Ich bin davon ausgegangen, daß der Spruch „eMails sind wie Postkarten!“ auch bis in die hinterste Ecke des Internets hinein bekannt ist. Ganz Internet? Nein! Ein von unbelehrbaren Professoren bevölkertes Institut hört nicht auf, der Datenkrake Futter zu liefern.
Wilhelm Brause wird vorgeworfen, Photos gemacht zu haben. Die Bilder geben Menschen wieder, die wenig bis gar nicht bekleidet sind. Soweit, so Wurst.
Das Problem ist hier aber das vergleichweise geringe Alter der abgebildeten Personen, die von einem anderen Kontinent der Erde stammen. Und weil weder Staatsanwaltschaft noch der Vorsitz der Jugendschutzkammer beim Landgericht wissen oder auch nur schätzen können, wie alt die Abgebildeten sind, beauftragt die Kammer einen Sachverständigen, den Herrn Prof. Dr. C., mit der Begutachtung der sichergestellten Bilder.
Dieser Sachständige guckt sich die Photos an, macht sich Gedanken, befragt ein paar vermeintlich kenntnisreiche Kaffeesatzleser, gießt das Ergebnis seiner Arbeit in ein mit über 80 Bildern illustriertes 50-seitiges Sachverständigengutachten, bastelt daraus ein ungeschütztes PDF-Dokument und schickt es ans Landgericht. Als attachment einer eMail:
Einmal vom Inhalt des Gutachtens abgesehen, der wohl auch eher etwas für die Tonne sein soll: Was denkt sich so ein Mensch eigentlich dabei, diesen hochsensiblen Datensatz von einer GMX-Adresse aus in die freie Wildbahn zu schicken. Oder denkt er gar nichts nicht?
Das Kommentieren überlasse ich dem sachkundigen Publikum …
__
Bild Klammerbeutel: © Hans Snoek / pixelio.de
Die GMX Email-Adresse suggeriert, dass der Herr schon im wohlverdienten Ruhestand ist. Dann sollte crh noch schnell den Anfangsbuchstaben des Namens löschen, denn da findet sich im Netz nur eine Person dieser Fachrichtung. Die Übersendung per Email dürfte auf richterlichen Wunsch geschehen sein (siehe Email „erbetenen PDF-Version“), oder?
Die Verwendung von „Univ. Prof.“ deutet auf Österreich. Die machen das wohl anders. Siehe Kottan.
„eMails sind wie Postkarten!“
Das ist doch eine mögliche Verteidigungsstrategie für den Auto Doc, oder? :)
Zu seiner (teilweisen, Prozentsatz mag jeder für sich selbst wählen) Entschuldigung: Der Vorsitzende scheint eine PDF-Version angefordert zu haben. Und selbst wenn der Prof. Verschlüsselung kennen und nutzen würde (ich bezweifle es stark), wüsste beim LG vermutlich keiner damit umzugehen…
Das mit den Postkarten ist eher relativ – die Zeiten, als Mails unverschlüsselt durchs Netz gingen, dürfte weitgehend vorbei sein. Mir bekannte Server (auch und gerade GMX) verschlüsseln die SMTP-Verbindung. Wenn jemand mitlesen könnte, dann also nur GMX – abgesehen von diversen Angriffsszenarien wie MitM-Attacks.
Das ist auch alles andere als perfekt (vor allem, weil unklar ist, was der GMX-Werbeausspielalgorithmus mit dieser Mail anfängt), aber lange nicht so dramatisch, wie es auf den ersten Blick scheint.
Auch der richterliche Wunsch darf nicht dazu führen die notwendige Sorgfalt ausser acht zu lassen…
Aber leider ist das mit den vertraulichen Informationen per Mail eine weit verbreitete Unsitte, dabei wäre es schon mit Bordmitteln so einfach: beim Erstellen des PDF ein Passwort zum Öffnen für das PDF setzen, am Besten „hohe Sicherheit“ in den Einstellungen wählen. Dann ist das Dokument erstmal sauber (AES) verschlüsselt. Den berechtigten Empfängern beim Gericht und den Parteien dann das PW persönlich per Telefon mitteilen (z.B. Rückrufbitte in die Email, Notfalls vielleicht per Fax, da ist aber der mögliche Empfängerkreis nicht mehr scharf umrissen). Dann kann man auch per GMX versenden, auch wenn das unprofessionell bleibt ….
Dann vermeidet man die kalte Dusche im Prozess :-)
Man sollte ihm keinen Vorwurf machen, dass er die Email nicht verschlüsselt hat.
Wenn sie den Vergleich der Postkarte bemühen, läge der Fehler beim Aufkleben der Bilder auf die beschriebene Seite der Postkarte. Nicht jeder hat Zugriff auf die Postkarte, sondern grundsätzlich erst mal “nur“ Mitarbeiter der Post. Daher verschlüsseln die meisten Menschen keine Emails, weil ja erst mal “nur“ die Mitarbeiter der Provider Zugriff hätten.
Trotzdem stimme ich zu, dass das so nicht besonders schlau ist. Es würde niemand die Bilder auf eine Postkarte kleben und offen versenden. Man würde zumindest einen Umschlag kaufen und dann Bilder und Karte darin verschließen.
So könnte man zumindest den Anhang der Email zippen und mit einem Passwort versehen.
Ich bezweifele, dass man beim LG dann nicht in der Lage ist das Archiv zu entpacken.
Was gibt es an gmx auszusetzen? Das ist doch wohl die Abkürzung für Gerichtsfähige MailboX.
@Südlurker, ja GMX und etliche andere große Anbieter verschlüsseln den SMTP Verkehr. Wen aber der Server des Landgerichtes die Anfrage von GMX nach einer verschlüsselten Verbindung mit „Kann man das essen?“ beantwortet, war es das mit der Verschlüsselung.
Orte, wo Leute, die das an sich nichts angeht, in Strafakten und Gutachten etc. Einsicht nehmen können:
– Polizei
– Staatsanwaltschaft
– Gericht
– Büro des Gutachters
– Büro des Strafverteidigers
– Büro des Nebenklägervertreters
uvm.
Risiko, dass das passiert, im Vergleich zum Risiko, dass jemand aus den täglich zwei Milliarden E-Mails allein in Deutschland die E-Mail die Gutachters herausfischt: 1 Million mal größer.
Anders als bei unleserlichem Gekritzel aus Postkarten können und werden Emails automatisch indiziert und ausgewertet. Jeden Tag. Milliarden davon. Unter anderem von jeder Menge befreundeter und unbefreundeter Freunde, die direkt am DE-CIX sitzen. Inklusiver TLS MitM Brücke.
@ Südlurker:
Ist ja schön, dass die GMX-Server gerne verschlüsselt arbeiten. Nur braucht’s da immer zwei für. Und wenn der Server des Gerichts nur Klartext kann, dann bekommen aller Router auf dem Weg dahin die POstkarte vor Augen gehalten.
Wie funktioniert die TLS MitM Brücke? Der Sender akzeptiert jedes Zertifikat?
@chris: wildcard zertifikate gibts immer noch und auch etliche die nicht genau prüfen. und für befreundete und unbefreundete freunde gilt das erst noch ausgeweitet.
@Chris, #13
ja, das ist Standard. Da geht es (nur) um Verschlüsselung, nicht Authentifizierung. Viele, gerade Kleine, Server sind z.B. mit selbst ausgestellten (’self-signed‘) Zertifikaten unterwegs.
AUTH macht man im SMTP-Bereich per DKIM – das schützt aber nicht vor MITM.
Und natürlich haben Dienste aller möglichen Länder trusted root-CAs, können für jeden Server ein ‚vertrauenswürdiges‘ Zertifikat für MITM on-the-fly generieren.
Wäre doch in der Befragung bestimmt interessant dann mal den § 184 I StGB ins Spiel zu bringen… Gutachter sind bestimmt schon wegen weniger entlassen wurden .
@crh:
Die Ermittlungsakte mit Bildern dürften Sie mir doch gar nicht überlassen, oder?
Ansonsten: seit die Bank die Rechnungen für unseren Hausbau in sechsstelliger Höhe klaglos über unverschlüsselte Mails entgegengenommen hat, habe ich den Glauben diesbezüglich eh verloren.
@Flo:
ich habe ja die leise Hoffnung, dass der Mailserver eines LG das beherrscht. Exerzieren wir das mal fürs LG Potsdam durch: Mailserver für …@lgp.brandenburg.de ist pmmx-hea-p01.brandenburg.de, betrieben vom DFN. Das Resultat sieht halbwegs brauchbar aus: https://de.ssl-tools.net/mailservers/pmmx-hea-p01.brandenburg.de
@Mark Schmitt:
der Katalog ist ja ziemlich lang, was daraus genau meinen Sie?
Hier mal eine aktuelle Bitte der Staatsanwaltschaft Berlin an das LKA um weitere Ermittlungen:
Auch hier werden persönliche Daten aus einem Ermittlungsverfahren an die interessierte Öffentlichkeit verraten. Der Hintergrund sind die fehlenden praktikablen Alternativen, um eine sichere Übertragung von Daten zu gewährleisten.
m.W. ist der landesinterne Emailversand in Berlin mit sensiblen Daten abgesegnet, weil der Datenverkehr durch das ITDZ über das BeLa ohne Übergabe in das Internet abgewickelt wird.
@luDa
Das ist so! Zumindest seit 2016 erfolgt der polizeiliche Mailversand grundsätzlich verschlüsselt zu anderen deutschen Polizeien als auch zur Justiz (und retour).
Muss CRH aber nicht wissen… ;-)
raddi
@CRH
Da gehen wir konform! Das geht so einfach nicht!
Wobei es in Berlin durchaus die Möglichkeit verschlüsselten Mailversands an und von externen Adressen gibt – wenn auch etwas umständlich.
Ich bezog mich auf LKA + StA. Da sehe ich eher keine Probleme.
raddi
[…] Kurz nach dem Aufwachen am 27.11.2017 um 5:56 Uhr schrieb er zu zu diesem Beitrag […]