Rechtsverbindliche Kommunikation per De-Mail?

Heute habe ich für den CCC zum Gesetz zur Förderung des elektronischen Rechtsverkehrs in der Justiz im Rechtsausschuss des Bundestags Stellung genommen.

Bereits vor drei Wochen hatte ich im Innenausschuss erklärt, dass De-Mails mangelhaft (also: nicht) verschlüsselt werden und daher für vertrauliche Kommunikation nicht verwendet werden sollten. Diese Argumentation trifft natürlich auch für die sensible Kommunikation mit Gerichten und Anwälten zu (siehe: Artikel, Pressemitteilung, Stellungnahme).

Im vorliegenden Fall ging es jedoch nicht nur um die Vertraulichkeit des Mediums, sondern auch um seine Rechtsverbindlichkeit. Im Kern stellt sich daher die Frage nach der Beweiskraft einer De-Mail, also ihre Authentizität und Integrität. Authentizität bedeutet: Die De-Mail stammt nachweislich  von mir. Integrität bedeutet: Sie ist nachweislich unverändert.

Kryptographisch wird diese Herausforderung üblicherweise mittels digitaler Signaturen gelöst, die die unterzeichnende Person mit Hilfe ihres geheimen Schlüssels und des betreffenden digitalen Dokuments anfertigen kann. Der Empfänger kann die Signatur anhand des öffentlichen Schlüssels prüfen und so feststellen, ob das ihm vorliegende Dokument verändert, oder nicht vom vorgeblichen Absender signiert wurde. Lösungen dafür existieren seit gut 20 Jahrzehnten und seit vielen Jahren gibt es mit dem Signaturgesetz auch eine rechtliche Grundlage dafür.

Im De-Mail-Standard werden aber weder ernstzunehmende Verschlüsselung, noch eine Signatur des Absenders verlangt. Man möchte meinen, dass spätestens hier das Ende der De-Mail-Tragödie erreicht ist, aber es wäre doch gelacht, wenn die Bundesregierung nicht auch für dieses technische Problem eine juristische Lösung parat hielte: Bereits auf Seite 1 des neuen Gesetzesentwurfs der Bundesregierung wird die Maxime vorgegeben:

Die De-Mail-Infrastruktur bietet die Chance, den elektronischen Rechts- und Geschäftsverkehr beweissicher auszugestalten, ohne dass der Nutzer über eine qualifizierte elektronische Signatur verfügen muss [1].

Frage: Wenn der Nutzer aufgrund De-Mail-Mängel nicht dazu in der Lage ist, wie wird das Dokument denn dann unterschrieben?

Antwort: Vom Provider! Der hat ja immerhin bei der Anmeldung des De-Mail-Kontos einmalig den Ausweis des Nutzers gesehen. Das reicht ja dann, um jede De-Mail, die von dem Konto (nach „sicherer Anmeldung“) versendet wird, als signiertes Dokument zu behandeln, auch vor Gericht [2].

Erlange ich also als Angreifer Zugriff auf ein De-Mail-Konto, habe ich nicht zur Einsicht in alle Nachrichten meiner Opfers, sondern kann auch direkt in seinem Namen rechtskräftige Unterschriften leisten – wie praktisch! Per Gesetz wird die Beweislast auf meinem Opfer liegen, für das ich nach Gutdünken Scheidungen einreichen oder Waschmaschinen kaufen kann[2].

Bisher habe ich immer nur dazu geraten, De-Mail nicht zu verwenden. Nach Lektüre des Gesetzesentwurfes muss ich sogar davor warnen, überhaupt ein Konto zu eröffnen. Eine ausführlichere technische Analyse nebst beispielhafter Angriffsvektoren findet sich in der heute eingereichten Stellungnahme des CCC.

Anmerkungen und Erläuterungen

[1] Die „qualifizierte elektronische Signatur“ (qeS) bezeichnet ein Verfahren, dass mittels gut abgehangener Crypto und Zertifikaten, die auf SmartCards, eine  Methode zur Signatur von digitalen Dokumenten bietet, die immerhin (bisher) keine offensichtlichen Design-Schwächen hat. Für jedes Dokument, das im Schriftverkehr einer Unterschrift bedarf, und insbesondere für eine Willenserklärung ist die qualifizierte elektronische Signatur das einzige derzeit zur Verfügung stehende und technisch angemessene Verfahren.

[2] Die geneigte Leserschaft mag anmerken, dass sich der vorliegende Gesetzesentwurf nur auf die Zivilprozessordnung bezieht. Gerichte werden es jedoch schwierig haben, in Prozessen nach BGB, Abgabenordnung, Strafgesetz o.ä. eine „Unterschrift“ nicht anzuerkennen, deren Akzeptanz ihnen selbst per Gesetz vorgeschrieben ist.

14 Kommentare
  1. Peter Maier 16. Apr 2013 @ 6:37
Wir wollen 2016 noch schlagkräftiger werden. Unterstütze unsere Arbeit durch eine Spende für mehr netzpolitik.org, damit wir weiter kritisch und unabhängig bleiben können. Spenden