Schwerpunkt: Email-Sicherheit
Eine ganze Reihe meiner Beiträge befasst sich mit der Sicherheit von Email. Das hat zwei Gründe: zum einen betreibe ich selbst einen Emailserver, zum anderen ist die verbreitete Unsicherheit bei Email relativ gut nachvollziehbar, denn die Kommunikation findet nicht nur im Rechenzentrum hinter Firewalls statt, sondern zwischen Organisationen. Die Sicherheit der Empfangsseite kann von außen überprüft werden, für die Sendeseite braucht es die Mithilfe eines Nutzers, manchmal auch einfach ein Kontaktformular mit dem man das Senden auslösen kann. Mehr dazu in Emailsicherheit – der Test
Inzwischen habe ich einen Vortrag auf dem 14. Tag der IT-Sicherheit gehalten und zwei Artikel in der Zeitschrift Datenschutz und Datensicherheit (Springer Verlag) veröffentlicht. Die Artikel sind zusammen mit dem Editorial:
- Editorial von Dirk Fox:
Compliance and Complexity
- Sichere Kommunikation per E-Mail
- Zum Urteil des OLG Karlsruhe vom 27.07.2023 (19 U 83/22)
Die weiteren Beiträge im Überblick:
Dinosaurier des Datenschutzes: DATEV e.G. E-Rechnungsplattform
DATEVs E-Rechnungsplattform – entgegen der Werbung nicht sicherer als Email. Außerdem überschreitet DATEV die Grenze zum Verantwortlichen, aber das Bayerische Landesamt für Datenschutzaufsicht will das gar nicht erst untersuchen...Veröffentlicht am 25.05.2025.
Sichere Kommunikation per E-Mail
E-Mail ist über vierzig Jahre alt und wird immer noch gerne mit einer Postkarte statt einem Brief verglichen. Aber stimmt das auch noch? Der Beitrag gibt einen Überblick über die Standards und den Stand der Technik von E-Mail.Veröffentlicht in der Datenschutz und Datensicherheit 11/2024.
Veröffentlicht am 24.11.2024.
Zum Urteil des OLG Karlsruhe vom 27.07.2023 (19 U 83/22)
Am 27.07.2023 hat das OLG Karlsruhe ein Urteil des LG Mosbach vom 18.05.2022 aufgehoben, in dem es um die Bezahlung einer gefälschten Rechnung ging. Die technischen Hintergründe des offenbar gezielten Angriffs auf das E-Mail-Postfach des Verkäufers spielten bei der Beurteilung eine wichtige Rolle – wurden allerdings auch vom OLG Karlsruhe nicht gänzlich aufgeklärt.Veröffentlicht in der Datenschutz und Datensicherheit 11/2024.
Veröffentlicht am 24.11.2024.
Dinosaurier des Datenschutzes: Bundesagentur für Arbeit
Seit Inkrafttreten der DSGVO ärgere ich mich immer wieder über die eine oder andere Datenschutzaufsicht und über Verantwortliche, die den Datenschutz nicht ernst nehmen. Es wird Zeit, dafür einen Negativpreis, den Dinosaurier des Datenschutzes, zu kreieren und die krudesten Verhaltensweisen hervorzuheben. Den Anfang macht die Bundesagentur für Arbeit: Weder obligatorische noch qualifizierte Transportverschlüsselung, noch eine korrekte Auskunft. Über ersteres bin ich bei meinen Analysen von öffentlichen Einrichtungen gestolpert ...Veröffentlicht am 26.05.2024.
Sichere Kommunikation bei Email
Ich habe ein Video zur sicheren Kommunikation bei Email produziert. Natürlich wird der eine oder andere sagen, alles bekannt. Bei regelmäßigen Lesern hier vermutlich einige, aber wenn ich so die Reaktionen in meinen Kursen sehe, leider nicht die Mehrheit.Veröffentlicht am 09.11.2023.
Emailsicherheit und die Aufsichten
Einige meiner Leser werden natürlich denken, schon wieder Email. Stimmt. Ich werde in diesem Artikel auch so wenig wie möglich aus den vorhergehenden Artikeln wiederholen sondern aufzeigen, wie wenig sich seit Veröffentlichung der Orientierungshilfe geändert hat und woran ich das Scheitern sehe. An Email kann man das Sicherheitsbewusstsein der Nation oder Verwaltung und die Trägheit der Aufsicht (leider) sehr gut ablesen. Dass die Aufsicht über die Schonfrist von Mai 2016 bis Mai 2018 hinaus und drei Jahre nach Veröffentlichung der ersten Orientierungshilfe diese selbst nicht umsetzt, ist ein Verstoß gegen Artikel 32 DSGVO, dass sie bei anderen Verantwortlichen die Datenschutzgrundverordnung nicht durchsetzt, ist in meinen Augen Rechtsbeugung, denn Artikel 57 Abs. 1 lit. a erklärt mit die Anwendung dieser Verordnung überwachen und durchzusetzen das eindeutig zur Aufgabe der Aufsicht, und Artikel 58 liefert auch entsprechende Möglichkeiten dazu.Veröffentlicht am 28.07.2023.
Vergleich RFC 7672 vs. PGP / S/MIME
Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben bisher ihre Gründe für die Verwendung von PGP oder S/MIME veröffentlicht. Also will ich meine eigenen Erkenntnisse etwas übersichtlicher und durchaus plakativer veröffentlichen. Und auch... mir ist bewusst, dass andere wie Digitalcourage (Open)PGP empfehlen. Aber wir sollten stattdessen eher die Aufsichten auffordern, die Einhaltung des Fernmeldegeheimnisses von Telekommunikationsdiensten einzufordern – und da macht RFC 7672 mehr Sinn als PGP oder S/MIME.Veröffentlicht am 25.05.2022, zuletzt geändert am 08.11.2023.
Aufsicht – ohne Orientierung?
Nach Artikel 51 (1) DSGVO soll die Aufsicht unabhängig sein, nach Artikel 57 (1) a) soll sie "die Anwendung dieser Verordnung überwachen und durchsetzen". Leider Fehlanzeige. Auch wenn das BfDI meine IFG-Anfrage immer noch nicht abgearbeitet hat, liegen mir inwischen aufgrund einer Auskunftsanfrage Dokumente vor, die meiner Meinung nach das Versagen der Aufsicht dokumentieren. Schon allein dass diese Dokumente nicht veröffentlicht wurden, mir aber dennoch ungeschwärzt geschickt wurden, verstößt gegen Artikel 15 (4). Was ich sonst herauslesen kann, verstößt nicht nur gegen die genannten Artikel der DSGVO sondern auch gegen das Grundgesetz...Aktualisierung 10.04.2022: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt Verschlüsselung – nur will er sie auch durchsetzen?
Veröffentlicht am 28.03.2022, zuletzt geändert am 10.04.2022.
RFC 7672 mit Mailcow / Postfix
Was können Sie tun, um bei der Sicherheit von Email besser zu werden? Implementieren Sie den RFC 7672. Zumindest was ich denke, die Bundesnetzagentur hat ja noch keine Erwartung veröffentlicht...Veröffentlicht am 28.02.2022, Reaktionen 06.02.2025
Emailsicherheit – der Test
Jetzt schreibe ich seit Monaten immer mal wieder über Emailsicherheit und Verschlüsselung – aber wie soll ich als Otto Normalverbraucher herausfinden, was mein Anbieter macht? Ich biete einen Test an...Aktualisierung 29.06.2022: Auf Wunsch von Lesern jetzt mit Beschreibung wie der Test funktionert. Aktualisierung 08.03.2022: Informationen zum BSI IT-Sicherheitskennzeichen und der TR03108-1 ergänzt. Außerdem werden kontinuierlich Testergebnisse ergänzt. Aktualisierung 28.06.2023: Der Test der Empfangsseite wurde überarbeitet und das Ergebnis wird jetzt tabellarisch dargestellt.
Veröffentlicht am 04.02.2022, zuletzt geändert am 28.06.2023, Reaktionen 24.12.2024
Emailsicherheit bei Anwälten
Rechtsanwälte nehmen sich in ihrer Berufsordnung ein Sonderrecht heraus – unverschlüsselte Kommunikation mit Einwilligung des Mandanten. Das ist nach Ansicht der Datenschutzkonferenz nicht erlaubt oder allenfalls auf ausdrücklichen aktiven Wunsch des Kunden, und der wird selten vorliegen. Da sollten die Anwälte besser werden...Veröffentlicht am 04.02.2022.
Emailsicherheit bei öffentlichen Einrichtungen
Vor einigen Monaten habe ich schon meine Erkenntnisse zur Emailverschlüsselung veröffentlicht. Das BfDI überlegt anscheinend immer noch, ob man die eigenen Überlegungen veröffentlicht oder vielleicht lieber gleich die Orientierungshilfe überarbeitet. Das BSI hat anscheinend gar kein Interesse daran, seine widersprüchlichen Empfehlungen zu überdenken. Um mal ein Gefühl dafür zu bekommen wie das "öffentliche Deutschland" mit Emailverschlüsselung umgeht, habe ich einen Test gestartet...Veröffentlicht am 18.01.2022, zuletzt geändert am 08.04.2022.
Ist Artikel 32 DSGVO dispositiv?
Ich bin dieses Jahr mehrfach darüber gestolpert, dass ein Verantwortlicher meine Zustimmung dazu wollte, Informationen unverschlüsselt per Email zu verschicken – entsprechende Beschwerden bei der jeweils zuständigen Aufsicht laufen noch. Letztendlich habe ich den Eindruck, da steckt ein Muster dahinter, und dem will ich im folgenden nachgehen...Aktualisierung 26.11.2021: sehr erfreulich, die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.
Veröffentlicht am 23.11.2021, zuletzt geändert am 27.11.2021.
Email-Verschlüsselung
Die Datenschutzkonferenz hat im Juni 2021 eine neue Orientierungshilfe zur Emailverschlüsselung veröffentlicht. Auch das BSI hat eine Richtline zu sicherer Email – nur werfen leider beide Fragen auf...Veröffentlicht am 31.07.2021, zuletzt geändert am 26.09.2021.
Zuletzt geändert am 31.05.2025.
© 2025 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.