Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Nicht vertrauenswürdig

Ein Beispiel: Bei einem Gebot auf eine Internet-Auktion für eine goldene Herrenarmbanduhr sollte diese der angebliche Käufer zu einem Preis von 18 000,- DM ersteigert haben. Er wollte nicht zahlen und bestritt, die Uhr ersteigert zu haben. Den Vertragsschluss konnte der Verkäufer nicht beweisen. Er blieb trotz erfolgreicher Auktion auf der Uhr sitzen und erhielt den Kaufpreis nicht, der ihm eigentlich zugestanden hätte. Das OLG Köln am 06. September 2002 (AZ: 19 U 16/ 02): Der Empfänger einer E-Mail könne nicht darauf vertrauen, dass eine E-Mail tatsächlich vom Inhaber der E-Mail-Adresse stamme, da der Sicherheitsstandard im Internet nicht ausreichend sei. Man sollte also immer damit rechnen, dass die einfache nicht signierte E-Mail im Gerichtssaal nur Indizcharakter hat und einen weitaus geringeren Beweiswert als ein unterschriebenes Blatt Papier.

Qualifiziert signierte E-Mails

Kommt es hart auf hart, und bezweifelt der Gegner die Echtheit einer E-Mail und legt gegenteilige Indizien auf den Tisch, ist die Erfolgsaussicht ohne zusätzliche Zeugen oder ohne qualifizierte elektronische Signatur schlecht. Zwar ist es schon seit 2001 möglich, E-Mails rechtssicher zu signieren. Aber leider hat sich das in der Praxis bis heute nicht durchgesetzt. Schuld daran sind die hohen jährlichen Kosten und die unterschiedliche Software bei Empfänger und Absender. Für eine elektronische Signatur muss der Aussteller der Erklärung seinen Namen hinzufügen und das elektronische Dokument mit der qualifizierten elektronischen Signatur nach dem Signaturgesetz signieren (§ 126 a BGB iVm, § 2 Nr. 3 Signaturgesetz), also mit einem kryptographischen Schlüssel versehen. So signierte E-Mails sind Privaturkunden in ihrem Beweiswert vor Gericht mehr oder weniger gleichgestellt (§ 371 a ZPO). Man geht von der Vermutung aus, dass die E-Mail mit diesem Inhalt tatsächlich vom Absender stammt, solange der Gegner den Anschein nicht durch ernst zu nehmende Tatsachen erschüttert.

Das deutsche Signaturgesetz kennt verschiedene Arten der elektronischen Signaturen: die einfache, die fortgeschrittene sowie die qualifizierte elektronische Signatur. Die einfache Signatur ist nichts weiter als die Namensnennung des Absenders in der E-Mail. Sie bewirkt keinen zusätzlichen Beweiswert vor Gericht. Authentizität und Integrität sind durch diese Unterschrift nicht gewährleistet. Die fortgeschrittene Signatur gewährleistet, dass das Dokument unverändert beim Empfänger ankommt. Da jedermann beliebige Signaturschlüssel erzeugen kann, gewährt eine solche Signatur jedoch keine Authentizität.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019