Rechtliche Rahmenbedingungen für vertrauliche und verbindliche Internetkommunikation und deren Umsetzung mit informationstechnologischen Verfahren


Masterarbeit, 2015
128 Seiten, Note: 1,0

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Einleitung

1 Computervermittelte Kommunikation im Internet
1.1 Voraussetzungen für weltweite Xetzwerkkommunikation
1.2 Wegfindung durch das Internet
1.3 Grundlegende Internetkommunikationsdienste
1.3.1 E-Mail
1.3.1.1 Xaehriehtenformat und Erzeugung
1.3.1.2 Transport und Zustellung von Xaehriehten
1.3.1.3 Abruf von Xaehriehten
1.3.2 World Wide Web
1.4 Informationsteehnologisehe Herausforderungen
1.4.1 Authentizität der Beteiligten
1.4.2 Vertraulichkeit des Xaehriehteninhaltes
1.4.3 Xiehtabstreitbarkeit der Xaehrieht
1.4.3.1 Zugang beim Empfänger
1.4.3.2 Authentizität des Xaehriehtenursprungs
1.4.3.3 Integrität der Xaehrieht

2 Grundlagen der modernen Kryptographie
2.1 Symmetrische Kryptosvsteme
2.2 Kryptographisehe Einwegfunktionen
2.2.1 Einweg-Hash-Funktionen
2.2.2 Einwegfunktionen mit Hintertür
2.2.2.1 Diffie-Hellman-Sehliisselvereinbarung
2.2.2.2 Asymmetrische Krypto- und Signiersysteme
2.3 Effizienzsteigerung durch Kombinationen
2.3.1 Effiziente digitale Signatur mit Einweg-Hash-Funktionen
2.3.2 Effiziente Verschlüsselung
2.3.2.1 Verschlüsselung mit DH-Sehliisselvereinbarung
2.3.2.2 Verschlüsselung mit PK-Sehliisselaustauseh
2.4 Sieherheitsbetraehtungen
2.4.1 Symmetrische Verfahren
2.4.2 Asymmetrische Verfahren
2.4.2.1 Komplexitätstheoretisehe Sicherheit
2.4.2.2 Authentizität der öffentlichen Schlüssel mit PKIs
2.4.3 Gegenüberstellung beider Verfahren

3 Rechtsverbindliche Kommunikation
3.1 Elektronische Erklärungen zwischen rechtlich Gleichgestellten
3.1.1 Sicherstellung der Reehtswirksamkeit
3.1.1.1 Eröffnung des Zugangs
3.1.1.2 Zeitpunkt des Zugangs
3.1.1.3 Feststellung der Identität
3.1.1.4 Ersetzung der Sehriftform
3.1.2 Beweis der Reehtsverbindliehkeit
3.1.2.1 Beweis des Zugangs
3.1.2.2 Beweis der Authentizität und Integrität
3.2 Elektronische Abwicklung von Vorgängen der öffentlichen Verwaltung
3.2.1 Sicherstellung der Rechtswirksamkeit
3.2.1.1 Eröffnung des Zugangs
3.2.1.2 Zeitpunkt des Zugangs
3.2.1.3 Feststellung der Identität
3.2.1.4 Ersetzung der Schriftform
3.2.2 Beweis der Rechtsverbindlichkeit
3.2.2.1 Beweis des Zugangs
3.2.2.2 Beweis der Authentizität und Integrität
3.3 Qualifizierte elektronische Signaturen nach dem SigG
3.3.1 Sichere Signaturkomponenten
3.3.2 Sichere Zertifikatsinfrastruktur

4 Schutzpflichten bei vertraulicher Informationsübermittlung
4.1 Schutz von Privatgeheimnissen
4.1.1 Schutzgegenstand Privatgeheimnis
4.1.2 Angemessene und wirksame Schutzmaßnahmen
4.2 Schutz von personenbezogenen Daten
4.2.1 Schutzgegenstand personenbezogene Daten
4.2.2 Angemessene und wirksame Schutzmaßnahmen
4.3 Sicherheitsmerkmale geeigneter Verfahren
4.3.1 Punkt-zu-Punkt-Verschlüsselung mit TLS
4.3.1.1 Skizze des Protokollablaufs
4.3.1.2 Geeignete Anbieter- und Diensteauswahl
4.3.1.3 Transportverschliisselung als Mindeststandard
4.3.2 Ende-zu-Ende-Verschlüsselung mit Public-Key-Kryptographie

Zusammenfassung

Literaturverzeichnis XV

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

1.2- 1 Multihop-Vermittlung über den TCP/IP-Protokollstaek
1.3- 1 Komponenten des Message Handling Systems
1.4- 1 Anzeige der „gespooften“ E-Mail aus Quelltextfenster 1.4-I

2.1- 1 Sehematik eines symmetrischen Kryptosystems
2.2- 1 Sehematik einer Hash-Funktionen-basierten Integritätssieherung
2.2- 11 Illustration einer Diffie-Hellman-Sehliisselvereinbarung
2.2- III Sehematik einer Diffie-Hellman-Sehlüsselvereinbarung
2.2- IV Sehematik eines asymmetrischen Kryptosystems
2.2- V Sehematik eines asymmetrischen Signiersystems
2.3- 1 Sehematik eines asymmetrischen Signiersystems mit Hash-Funktion
2.3- 11 Sehematik eines sym. Kryptosystems mit DH-Sehlüsselvereinbarung
2.3- III Sehematik eines sym. Kryptosystems mit PK-Sehliisselaustauseh

4.3- 1 Punkt-zu-Punkt-Verschlüsselung über den TCP/IP-Protokollstaek
4.3- 11 Versenden. Weiterleiten und Abholen einer E-Mail
4.3- III Ende-zu-Ende-Verschlüsselung über den TCP/IP-Protokollstaek

Tabellenverzeichnis

1.1-1 Schichtenmodell der TCP/IP-Protokollfamilie mit ausgewählten Pro­tokollen

2.4- 1 Gegenüberstellung symmetrischer und asymmetrischer Verfahren

Einleitung

Besonders das Internet. das „Netz der Netze“. mit seinen diversen Diensten und inzwischen selbstverständlichen Xutzungsarten prägt unsere moderne gesellschaft­liche und wirtschaftliche Ordnung und Entwicklung. sodass es sieh „zu einem die Lebensgestaltung eines Großteils der Bevölkerung entscheidend mitprägenden Medi­um entwickelt /hat/“. wie der Bundesgerichtshof (BGH) im Jahr 2013[1] konstatier­te. Das Führen privater. geschäftlicher und behördlicher Korrespondenzen gehört. neben dem Auffinden von Informationen und Nachrichten. zu den wichtigsten Xut- zungsformen des Internets.[2] Wesentliche Vorteile der Internetkommunikation sind die schnellere. komfortablere und kostengünstigere Erstellung und Übermittlung im Vergleich zur klassischen Briefpost. da etwa der Ausdruck. das Kuvertieren und die Beförderungsübergabe entfallen. So werden die modernen Kommunikationsformen in den verschiedenen Lebensbereichen überwiegend als Bereicherung empfunden.

Kommunikation und Datenaustausch. Bankgeschäfte. Einkäufe und Behördengänge erfolgen zunehmend in der virtuellen Welt des Internets. Dabei müssen häufig per­sönliche und vertrauliche Daten versendet werden. Bei der immateriellen Übertra­gung von Daten durch das Internet gehen jedoch Unmittelbarkeit und Transparenz verloren. Die Übermittlung von Nachrichten über das Internet wird im direkten Ver­gleich mit dem traditionellen Postweg deshalb als defizitär betrachtet. Das Internet - als offene und dezentrale technische Infrastruktur konzipiert - bietet als Über­tragungskanal ohne weitere Schutzmechanismen keine ausreichenden Garantien für das spontane verlässliche und vertrauliche Übermitteln von Nachrichten. Auch 40 Jahre nachdem die grundlegenden Protokolle für die Übertragung von Daten via Electronic Mail (E-Mail) und World Wide Web (WWW) konzipiert wurden. beschäf­tigen deren Sieherheits- und Xachweisprobleme die Informatik. Rechtswissenschaft. Rechtsprechung. Ökonomie und Politik.

Die weitreichenden Vorwürfe anlassloser Überwachung des Datenverkehrs durch Ge­heimdienste. die Interessen der Betreiber werbefinanzierter Internetdienste an der umfangreichen Sammlung individueller Nutzer- und Xutzungsinformationen und Be­richte über Daten veriuste in Folge krimineller Hacker-Angriffe stehen einer unbe­denklichen Nutzung des Internets für sensible Übertragungen im Allgemeinen entge­gen. So stellt sieh die Frage. wie Kommunikation in der offenen Umgebung des Inter­nets durch Informations- und Kommunikationstechnologie (IKT) abgesichert werden kann. um individuellen Geheimhaltungswillen oder mitunter gesetzlich auferlegten Geheimhaltungspflichten nicht-öffentlicher Kommunikation adäquat naehkommen zu können. Hiervon sind insbesondere Berufsgruppen betroffen. die Geheimhaltungs­oder Schweigepflichten unterliegen. Mit ausreichend hoher Wahrscheinlichkeit sollen ausschließlich die Empfänger den Inhalt der Nachrichten. die schutzbedürftige Infor­mationen beinhalten. einsehen können. Die Sicherstellung der Vertraulichkeit des Nachrichteninhaltes impliziert die Notwendigkeit. die kommunizierenden Identi­täten zweifelsfrei und unbestreitbar feststellen zu können. Schließlich soll sieh ein Dritter auch nicht durch Maskieren oder Vortäuschen einer falschen Identität ver­trauliche Informationen erschleichen dürfen.

Neben der Sicherstellung der Vertraulichkeit des Xachrichteninhalts ist das Wirk­samwerden einer auf eine Rechtsfolge gerichteten Mitteilung und dessen Nachweis­barkeit eines der größten Problemfelder des IKT-gestiitzten Geschäfts- und Verwal­tungsverkehrs. Grundsätzlich können Erklärungen wie etwa die Einwilligung in eine Datenverarbeitung oder die vertragsbegründende Annahme eines Angebots auch über das Internet abgegeben werden. Rechtsverbindliche Wirksamkeit können die­se jedoch regelmäßig nur dann entfalten. wenn sie dem Empfänger auch zugehen und als Handlung der Person des Urhebers eindeutig zurechenbar sind. Sofern ge­boten. kann zur Wirksamkeit einer Erklärung auch die Einhaltung gesetzlicher oder vertraglich vereinbarter Formvorschriften erforderlich sein. Die Beweisbarkeit von Umstand und Inhalt einer Nachrichtenübermittlung. die auf das Eintreten einer bestimmten zivil- oder verwaltungsrechtlichen Rechtsfolge gerichtet ist. ist insbe­sondere für denjenigen von entscheidender Bedeutung. der sieh auf die Rechtsfolge beruft. Für die erfolgreiche Durchsetzung oder Abwehr von Ansprüchen im Prozess sind die elektronischen Dokumente in aller Regel das einzige Mittel um zu bewei­sen. ob tatsächlich. zu welchem Zeitpunkt und mit welchem Inhalt zwischen welchen Personen eine Übermittlung stattgefunden hat. Da nachträgliche und maskierte Ma­nipulationen einem ungeschützten elektronischen Dokument nicht anzusehen sind. kann seine Eignung als glaubwürdiges Beweismittel aber grundsätzlich bezweifelt werden. So stellt sieh die Frage. wer welche Maßnahmen und Hilfsmittel in welchem Umfang ergreifen und wer im Streitfall welche Tatsachen wie beweisen muss. um die rechtliche Verbindlichkeit einer übertragenen Erklärung sicher zu stellen.

Entsprechende informationstechnologische Lösungsmöglichkeiten existieren für die meisten dieser in beiden Themenkreisen auftretenden Probleme. Allerdings können Nutzer oft nicht eindeutig und sicher bewerten. ob diese den rechtlichen Anforderun­gen genügen. Deshalb beschäftigt sieh das IKT-Recht mit den vielfältigen. sieh aus dem Einsatz moderner technologischer Systeme und Verfahren ergebenden rechtli­chen Fragestellungen. Speziell die Gesetzgebung und deren Auslegungen schufen die Rahmenbedingungen hinsichtlich des Einsatzes moderner Kommunikationsformen und technologischer Hilfsmittel für den elektronischen Rechtsverkehr sowie für die Übermittlung von Geheimnissen und personenbezogenen Daten. Die Stärken und Schwächen der innerhalb dieses rechtlichen Rahmens erlaubten oder gebotenen Si­cherungstechnologien sowie der finanzielle und zeitliche Aufwand ihrer Einrichtung und Nutzung haben starken Einfluss auf die Wahl der Schutzmaßnahme. erfordern aber ein interdisziplinäres Verständnis für das komplexe Zusammenwirken juristi­scher und technologischer Verfahren. Der Bedarf an Schutztechnologien. die Risiken hinlänglich ausschließen. rechtliche Sicherheit vermitteln. vom Nutzer leicht zu be­dienen und kostengünstig sind. ist nach wie vor ungebrochen.[3]

Mit der vorliegenden Arbeit soll durch eine streng praxisorientierte und interdiszipli­näre Verknüpfung des IKT-Reehts und der IKT-Sieherheit zum einen der rechtliche Rahmen vertraulicher und verbindlicher Internetkommunikation analysiert. und zum anderen geeignete und angemessene informationstechnologische Sicherungsverfahren zur Einhaltung dieser rechtlichen Vorgaben untersucht werden. Dabei soll der Leser in die Lage versetzt werden. bei der Auswahl geeigneter und angemessener Technolo­gien die Möglichkeiten und Grenzen ihres Einsatzes sowie die Stärken und Schwächen hinsichtlich ihrer Effektivität und Praktikabilität einschätzen zu können.

Xaeh einem Einstieg in die theoretischen und technologischen Grundlagen der Ver­netzung und Übertragung im Internet und konventioneller Internetkommunikati­onsdienste. welche dem Leser die Probleme und Gefahren nahebringen sollen. folgt eine Einführung in moderne Kryptographie als Ausgangspunkt vieler Verfahren zur Sicherstellung der Vertraulichkeit und Beweisbarkeit. um die in der Folge erläuter­ten Konzepte besser verstehen zu können. Im dritten Kapitel stehen die rechtlichen Rahmenanforderungen an das Wirksamwerden einer auf eine Rechtsfolge gerichte­ten Erklärung und dessen Xichtabstreitbarkeit zwischen Privatrechtssubjekten un­tereinander sowie zwischen öffentlicher Verwaltung und Verwaltungsadressaten im Fokus der Betrachtungen. während das vierte Kapitel sieh mit der Sicherung der Vertraulichkeit bei der Übermittlung personenbezogener Daten und von Privatge­heimnissen beschäftigt. Auf Basis der rechtlichen Ausführungen wird auf informa­tionstechnologische Hilfsmittel und Sicherungskonzepte näher eingegangen und ihre Anwendungsbereiche im Kontext der gesetzlichen Vorschriften und deren Ausle­gungen dargestellt. Dabei finden qualifizierte elektronische Signaturen nach dem Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG). die Trans- portverschliisselung mit Transport Layer Security (TLS) und die De-Mail nach dem De-Mail-Gesetz (De-Mail-G) besondere Beachtung.

Kapitel 1 Computerveraiittelte Kommunikation im Internet

Zum Verständnis der speziellen Problematiken beim Übermitteln von Nachrichten über das Internet zwischen Endsystemen sollen in diesem Kapitel die grundsätzliche Funktionsweise von Xetzwerkkommunikation sowie strukturbedingte Probleme der globalen Vernetzung von Rechnernetzwerken erläutert werden.

1.1 Voraussetzungen für weltweite Netzwerkkommunikation

Zwei grundlegende Voraussetzungen ermöglichen die Kommunikation in Computer­netzwerken: Zum einen verlangt sie eine physikalische Vernetzung bzw. eine Anbin­dung der Endsysteme an ein vorhandenes Netzwerk wie das Internet. Das Rückgrat des Internets bilden die auf der ganzen Welt verteilten Internet-Knoten. die konti­nental und interkontinental miteinander verbunden sind. An diesen Backbones sind wiederum größere regionale bis nationale Netze wie die von Forschungseinrichtungen. Behörden. größeren Unternehmen und Internet-Access-Provider (IAP). die Privat­kunden den Anschluss ihrer Heimnetze an das Internet ermöglichen. angeschlossen.

Die offene und dezentrale Infrastruktur des Internets fördert seine Ausweitung. da recht einfach weitere Computer oder -verbünde angeschlossen werden können.[4]

Zum anderen erfordert die Computerkommunikation die Festlegung bzw. Einhal­tung von Konventionen zu Adressvergaben sowie syntaktischen und semantischen Regeln wie Beschreibungen von Datenstrukturen und Abläufen in Form von Pro­tokollen.[5] Für eine zuverlässige Kommunikation über die Netzwerke des Internets müssen eine Vielzahl von Aufgaben bewältigt werden. Um die Funktionskomple­xität des Xetzwerkkommunikationsprozesses hersteiler- und geräteunabhängig mo­dellieren zu können und Weiterentwicklungen und Ersetzungen von Technologien zu erleichtern. werden die für das Überwinden bestimmter Teilprobleme im Rahmen der Xetzwerkkommunikation problemspezifischen Protokolle in vier funktionale Schich­ten (s. Tabelle 1.1-1) unterteilt.[6] Durch die Abstraktion der technologischen Details der Einzelnetze und Endsysteme erscheint das Internet wie ein einziges homogenes und universelles Netzd[7] Zueinander kompatible. effizient miteinander interagierende Protokolle zur Lösung des Gesamtproblems bilden zusammen eine Protokollfamilie. Die Basis der Internetkommunikation bilden das Internet Protocol (IP) und das Transmission Control Protocol (TCP). weshalb die Internet-Protokollfamilie auch TCP/IP-Protokollfamilie genannt wird.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1.1-1: Schichtenmodell der TCP/IP-Protokollfamilie mit ausgewählten Protokollen

1.2 Wegfindung durch das Internet

Bei dem zugrundeliegenden paketvermittelnden Ansatz des Internets durchqueren die Pakete. die je ein Segment der eigentlichen Nachricht in sich tragen. als unabhän­gige und eigenständige Einheiten die Netzwerke bis zum jeweiligen Endsystem.[8] Die Pakete müssen auf ihrem Weg zum Ziel viele verschiedene Zwischensysteme passieren. die lediglich der Weitervermittlung im Store-and-Forward-Prinzip die­nen.[9] Diese Zwischensysteme verfügen meist nicht über eine Implementierung einer höheren Schicht. da ihnen für die zielgerichtete Weiterleitung zum nächsten System die Ziel-IP-Adresse genügt. die sie bei der Entkapselung des Paketes in der Internet­schicht erfahren (s. Abb. 1.2-1).

Quellsystem Endsystem

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1.2-1: Multihop-Vermittlung über den TCP/IP-Protokollstaek

Bedeutsame Internet-Knoten sind generell stärker miteinander verwoben. um mög­lichst viele alternative Wege durch das Internet zu bieten. Die Pakete haben somit theoretisch unzählig viele Möglichkeiten. um zum Endsystem zu gelangen.[10]

Der Vorgang der Wegfindung wird Routing genannt. Routing-Algorithmen sollen für Pakete beim Ausfall von Teilstrecken automatisch auch während der Übermitt­lung einen ökonomisch sinnvollen und effizienten alternativen Weg finden und dabei zum jeweils aktuellen Zeitpunkt auch die Auslastung der möglichen Teilstrecken berücksichtigen. Im Internet kann das bedeuten. dass einzelne Datenpakete trotz territorialer Xähe zwischen Absender und Empfänger große Entfernungen - auch über die Kontinente hinweg - zurücklegen. Der exakte Weg eines einzelnen Paketes ist. ohne Eingriff in den Routing-Algorithmus oder die Umstände der Übermittlung. nicht von vornherein festgelegt und folgt seiner eigenen Logik.[11]

Die Pakete kommen beim Empfänger dann aufgrund von Laufzeitunterschieden nicht notwendigerweise in derselben Reihenfolge an. wie sie versendet wurden. Dies ist je­doch aufgrund der bei der Segmentierung der Daten vergebenen Sequenznummern in der Transportschicht unerheblich. Pakete. deren Sequenznummern erwartet wur­den. innerhalb eines bestimmten Zeitrahmens jedoch nicht eingegangen sind. gelten als verloren und werden durch TCP beim Absender erneut angefordert.

Schon allein weil die in viele Datenpakete verteilten Informationen unterschiedliche Wege in der stark vermaschten. dezentralen Struktur des Internets gehen. könnte angenommen werden. dass eine Kenntnisnahme- und Manipulationsmöglichkeit auf dem Übermittlungsweg unwahrscheinlich ist.[12] Allerdings entstehen aufgrund der Baumstruktur der Xetzanbindung (s. 1.1) zentrale Knotenpunkte aus Sieht jedes Xetzteilnehmers. Je logisch näher sieh ein Xetzknoten am Sender befindet. desto wahrscheinlicher ist. dass dieser an der Informationsübermittlung beteiligt ist. Die Kompromittierung des Routers. der das eigene LAX mit dem Internet verbindet. würde die Kenntnisnahme und Manipulation sogar aller durchgeleiteten Datenpake­te ermöglichen. Das hacken eines Xetzknotens bedarf jedoch in den meisten Fällen eines beträchtlichen Aufwandes und in jedem Fall einer kriminellen Absicht[13]

1.3 Grundlegende Internetkommunikationsdienste

Die grundlegenden Internetprotokolle TCP (Transportsehieht) und IP (Internet­Schicht) sind auf eine zuverlässige Übermittlung von Daten durch Netzwerke aus­gelegt. die sieh spontan verändern können. Basierend auf den Strukturen des Inter­nets stehen für den computervermittelten Austausch von Nachrichten verschiedene Kommunikationsdienste und die sie ermöglichenden besonderen Protokolle der An­wendungsschicht zur Verfügung. Die beiden wichtigsten Dienste sind das E-Mailing und das WWW.[14]

1.3.1 E-Mail

Der E-Mail-Dienst gehört offenkundig zu den am meisten genutzten Diensten. um über das Internet zu kommunizieren und ist für die meisten zum selbstverständlichen Bestandteil des privaten und beruflichen Alltags geworden. Im Jahr 2013 wurden täglich rund 59 Milliarden private und geschäftliche E-Mails tatsächlich verfasst und versendet.[15]

Anders als die Kommunikate in Chats. Mikroblogs oder sozialen Netzwerken wir­ken sie wegen ihrer Form der briefähnlichen Verkörperung nachhaltiger und. sofern vom Aufbauschema geschäftlicher Briefpost inspiriert. professioneller. E-Mails kön­nen zudem umfangreicher verfasst werden und dabei zusätzlich als Trägermedium zur Übermittlung von Dateien wie elektronischen Dokumenten dienen. Ein Konkur­rent. der das E-Mail-System ablösen könnte. ist derzeit nicht in Sieht. Dass nahezu jede natürliche und juristische Person ein empfangsbereites elektronisches Postfach bei einem der unzähligen E-Mail-Provider hat. festigt das älteste Kommunikations­medium[16] des Internets in seinem Status als Universalmedium.

Der E-Mail-Standard besteht im Wesentlichen aus zwei Spezifikationen: Dem Inter­net Message Format (IMF) als Beschreibung des Aufbaus sowie dem Simple Mail Transfer Protocol (SMTP) als Beschreibung der Austausehregeln zwischen E-Mail- Servern bis hin zur Zustellung in ein elektronisches Postfach.

1.3.1.1 Nachrichtenformat und Erzeugung

Quelltextfenster 1.3-1 stellt den Aufbau einer Beispiel-E-Mail dar. Dem eigentlichen Xaehriehteninhalt. dem Message-Body (Zeile 6). werden strukturierte Verwaltungs­informationen in Form eines Message-Headers (Zeile 1 bis 4) und eine Leerzeile (Zeile 5) vorangestellt.1' Die wichtigsten Angaben sind dabei die Absender- und Empfänge­radressen (From und To). die Datumsangabe (Date) sowie der Betreff (Subject). Insoweit ähneln E-Mails vom Aufbau her typischen Geschäftsbriefbögen. Die E-Mail- Adressen setzen sieh zusammen aus einem Xutzernamen. dem Zeichen „Cr und der Adresse des E-Mail-Servers. auf dem der Empfänger ein Postfach eingerichtet hat.

Abbildung in dieser Leseprobe nicht enthalten

Quelltextfenster 1.3-1: Minimalaufbau einer Internet Message

Anwendungen. mit denen Xutzer in der Lage sind. E-Mails zu verfassen und zu ver­senden. zu empfangen und zu lesen. werden als Mail User Agent (MUA) oder E-Mail- Client bezeichnet.[17] [18] Sie übernehmen auch die protokollkonforme Formatierung der E-Mails. etwa durch entsprechende korrekte Generierung und Voranstellung der not­wendigen #ea<¿er-Elemente. Für multimediale Inhalte wie Anhänge sowie für die Un­terstützung zusätzlicher Zeichen wie nationale Sonderzeichen und Umlaute oder gar völlig anderer. nicht-lateinisch-basierter Alphabete. wurden Kodierungserweiterun­gen wie die Multipurpose Internet Mail Extensions (MIME) beschrieben.[19] MIME legt zusätzliche Header-Elemente fest. in denen weitere Verwaltungsinformationen untergebracht sind. so dass MUAs E-Mails mit besonderen Zeichenkodierungen oder mit Anhängen korrekt generieren und darstellen können.[20]

1.3.1.2 Transport und Zustellung von Nachrichten

Die abgesendeten E-Mails werden einem Postausgangs-Server. dem Mail Submis­sion Agent (MSA) als eine Art Annahmestelle. übergeben. welcher im Normal­fall die Identität des Nutzers und deren Autorisierung prüft.[21] Dann werden sie im Teilstreckenverfahren (store and forward) solange über andere Mail Transfer Agents (MTAs) des Internets transferiert. bis sie den Server mit dem elektronischen Postfach (Mailbox oder Inbox) des Empfängers. den Mail Delivery Agent (MDA) oder Posteingangs-Server. erreichen (s. Abbildung 1.3-1).[22]

Abbildung in dieser Leseprobe nicht enthalten

MTAs. MDAs und MSAs verwenden dabei alle das im Jahr 1982 veröffentlichte und bis heute gültige Simple Mail Transfer Protocol (SMTP). ein Protokoll der Anwen­dungsschicht. Sie werden üblicherweise von Privaten betrieben. die den Zugang zum E-Mail-System als Dienstleistungen anbieten (E-Mail-Provider). Ein großer Vorteil des Prinzips des elektronischen Postfaches liegt darin. dass der Empfänger selbst nicht ständig mit dem Internet verbunden sein muss.

E-Mail From und To jedoch nicht die für die technische Zustellung notwendigen Informationen. Die MTAs müs­sen vor dem Versand einen für den Transport notwendigen Umschlag[23] (Envelo­pe) erzeugen. auf dem die E-Mail tatsächlich erst adressiert wird.[24] Dieser SMTP- Umsehlag wird also erst zum Zeitpunkt der Übermittlung via SMTP an den nächsten SMTP-Server erzeugt. Der protokollkonforme Verlauf einer Übermittlung nach einer simplen Autorisierung ist beispielhaft im Quelltextfenster 1.3-11 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Quelltextfenster 1.3-II: Beispiel eines SMTP-Protokollverlaufes nach einfacher Autorisierung zur Übermittlung einer E-Mail

Jede erfolgreiche Ausführung eines Kommandos (linke Seite) wird vom Empfänger­Server mit einer dreistelligen Statusmeldung und ggf. einer kurzen Mitteilung zurück an den Client bestätigt (rechte Seite). wobei die Antworten des Servers abhängig von der Serveranwendung und -konfiguration variieren.

Um eine Nachricht zustellen zu können. muss zunächst eine TCP-Verbindung zum beteiligten nächsten SMTP-Server etabliert werden (Zeile 1). welche nach dem Vor­gang auch wieder abgebaut wird (Zeile 22). Die TCP-Sitzung wird mit einer Begrü­ßung durch den Server eröffnet. welche üblicherweise seinen Domain-Namen bein­haltet (Zeile 2). Der Sender beginnt seine Übermittlung mit einer Selbstvorstel­lung in Form seines Domain-Namens. sofern vorhanden. als Parameter des HELO- Kommandos (Zeile 3). Mit der Bestätigung durch den Server (Zeile 4) besteht eine SMTP-Verbindung zwischen Sender und Empfänger.[25]

Bevor der Sender mit der Übermittlung von E-Mails beginnen kann. muss er sieh üb­licherweise gegenüber dem Postausgangs-Server autorisieren. In der Regel stellt der Server ihm dazu mehr als eine Möglichkeit zur Verfügung. Die einfachste und fast immer angebotene Variante ist die unverschlüsselte Übermittlung einer zuvor ver­gebenen Benutzername-Passwort-Kombination im Autorisierungsverfahren PLAIN bzw. LOGIN[26] Passwort (Zeile 8) abgefragt. Im Beispiel akzeptiert der Server nach Prüfung der Autorisation den Nutzer mit einer Bestätigung (Zeile 10).

Der Sender kann nun mit der Übermittlung einer oder mehrerer E-Mails begin­nen. Dazu sendet er dem Server den Envelope. bestehend aus dem MAIL FROM- Kommando für die E-Mail-Adresse des Absenders (Enve.lope.-From. Zeile 11) und entsprechend der Anzahl der Empfänger vielen RCPT TO-Kommandos für die der Empfänger {Envelope.-To. Zeile 13). Der Server quittiert jeweils den Empfang (Zeile 12 und 14). Mit dem DATA-Kommando leitet der Sender die Eingabe der eigent­lichen E-Mail im IMF ein (Zeile 15). Der Server signalisiert daraufhin seine Emp- fangsbereitsehaft (Zeile 16). Der Sender übermittelt den vollständigen Text seiner E-Mail-Xaehrieht (angedeutet in Zeile 17). bestehend aus dem Message-Header und dem Message-Body (vgl. 1.3.1.1). und beendet den Vorgang mit einem Punkt in einer separaten Zeile (Zeile 18). Der Server bestätigt den Empfang und fügt im Regelfall eine eindeutige Me.ssage.-ID an (Zeile 19). Der Empfänger bekommt den SMTP-Envelope. im Xormalfall nieht zu sehen. da diese Angaben vom MDA bei der Postfaeh-Zustellung entfernt werden.

Die SMTP QUIT beendet (Zeile 20). worauf­ hin aueh der Server sieh verabsehiedet (Zeile 21) und die TCP-Sitzung aufhebt.

Wenn eine Xaehrieht nieht oder vorübergehend nieht von einem MDA zugestellt werden konnte. benaehriehtigt im Regelfall der letzte SMTP-Server den Absender unter Angabe des Seheiterungsgrundes mit einer negativen Delivery Status Xotifi- eation (DSX). aueh Bounce Message genannt.

1.3.1.3 Abruf von Nachrichten

Für das Abrufen von für den Xutzer bestimmten E-Mails aus seinem elektronischen Postfach von einem beliebigen Ort zu einer beliebigen Zeit wurden spezialisierte Protokolle wie das Post Office Protocol v3 (POP3) und das Internet Message Ac­cess Protocol (IMAP) standardisiert. Aueh existieren proprietäre Protokolle wie bei Novell Groupwi.se oder Microsoft Exchange.[27] In E-Mail-Clients implementiert steu­ern sie die Autorisation und den Abruf vom Postfach-Server. Alternativ kann eine Weòmaì7-Anwendung (aueh Web-Frontend) auf dem Postfach-Server dem Xutzer eine Schnittstelle über das WWW und dem Web-Browser anbieten. ohne einen de- dizierten E-Mail-Client installiert zu haben. Die Autorisierung zum Abruf und zur sonstigen Xutzung des Postfaches erfolgt gegenüber dem Postfach-Server ähnlich wie bei der Autorisierung am Postausgangs-Server üblicherweise mit einer zuvor zugewiesenen Xutzername-Passwort-Kombination.[28]

1.3.2 World Wide Web

Das WWW avancierte zu dem zweit-beliebtesten Kommunikationsdienst des Inter­nets. Allerdings mit zunehmendem Erfolg. da die meisten anderen Kommunikati­onsdienste. die ursprünglich eine dedizierte Anwendung und eigene Protokolle vor­aussetzten. auch über Web-Anwendungen mit modernen Browsern genutzt werden können.[29] Auch MUAs wurden insbesondere bei privaten Nutzern mehr und mehr von Webmail-Anwendungen (s. 1.3.1.3) verdrängt.

Die Hypertext Markup Language (HTML) zur Beschreibung der Struktur und des Inhalts von Web-Dokumenten als eine grafische Benutzerschnittstelle bildet zusam­men mit dem Hypertext Transfer Protocol (HTTP) zum gezielten Abruf dieser von einem Web-Server die Basis des WWW. Über das HTTP sendet ein Browser eine Anfrage (Request) an einen Web-Server. Sobald diese den Server erreicht. wird sie ausgewertet und entsprechend beantwortet (Response). indem die angefragte Datei ausgeliefert (etwa HTML-Internetseiten oder PDF-Dateien) oder eine Anwendung ausgeführt und dessen Ausgabe zurück gegeben wird.[30] Wenn der Server die Anfrage nicht beantworten kann. sendet er stattdessen eine Fehlermeldung zurück.

Die gängige Form. das WWW zu Kommunikationszwecken zu nutzen. ist das Ausfül­len und Absenden eines auf Anfrage vom entsprechenden Web-Server bereit gestell­ten Formulars im Browser. welches in einem HTML-Dokument eingebettet wurde. Dabei kann das Lesen und Verfassen von Nachrichten im Umfeld eines Online­Kommunikationsportals wie in sozialen Netzwerken oder Online-Postfächern der eigenen Bank stattfinden. Mit der voranschreitenden Modernisierung der öffentli­chen Verwaltung entstanden neben den privatrechtlich betriebenen Diensten auch öffentlich-rechtlich betriebene. zweckgebundene Bürgerportale für behördliche Kom- munikations- und Transaktion.

Die Autorisierung des Nutzers gegenüber Portalen erfolgt überwiegend mittels einer zuvor bei der Kontoregistrierung ausgehandelten Nutzername-Passwort-Kombination.

Diese wird meist in einem entsprechenden Formular abgefragt und zur Überprüfung an den Server übermittelt.[31] Bewilligt dieser die Anmeldung. muss er Maßnahmen ergreifen. die die Re-Identifizierung des Nutzers für eine gewisse Zeitspanne auf­rechterhält. ohne bei jedem einzelnen Request die Authentifizierungsdaten abzufra­gen und auszuwerten. Häufig geschieht dies durch das Setzen eines lokalen Cookies mit einer für den Server zur eindeutigen Wiedererkennung geeigneten Session-ID. die die Xutzeranwendung bei späteren Requests zurück an den Server sendet.'[32]

1.4 Informationstechnologische Herausforderungen

Die allgemeinen potenziellen Risiken der Informationstechnologie sind zwar mehr­heitlich bekannt. die eigene Gefährdung wird jedoch meist unterschätzt. Garantien. dass Nachrichten während der technischen Übermittlung nicht verändert und aus­schließlich vom Empfänger gelesen wurden. können allein über die grundsätzlichen E-Mail- und Web-Protokolle nicht gegeben werden. Der letzte Abschnitt dieses Kapi­tels über theoretische und technische Grundlagen behandelt vertieft die Auswirkun­gen der Kompromittierbarkeit und die fundamentalen Grundwerte der IT-Sicherheit für vertrauliche und verbindliche Internetkommunikation.

1.4.1 Authentizität der Beteiligten

Stehen sieh die kommunizierenden Personen gegenüber. ist die gegenseitige Bewer­tung der Authentizität und Vertrauenswürdigkeit anhand ihrer auditiv und/oder visuell wahrnehmbaren. kaum manipulierbar erscheinenden Merkmale nicht pro­blematisch. Die ausschließlich mittelbare. unpersönliche. überwiegend textbasier­te Adressierung und Kommunikation im Internet reduziert jedoch die menschliche Wahrnehmung. Bei Fernkommunikation wird eine natürliche. tatsächliche Identität dureh eine auf einem Nutzer-Pseudonym[33] oder einer teehnisehen Adresse redu­zierten medialen Identität repräsentiert. Sofern das Kommunikationssystem keine in einem hohen Maß an Vertrauen verlässliehe Überprüfung des behaupteten Personen­bezuges vorsieht. kann es mitunter sehr einfaeh sein. über die tatsächliche Identität hinweg zu täuschen und in falschem Kamen Handlungen auszuüben oder sieh Zugriff auf vertrauliche Informationen zu erschleichen. So ist im Rechts- und Geschäftsver­kehr ein Anspruch nicht durchsetzbar. wenn der Anspruchsgegner nicht ermittelt werden kann.[34] [35] Sieh der Authentizität oder bestimmter Eigenschaften des Kommu­nikationspartners zu versichern ist so mitunter erheblich schwieriger. insbesondere wenn es sieh um Personen handelt. mit denen bislang nicht oder nur selten kommu­niziert wurde. Dabei ist eine zentrale Herausforderung die Überprüfungsmöglichkeit der Identitäten innerhalb eines für das Gegenüber akzeptablen Zeitrahmens. Definition 1 (Authentizität der Beteiligten). Die vorgegebene mediale Identität des Kommunikationspartners stimmt mit dessen tatsächlicher Identität in einem hohen Maß an Vertrauen überein.

Die Autorisierung gegenüber einem Kommunikationsdienst dient der Steuerung des Zugriffs auf vertrauliche Daten oder der Ausführung privilegierter Handlungen. Der Vorgang besteht üblicher Weise aus einer vorgelagerten Registrierung und der bei je­der Anmeldung wiederholten Überprüfung der ausgehandelten Autorisierungsdaten. Häufig handelt es sieh dabei um eine Kombination aus der Angabe einer Kennung zur Identifikation (Xutzernamen) und einem Nachweis der Kenntnis einer (zumeist selbst gewählten) geheimen Information (Passwort). Eine belastbare Prüfung der tatsächlichen Identität während der Registrierung der Nutzer findet insbesondere bei gebührenfreien Diensten hingegen selten statt.30 So muss sieh der Absender fra­gen. ob die Empfängeradresse tatsächlich (noch) zum Postfach des gewünschten. befugten Empfängers gehört.

1.4.2 Vertraulichkeit des Nachrichteninhaltes

Den Inhalt einer Nachricht vor ungewollter Einsichtnahme Dritter zu bewahren. ist ein allgemeines Bedürfnis. So sind und bleiben Nachrichten nur dann vertraulich. wenn deren Kenntnis nicht über einen begrenzten. vor dem Kommunikationsverfah­ren festgelegten und authentischen (s. 1.4.1) Empfängerkreis hinausgeht.[36] Die klare Definition und Abgrenzung berechtigter Empfänger von unberechtigten durch Iden­tifizierung und Beglaubigung der Identitäten steht im Gegensatz zur Gewährleistung von Anonymität des Empfängers.[37]

Definition 2 (Vertraulichkeit). Der Inhalt vertraulicher Nachrichten darf mit hoher Verlässlichkeit ausschließlich einem abgegrenzten Empfängerkreis bekannt werden.

Ein Geheimnis bezeichnet

1. einen faktischen. irreversiblen Zustand und
2. ein immaterielles. nicht greifbares Gut. dessen Vervielfältigung sowie Kennt­nisnahme unberechtigter Dritter selbst nicht sichtbar ist.

Neben organisatorischen und rechtlichen Maßnahmen bedarf es daher eines ausge­sprochen wirksamen Vorfeldsehutzes durch technologische Komponenten. Neben ge­eigneten Grundfunktionen wie Identitätsverwaltung und Autorisierung von Nutzern zur Verhinderung unbefugten Zugriffs auf abgespeieherte Nachrichten. müssen bei Übertragungsvorgängen angemessene technische Schutzmaßnahmen getroffen wer­den. Andernfalls kann an allen Vermittlungssystemen des Datenverkehrs Einblick in die Inhalte genommen werden.[38] Zwar ist in Vermittlungsstellen das Auslesen der Inhalte sehon aus Gründen der Effizienz nicht der Regelfall. Die Möglichkeit. die Pakete zu kopieren und auszuwerten. besteht aber. Die unvorhersehbare. teils übernationale Wegfindung der Pakete verschärft die Problematik.

1.4.3 Nichtabstreitbarkeit der Nachricht

Eine Rechtsposition muss im Streitfall zur erfolgreichen Durchsetzung oder Abwehr von Rechten oder Ansprüchen. die durch eine elektronisch abgegebene und zuge­gangene Willenserklärung erworben wurden. im gerichtlichen Verfahren bewiesen werden können. Der Kommunikationspartner. der die Rechtsfolge für sieh in An­spruch nimmt. kann unter Umständen die Beweislast tragen. wenn

- der Erklärungsempfänger den Erhalt der Erklärung (ob und wann?).
- der Erklärende seine Urheberschaft an der Erklärung (von wem?) oder
- der einer von heiden den Inhalt der Erklarung (was?) bestreitet.[39]

1.4.3.1 Zugang beim Empfänger

Ist die Rechtsposition vom Nachweis des (rechtzeitigen) Zugangs abhängig. so muss die rechtssichere Zustellung auch gegenüber einem nichtkooperativen Kommunikati­onspartner. der seine aktive Mitwirkung in Form einer Zugangsbestätigung verwei­gert. möglich sein.[40]

Definition 3 (Nichtabstreitbarkeit des Zugangs). Der Empfänger soll den Erhalt einer Nachricht und den Zeitpunkt nicht nachträglich bestreiten können.

1.4.3.2 Authentizität des Nachrichtenursprungs

Digitalen Nachrichten fehlt an sieh eine nachprüfbare Beziehung zu ihrem Urheber. Ihre rechtsverbindliche Wirkung können Willenserklärungen regelmäßig nur dann entfalten. wenn der Rechtsbindungswille des Erklärenden zweifelsfrei erkennbar. al­so insbesondere die Handlung der Person eindeutig zurechenbar ist.[41] Die Authen­tizität einer Nachricht. dass diese tatsächlich vom angegebenen Erklärenden erstellt wurde. erbringt den Nachweis einer Verantwortlichkeit einer Person und die damit verbundene rechtliche Verbindlichkeit der Handlung. Insbesondere im Kontext der elektronischen Kommunikation muss dafür die Übereinstimmung der vorgegebenen medialen Identität mit der natürlichen Identität (s. 1.4.1) gewährleistet sein.

Definition 4 (Nichtabstreitbarkeit der Urheberschaft). Dem Absender ist seine Urheberschaft einer bestimmten Nachricht in einem hohen Maße an Verlässlichkeit korrekt und eindeutig zurechenbar.

Durch eine Autorisierung gegenüber einem Dienstanbieter mit einer Nutzername­Passwort-Kombination wird zwar die Sicherheit erhöht. jedoch noch kein Beweis für die Authentizität einer über dieses Kommunikationsmedium übermittelten Wil­lenserklärung geboten.[42] Kennungen sind u.U. einfach in Erfahrung zu bringen sein und Passwörter werden erfahrungsgemäß oft so gewählt. dass sie erraten werden können. Das stellt grundsätzlich das Vertrauen in die Annahme in Frage. dass ein Kommunikationsdienstkonto ausschließlich dem Inhaber zugänglich ist.

Im E-Mail-Svstem besteht die Gefahr. dass Nachrichten unter fremder Identität in das Kommunikationssystem eingespielt wurden. Ein Angreifer kann so eine belie­bige E-Mail-Adresse als Absenderadresse angeben. ohne dass diese ihm tatsächlich zugeordnet ist. Dieses sogenannte E-Mail- Spoofing ist möglich. da im SMTP die Adresse hinter From: E-Mail 1.4-1 den MUAs als Absender angezeigt wird. nicht überprüft wird.

Abbildung in dieser Leseprobe nicht enthalten

Quelltextfenster 1.4-1: Beispiel einer „gespooften“ E-Mail

Der Empfänger kann auf den ersten Blick den Täuschungsversuch nicht feststellen (s. Abbildung 1.4-1). Auch der vermeintliche Absender. in dessen Namen die E-Mail verfasst wurde. erfährt nichts davon.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1.4-1: Anzeige der „gespooften“ E-Mail aus Quelltextfenster 1.4-1

Zwar verwenden die meisten MSAs eine Autorisierungsmethode (s. Fn. 21). die ab­weichende Absenderangaben im SMTP-Umschlag ablehnen. Die Erfahrungen zeigen jedoch. dass stets damit zu rechnen ist. dass irgendwo im Internet ein SMTP-Server keine oder nur eine mangelhafte Autorisationsprüfung vornimmt und somit das Ver­breiten von E-Mails mit gefälschter Absenderangabe ermöglicht.

1.4.3.3 Integrität der Nachricht

Digitale Daten können sich spurenlos verändern. egal. ob durch eine bewusste Mani­pulation oder einen Übermittlungsfehler. Allein aufgrund der Möglichkeit trägt der Empfänger ein hohes Risiko. wenn er auf die Wirksamkeit einer ungesichert elek­tronisch übermittelten Erklärung (Inhalt als auch Kontext) vertraut. Auch ein un­abhängiger Dritter kann im Streit um den Inhalt zweier inhaltlich unterschiedlicher Nachrichten nicht ohne weiteres feststellen. was davon das ursprüngliche Original und was die (veränderte) Kopie ist.[43] In der Regel ist jedoch nicht die Möglichkeit der Wiederherstellung der ursprünglichen Informationen von integritätssichernden Verfahren umfasst.

Definition 5 (Xichtabstreitbarkeit der Korrektheit). Abweichungen von einem Zu­stand der Unverfälsehtheit. Fehlerfreihe.it und Vollständigkeit einer Nachricht kön­nen zu jeder Zeit mit großer Gewissheit erkannt werden.

Im Kontext elektronischer Kommunikation können die Authentizität des Xaehrieh- tenursprungs und die Integrität der Nachricht als untrennbare Bedingungen für den Nachweis verbindlichen Handelns betrachtet werden. Das Vertrauen in die Wirksam­keit einer Erklärung ohne Nachweis der Korrektheit. aber von bekanntem Absender. ist ebenso mit einem hohen Risiko verbunden wie das in eine korrekte Erklärung von einem Absender ohne Nachweis der richtigen Urheberschaft.

Kapitel 2 Grundlagen der modernen Kryptographie

Nach der allgemeinen Einführung über theoretische und technische Grundlagen der Vernetzung und Datenübertragung im Internet und den strukturbedingten Heraus­forderungen bei computervermittelter Kommunikation über offene und unsichere Kanäle. über die die Nutzer keine vollständige Kontrolle haben. werden in diesem Kapitel die wichtigsten kryptographischen Prinzipien vorgestellt. mit denen die fun­damentalen Grundwerte der IT-Sicherheit für vertrauliche und verbindliche Inter­netkommunikation sichergestellt werden können. Die Darstellung krvptographischer Prinzipien soll als Einführung dienen. um die in der Folge erläuterten Konzepte verstehen zu können. Dabei werden die schlüsselbasierten symmetrischen und asym­metrischen Algorithmen. einschließlich der Problematiken der Schlüsselverteilung und Sicherheit. einzeln und in ihrer effizienten Anwendung als komplexere krvpto- graphische Verfahren betrachtet.

Das klassische Ziel der Kryptographie ist die Sicherstellung von Vertraulichkeit einer Kommunikationsbeziehung. Kryptographie lässt sieh mit mathematischen Grundbe­griffen als Modell abbilden und beschreiben. Die Gesamtheit aller dafür notwendigen Funktionen und Objekte wird zu einem „Kryptosystem“ zusammen gefasst.

Abbildung in dieser Leseprobe nicht enthalten

Kern eines modernen Kryptosystems ist die Chiffrier- und Dechiffrierfunktion. Krvp- tographisehe Verfahren lassen sieh grundlegend in zwei Gruppen unterteilen. die symmetrischen und die asymmetrischen. Deren wesentliche Unterschiede liegen un­ter pragmatischen Gesichtspunkten in

- ihrer Beziehung zwischen den beiden Schlüsseln e und d.
- ihrer Berechnungseffizienz und
- ihrer Sicherheitsklasse.

was großen Einfluss auf ihre Praktikabilität in offenen Kommunikationsinfrastruktu­ren hat. Die folgenden beiden Abschnitte widmen sich einer systematischen Einord­nung und geben einen kurzen Überblick über die grundlegenden Unterscheidungs­merkmale beider Ansätze.[44]

2.1 Symmetrische Kryptosysteme

Wenn in einem Kryptosystem der Chiffrierschlüssel e mit dem Dechiffrierschlüssel d übereinstimmt oder d ans e einfach berechenbar ist. wird es als symmetrisches 45 e und d 6 ein einziges Symbol s zu schreiben. Die Schematik eines symmetrischen Kryptosys- tems ist in Abbildung 2.1-I[45] [46] dargestellt. Mit grauem Hintergrund angedeutet sind geschützte Vorgänge oder Komponenten - so auch die Übermittlung des Schlüssels. weshalb diese auch als Secret-Key-Verfahren bezeichnet werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.1-1: Schematik eines symmetrischen Kryptosystems

Bei der Verwendung eines solchen Kryptosystems müssen sich die Kommunikati­onspartner auf das zu verwendende Verfahren einigen und den Schlüssel über einen sicheren Kanal austauschen. was als „Schlüsselverteilproblematik“ bekannt ist.[47] So­lange die verschlüsselten Inhalte vertraulich bleiben müssen. ist auch der Schlüssel geheim zu halten. Gelangt ein Dritter in den Besitz des Schlüssels und des Geheim­textes. kann dieser den Inhalt rekonstruieren.

Eine weitere Problematik ergibt sich aus der Notwendigkeit. dass sich je zwei Kom­munikationspartner auf einen gemeinsamen Schlüssel für ihre Kommunikationsbe­ziehung einigen sollten. Damit steigt die Anzahl der Schlüssel. die jeder Beteiligte verwalten muss. direkt zur Anzahl der Partner an. mit denen er vertraulich kommu­nizieren möchte. Das Problem ist als „Schlüsselexplosion“ bekannt.

[...]


[1] BGH-Urteil vom 24. Januar 2013 - Az. Ill ZR 98/12.

[2] Vgl. AG OF [o.A.J. Internet Facts 2014-12.

[3] Vgl. Knopp et al.. MMR 2008. 723-728.

[4] Vgl. Eckert. IT-Sichcrhcit. S. 96.

[5] Vgl. Kesdogan. Privacy im Internet. S. 101.

[6] Devide et Impera: vgl. Fischer/ Reusing/ Rödig. Open Internet Security. S. 12; Meinet/Sack.

WWW. S. 237.

[7] Vgl. Meine! Sack. WWW. S. 493 f.

[8] Vgl. Meinel/Sack. WWW. S. 201.

[9] Vgl. Meinel/Sack. WWW. S. 196. 205.

[10] Vgl. Meinel/Sack. WWW. S. 201.

[11] Vgl. Meine!/Sack. WWW. S. 205.

[12] Vgl. Lewinski. BRAK-Mitt 2004. 12-17. S. 13 f. m.w.X.

[13] Vgl. Heckmann/Seidl/Maisch. Adäquates Sicherheitsnivcau bei der elektronischen Kommunika­

tion. S. 90: Die Überwindung von nicht-trivialen Schutzvorrichtungen steht unter Strafe. vgl. KroschwaM/Wicker. CR 2012. 758-764. S. 760.

[14] Kesdogan. Privacy im Internet. S. 101.

[15] Vgl. Schätzung (196 Milliarden) nach Radicati Group. Ine. fo.A.J. Email Statistics Report. 2014­

2018: Abzüglich der Schätzung des Spam-Anteils (ca. 70 %) nach Kaspersky Lab fo.A.J. Spam Evolution 2013: Der Anteil an unerwünschten E-Mails liegt bei anderen Untersuchungen mit bis zu 90 % deutlich höher.

[16] Die ersten Spezifizierungen wurden 1982 beschrieben.

[17] Vgl. Mainel/Sack. WWW. S. 591.

[18] Vgl. Mainel/Sack. WWW. S. 588.

[19] Vgl. Meinel/Sack. WWW. S. 592. Fischer/Reusing/Rödig. C

[20] Vgl. Meinel/Sack. WWW. S. 593.

[21] Eine Überprüfung ist schon deshalb sinnvoll. um die SPAM-Problematik einzudämmen.

[22] Vgl. Eckert. IT-Sicherheit. S. 152; vgl. Meinel/Sack. WWW. S. 589

[23] Der SMTP-Umsdilag stellt soweit noch keinen Schutz gegen die Einsichtnahme Dritter dar.

[24] Vgl. Meine!/Sack. WWW. S. 589. 591.

[25] Vgl. Meinet/Sack. WWW. S. 597.

[26] Wenn zuvor eine Transportverschlüsselung mittels TLS (s. 4.3.1) ausgehandelt wird. beginnt der

Schutz bereits bei der Übermittlung der Autorisierungsdaten. Ohne Transportverschlüsselung ist von der Verwendung dieser Klartext-Autorisierungsverfahren abzuraten.

[27] Vgl. Schwenk. Sicherheit und Kryptographie im Internet. S. 80.

[28] Vgl. Schwenk. Sicherheit und Kryptographie im Internet. S. 80-82.

[29] Vgl. Beck. Computorvomiittolte Kommunikation im Internet. S. 8.

[30] Vgl. Meine!/Sack. WWW. S. 22.

[31] Ohne eine Transportverschlüssehmg mittels TLS (s. 4.3.1) ist die Übermittlung der Authentifi-

zierungsdaten im Klartext sehr bedenklich. vgl. Fn. 26.

[32] Vgl. Grimm. Digitale Kommunikation. S. 226.

[33] Auch vorgeblich reale Namen (-sbestandteile) sind kein verlässliches Kriterium für hinreichende

Identitätsbestimmung.

[34] Vgl. Knopp et al„ MMR 2008. 723-728.

[35] Vgl. Biagea. MMR-Aktuell 2010. 307088.

[36] Vgl. Beck. Computervermittelte Kommunikation im Internet. S. 231 f.. 149-165: Mit steigender Größe des Adressatenkreises sinkt die Kontrollierbarkeit der Geheimhaltung und die Gefahr der Offenbarung steigt stark an. Noch wichtiger als die Quantität der Geheinmisempfänger für die Geheimhaltung ist das Maß der Verschwiegenheit dieser. Die Eingrenzung und Auswahl der Empfänger bleibt eine Herausforderung. die durch infomiationstechnologische Maßnahmen nicht vollständig bewältigt werden kann.

[37] Ist lediglich die einseitige Übermittlung von Nachrichten mit vertraulichem Inhalt das Ziel.

kann dem Absender jedoch die Unterdrückung der Bekanntgabe seiner wahren Identität er­möglicht werden. sofern sich keine vertrauliche kommunikative Folgehandlung anschließen oder eine rechtlich verbindliche Wirkung für den Absender aus der Nachricht ergeben soll.

[38] Vgl.Eckert. IT-Sichorheit. S. 153

[39] Vgl. Anton/Spindler in: Spindler/Sciiuster. Recht der elektronischen Medien. Dritter Teil. § 130 BGB. Rn. 23.

[40] Vgl. Knopp et al„ MMR 2008. 723-728. S. 724. 726.

[41] Vgl. Heckmann. MMR 2006. 280-285.

[42] Roßnagel. NJW 2003. 1209 1214. S. 1210.

[43] Vgl. Roßnagel. NJW 2003. 1209 1214. S. 1210.

[44] Vgl. Kesdogan. Privacy im Internet. S. 11.

[45] Vgl. Kesdoyan. Privacy im Internet. S. 16.

[46] Vgl. Kesdoyan. Privacy im Internet. S. 17.

[47] Vgl. Kesdoyan. Privacy im Internet. S. 16 f.

Ende der Leseprobe aus 128 Seiten

Details

Titel
Rechtliche Rahmenbedingungen für vertrauliche und verbindliche Internetkommunikation und deren Umsetzung mit informationstechnologischen Verfahren
Hochschule
Universität Passau
Veranstaltung
IT-Sicherheit
Note
1,0
Autor
Jahr
2015
Seiten
128
Katalognummer
V305119
ISBN (eBook)
9783668032309
ISBN (Buch)
9783668032316
Dateigröße
7381 KB
Sprache
Deutsch
Schlagworte
rechtliche, rahmenbedingungen, internetkommunikation, umsetzung, verfahren
Arbeit zitieren
Christoph Becker (Autor), 2015, Rechtliche Rahmenbedingungen für vertrauliche und verbindliche Internetkommunikation und deren Umsetzung mit informationstechnologischen Verfahren, München, GRIN Verlag, https://www.grin.com/document/305119

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Rechtliche Rahmenbedingungen für vertrauliche und verbindliche Internetkommunikation und deren Umsetzung mit informationstechnologischen Verfahren


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden