt eine Website mit Informationen rund um Datensicherheit und Datenschutz unter http://www.data-defenders.de/

Email hat in rasantem Tempo die klassische Briefpost im privaten und gewerblichen Umfeld verdrängt. Email ist schneller, billiger und lässt sich einfacher archivieren. Aber die Risiken sind ebenso vielfältig, wie es auch schon bei der Briefpost war. Eine vergleichende Betrachtung lohnt:

Unerwünschte Post/Email

 

Unerwünschte (Werbe) Email, bekannt als Spam, behandelt man am besten genau so wie unerwünschte Werbepost: Ab in die Mülltonne! Es gibt keinen wirklichen Schutz dagegen. Seriöse Firmen bieten am Ende der Werbemail an, über einen Klick von der Verteilerliste genommen zu werden. Das ist löblich und gesetzeskonform. Leider verwenden weniger seriöse Firmen den gleichen Ansatz, um zu verifizieren, dass die angeschriebene Email-Adresse tatsächlich existiert. Und so führt manche "Abbestellung" leider zu noch mehr Spam.

Fazit: Mit Spam müssen wir genauso leben wie mit Werbeprospekten im Briefkasten. Es tut ja nicht wirklich weh und ist nicht gefährlich. Also einfach löschen und vergessen.

Authentizität des Absenders

 

Auf einen Briefumschlag kann jeder beliebige Absender eingetragen werden. Ob die Post aber tatsächlich von diesem Absender kommt ist nicht überprüfbar. Bei Email ist es nicht anders. Email, die angeblich von Ihrer Bank kommt, aber es gar nicht ist, gehört inzwischen zur Tagesordnung. Jüngst erhielt eine US-Supermarktkette eine Email von einem Lieferanten, der darum bat, in Zukunft alle Zahlungen auf ein neues Bankkonto vorzunehmen. Nach einigen Wochen rief der Lieferant in der Zentrale der Supermarktkette an und beschwerte sich über ausstehende Rechnungen in Höhe von 1.2 Millionen $. Sie ahnen es, die Email war gefälscht - das Geld wurde nicht mehr aufgefunden.

Schon seit hunderten von Jahren versehen daher Fürsten und Kaufleute ihre Briefe mit einem Siegel, das den Absender einwandfrei identifiziert. Noch heute "siegeln" Behörden, Kirchen, Notare etc. alle wichtigen Schriftstücke und Briefe. Das offizielle Briefpapier von Firmen und Behörden ist ebenfalls ein gutes Indiz für die Authentizität des Absenders. Für Email gibt es ein Pendant: das elektronische Zertifikat. Alle gängigen Email Programme (Outlook, Thunderbird, Notes etc.) können eine Email mit einem Zertifikat signieren. Auch Adobe Acrobat, MS-Office, OpenOffice und viele andere Programme können Dokumente so signieren. Nächste Woche werde ich mehr Details über Zertifikate und Certificate Authorities beschreiben.

Fazit: Trauen Sie niemals einem Email Absender - er könnte gefälscht sein.  Besorgen Sie sich ein Zertifikat und ermutigen Sie Ihre Email Partner dies ebenso zu tun (einige US-Behörden nehmen inzwischen nur noch signierte Emails an).

Unversehrtheit des Inhaltes

 

Auch wenn der Absender zweifelsfrei feststeht, könnte der Inhalt einer Mitteilung verändert sein. Einem Brief sind schnell einige Worte hinzugefügt. Ebenso lässt sich in einer Email z.B. eine Kontoverbindung ändern. Eine von Ihnen durchaus erwartete Rechnung hat den korrekten Absender und Betrag - nur leider überweisen Sie auf das Konto des Bösewichtes, der dieses Detail in der Email verändert hatte.

Das Siegel hat auch hier seit über 2000 Jahren gute Dienste getan. Ein unversehrtes Siegel auf dem verschlossenen Briefumschlag zeigt dem Empfänger die Unversehrtheit der Botschaft. Die oben erwähnten Digitalen Zertifikate erfüllen genau den gleichen Zweck bei elektronischen Dokumenten. Dazu wird aus dem Originaldokument eine Prüfsumme gebildet, die dann mit dem Zertifikat verschlüsselt wird. Dies kann nur der Autor des Dokuments. Alle wesentlichen Email Programme, der Adobe PDF-Reader, MS-Office und OpenOffice prüfen beim Öffnen, ob die Email bzw. das Dokument noch genau diese Prüfsumme hat. Jede Veränderung würde dem Empfänger sofort als Warnung angezeigt.

Fazit: Trauen Sie niemals der Unversehrtheit einer un-signierten Botschaft. Signieren Sie Ihre Emails und Dokumente mit einem Zertifikat.

Beweiskraft und Unbestreitbarkeit

 

Ein unterschriebener/gesiegelter Brief hat vor jedem Gericht Beweiskraft. Der Verfasser kann nicht bestreiten, ihn geschrieben zu haben. Bei Email ist das sehr viel komplizierter: der Absender kann behaupten die Email nie geschrieben zu haben. Emails haben daher in der Regel vor Gericht nur bedingte Beweiskraft. Auch hier leistet das Zertifikat gute Dienste. Mit qualifizierten Zertifikaten signierte Emails oder andere Dokumente sind nach dem Bundessignaturgesetz einem handschriftlich unterschrieben Dokument gleichzusetzen. Aber schon Zertifikate einer niedrigeren Vertrauensstufe haben eine gute Beweiskraft.

Fazit: Rechtgeschäfte über Email sind ohne Zertifikat sehr leicht anfechtbar. Bestehen Sie bei Bestellungen und anderen Rechtsgeschäften per Email auf eine digitale Signatur mit Zertifikat.

Vertraulichkeit

 

Fürsten, Kaufleute und das Militär wollten seit jeher den Inhalt ihrer vertraulichen Dokumente vor Preisgabe an Unbefugte schützen. Verschlossene, gesiegelte Umschläge zeigten zwar unbefugtes Öffnen an, konnten aber nicht verhindern, dass der Feind das Siegel brach und die Botschaft las. Seit über 3000 Jahren werden vertrauliche Schriftstücke daher verschlüsselt. Julius Cäsar übermittelte alle militärischen Dokumente kodiert, indem er das Alphabet um einige Stellen verschob. Die Techniken wurden über die Jahrhunderte immer raffinierter. Das Abfangen eine Email ist technisch gar kein Problem, je nach Umstand nicht einmal strafbar. 202b StGB: "Wer unbefugt sich ........ nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung ........ verschafft, wird ......... bestraft, ........ Das Internet ist leider eine "öffentliche" Datenübermittlung und somit nicht geschützt.

Daher sind vertrauliche Daten per Email zu verschlüsseln. Dies geschieht am einfachsten, Sie ahnen es, über Zertifikate. Jedes moderne Email Programm (Outlook, Thunderbird, Notes etc.) hat die notwendigen Funktionen bereits eingebaut. Zertifikate enthalten einen öffentlichen und einen privaten Schlüssel. Den öffentlichen Schlüssel kann man an Jedermann geben. Jedermann kann mit diesem öffentlichen Schlüssel Emails verschlüsseln. Aber nur der Inhaber des privaten Schlüssels kann die Email wieder entschlüsseln. Dieses Verfahren der "Public Key Encryption" hat sich in Industrie und Militär durchgesetzt, ist sehr einfach zu handhaben und ausgesprochen sicher. Eine vollständige Verschlüsselung ist bereits mit kostenlosen Zertifikaten möglich - siehe unten.

Fazit: Versenden Sie niemals vertrauliche Informationen als unverschlüsselte Email. Verschlüsseln Sie Ihre Nachrichten mit einem Zertifikat und halten Sie Ihre Email Partner zu dem gleichen Verhalten an.

Nächste Woche: Zeitstempel, Vorsteuerabzug bei Elektronischen Rechnungen, Details zu Certificate Authorities sowie PGP