Teure Falle E-Mail?
Mit Sylvester Tremmel, Holger Bleich und Joerg Heidrich
1 Stunde 13 Minuten
Podcast
Podcaster
Beschreibung
vor 9 Monaten
Diesmal werfen Holger und Joerg gemeinsam mit c't-Redakteur
Sylvester Tremmel einen kritischen Blick auf ein umstrittenes
Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil
verunsichert derzeit Unternehmen, die Rechnungen per E-Mail
versenden. Konkret ging es um eine Rechnung über knapp 15.000 Euro,
die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail
geschickt hatte. Angeblich unbemerkt wurde diese Rechnung
manipuliert, sodass eine falsche Kontonummer zu sehen war. Der
Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld
war weg. Das Gericht gab überraschend dem Kunden recht und
entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende
verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den
entstandenen Schaden und habe keinen Anspruch Zahlung der Rechnung.
Im Podcast zeigen sich die Experten fassungslos und üben deutliche
Kritik am Urteil. Sylvester ist sich sicher, dass das Gericht
technische Details offenbar nicht richtig verstanden hat: Es
verwechsle Verschlüsselung mit Signatur. Während eine
Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem
Zugriff schützt, stellt eine digitale Signatur sicher, dass die
Nachricht unterwegs nicht verändert wird. Sylvester stellt klar:
Verschlüsselung allein hätte den Betrug nicht zwingend verhindert,
eine Signatur dagegen eher. Zudem funktioniert
Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und
Empfänger – kooperieren und entsprechende Schlüssel austauschen.
Auch Joerg hält das Urteil für problematisch. Das Gericht habe die
DSGVO falsch angewendet, indem es den wirtschaftlichen Schaden mit
der datenschutzrechtlichen Schutzbedürftigkeit personenbezogener
Daten vermischte. Die Höhe einer Rechnung könne nicht automatisch
bedeuten, dass personenbezogene Daten besonders schützenswert seien
und deshalb zwingend Ende-zu-Ende verschlüsselt werden müssten. Im
Podcast weisen die Experten darauf hin, dass andere Gerichte in
vergleichbaren Fällen zu gegenteiligen Ergebnissen kommen. So
entschied etwa das Landgericht Rostock, dass Unternehmen nicht
automatisch für Manipulationen haften, wenn beide Seiten sich auf
E-Mail als Kommunikationsweg geeinigt haben. Auch das
Oberverwaltungsgericht Münster betonte kürzlich, dass eine einfache
Transportverschlüsselung im Normalfall ausreichend sei. Am Ende
gibt Sylvester praktische Empfehlungen: Unternehmen sollten
zumindest Transportverschlüsselung nutzen und idealerweise digitale
Signaturen einsetzen, um Manipulationen von E-Mails zu verhindern.
Komplette Ende-zu-Ende-Verschlüsselung sei wünschenswert, aber in
der Praxis oft schwierig umzusetzen. Vor allem aber solle man stets
aufmerksam bleiben und bei überraschend geänderten Kontodaten
lieber einmal zu viel als zu wenig nachfragen.
Sylvester Tremmel einen kritischen Blick auf ein umstrittenes
Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil
verunsichert derzeit Unternehmen, die Rechnungen per E-Mail
versenden. Konkret ging es um eine Rechnung über knapp 15.000 Euro,
die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail
geschickt hatte. Angeblich unbemerkt wurde diese Rechnung
manipuliert, sodass eine falsche Kontonummer zu sehen war. Der
Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld
war weg. Das Gericht gab überraschend dem Kunden recht und
entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende
verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den
entstandenen Schaden und habe keinen Anspruch Zahlung der Rechnung.
Im Podcast zeigen sich die Experten fassungslos und üben deutliche
Kritik am Urteil. Sylvester ist sich sicher, dass das Gericht
technische Details offenbar nicht richtig verstanden hat: Es
verwechsle Verschlüsselung mit Signatur. Während eine
Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem
Zugriff schützt, stellt eine digitale Signatur sicher, dass die
Nachricht unterwegs nicht verändert wird. Sylvester stellt klar:
Verschlüsselung allein hätte den Betrug nicht zwingend verhindert,
eine Signatur dagegen eher. Zudem funktioniert
Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und
Empfänger – kooperieren und entsprechende Schlüssel austauschen.
Auch Joerg hält das Urteil für problematisch. Das Gericht habe die
DSGVO falsch angewendet, indem es den wirtschaftlichen Schaden mit
der datenschutzrechtlichen Schutzbedürftigkeit personenbezogener
Daten vermischte. Die Höhe einer Rechnung könne nicht automatisch
bedeuten, dass personenbezogene Daten besonders schützenswert seien
und deshalb zwingend Ende-zu-Ende verschlüsselt werden müssten. Im
Podcast weisen die Experten darauf hin, dass andere Gerichte in
vergleichbaren Fällen zu gegenteiligen Ergebnissen kommen. So
entschied etwa das Landgericht Rostock, dass Unternehmen nicht
automatisch für Manipulationen haften, wenn beide Seiten sich auf
E-Mail als Kommunikationsweg geeinigt haben. Auch das
Oberverwaltungsgericht Münster betonte kürzlich, dass eine einfache
Transportverschlüsselung im Normalfall ausreichend sei. Am Ende
gibt Sylvester praktische Empfehlungen: Unternehmen sollten
zumindest Transportverschlüsselung nutzen und idealerweise digitale
Signaturen einsetzen, um Manipulationen von E-Mails zu verhindern.
Komplette Ende-zu-Ende-Verschlüsselung sei wünschenswert, aber in
der Praxis oft schwierig umzusetzen. Vor allem aber solle man stets
aufmerksam bleiben und bei überraschend geänderten Kontodaten
lieber einmal zu viel als zu wenig nachfragen.
Weitere Episoden
1 Stunde 8 Minuten
vor 1 Woche
1 Stunde 9 Minuten
vor 3 Wochen
1 Stunde 7 Minuten
vor 1 Monat
1 Stunde 14 Minuten
vor 1 Monat
1 Stunde 10 Minuten
vor 2 Monaten
In Podcasts werben
Kommentare (0)