Wird Ende-zu-Ende-Verschlüsselung (E2EE) zum Standard bei E-Mails?

Informationen zum Schutz von elektronischen Rechnungen

<h5 data-end="389" data-start="333">Ein Beitrag zum IT Security Talk mit Dr. Thomas Lapp</h5>

In einer zunehmend digitalisierten Geschäftswelt sind E-Mails weiterhin das Rückgrat der geschäftlichen Kommunikation – und ein beliebtes Ziel für Cyberkriminelle. Der jüngste Vortrag von Dr. Thomas Lapp im Rahmen des IT Security Talks der NIFIS e.V. beleuchtete eindrücklich, warum die sichere Übertragung von E-Mails längst nicht mehr nur ein „IT-Thema“ ist, sondern ein zentrales juristisches und wirtschaftliches Risiko darstellt.

Aktueller Fall: Rechnung, gefälscht – Geld, weg

Im Mittelpunkt des Vortrags stand ein realer Fall: Eine Käuferin erhält nach einem Autokauf eine E-Mail mit Rechnung. Zwei Minuten später folgt eine vermeintlich identische E-Mail – mit geänderter Kontoverbindung. Der Absender: scheinbar dieselbe Adresse. Das Geld geht verloren. Die Käuferin will nicht doppelt zahlen – die Verkäuferin hat das Geld nie erhalten. Ein typisches Beispiel für ein sogenanntes „Man-in-the-Middle“-Szenario.

Das Problem: Fehlende Sicherheit auf beiden Seiten

Sowohl bei der Verkäuferin als auch bei der Käuferin zeigten sich massive Sicherheitslücken:

• Kein Einsatz von Zwei-Faktor-Authentifizierung

• Mangelhafte Passworthygiene

• Keine systematische Überprüfung verdächtiger E-Mails

• Kein Einsatz von Ende-zu-Ende-Verschlüsselung (E2EE)

Obwohl beide Parteien Antivirensoftware und Firewalls nutzen, reicht das längst nicht aus, um Angriffe auf die E-Mail-Kommunikation zuverlässig abzuwehren.

E2EE – Der technische Standard, der keiner ist und andere Zwecke hat

Dr. Lapp machte deutlich: Die meisten Unternehmen verlassen sich auf Transportverschlüsselung (TLS), die nur verhindert, dass E-Mails während der Übertragung abgefangen werden. Doch das wird bislang für die normale Kommunikation als vollkommen ausreichend angesehen. Eine Entscheidung des Verwaltungsgericht Mainz hat sogar für die Kommunikation von Berufsgeheimnisträgern wie Rechtsanwälten Tele es als ausreichend angesehen. E2EE – bei der nur Sender und Empfänger den Inhalt im Klartext sehen können – ist bisher die Ausnahme, auch wenn dadurch höhere Sicherheit gewährleistet wird.

Warum? Die Implementierung von E2EE ist technisch aufwändig, erfordert Beratung und spezielle Software.

Juristische Relevanz: § 14 Abs. 3 UStG und das OLG Schleswig

Eine weitere Gerichtsentscheidung gilt es zu beachten. In einem Urteil des Schleswig-Holsteinischen Oberlandesgerichts wurde ein grundlegendes Missverständnis zur Authentizität und Integrität elektronischer Rechnungen deutlich. Das Gericht übersieht, dass in § 14 Abs. 3 UStG Authentizität und Integrität für elektronische Rechnungen gefordert werden. Die frühere Anforderung, elektronische Rechnungen mit qualifizierter elektronischer Signatur zu versehen, ist allerdings im Zuge des Bürokratieabbaus und aus der unberechtigten Sorge, dass qeS zu aufwendig sei, gestrichen worden. 

Das Schleswig-Holsteinische Oberlandesgericht verkennt zudem Aufgaben und Wirkungsweise von E2EE. Aufgabe von Verschlüsselung ist es, Vertraulichkeit zu wahren und den Zugriff von unbefugten Personen zu unterbinden. Dass damit auch die Manipulation von Rechnungen erschwert wird, ist nur ein Nebeneffekt. Besonders wichtig ist, dass auch beim Einsatz von E2EE Manipulationen möglich sind. Die Nachricht kann nur durch den Empfänger entschlüsselt und lesbar gemacht werden. Man kann allerdings nicht ableiten, wer das andere Ende ist, wer also die Nachricht abgesendet hat.

Authentizität und Integrität von Nachrichten, auch von elektronischen Rechnungen, können nur durch fortgeschrittene oder qualifizierte elektronische Signaturen gewährleistet werden.

EU DIW -> Authentizität und Integrität einfach gemacht

<article><article>

Die eIDAS VO ist gerade reformiert worden und hat dabei erhebliche Änderungen erfahren. Nunmehr ist die Fernsignatur nicht mehr nur allgemein in den Erwägungsgründen genannt, sondern in der eIDAS selbst geregelt. Man muss nicht mehr erst eine Signaturkarte, ein Lesegerät und eine Software anschaffen, um qualifiziert elektronisch signieren zu können. Dieser Anfangsinvestition bei unklarem Nutzen hat viele Menschen abgeschreckt. Jetzt kann man mit dem NPA ein Konto bei einem Vertrauensdiensteanbieter anlegen und direkt mit elektronischen Fernsignaturen aus dem Rechenzentrum beginnen, die pro Signatur bezahlt werden müssen. Die Hemmschwelle ist gering, die Einrichtung geht schnell und für wenige Signaturen sind die Kosten überschaubar.

</article></article>

Rechnung mit qeS und alle Probleme sind gelöst?

<article>

Leider hätte eine qeS in den Fällen des OLG Karlsruhe und des Schleswig-Holsteinischen OLG möglicherweise auch nicht weitergeholfen. Wenn der Rechnungsempfänger nicht merkt, dass er nun "Sie" statt per "Du" angesprochen wird, dass unverständliche Sätze im Text sind, dass ein zuvor auf Rechnungen vorhandenes Siegel fehlt, dass vorgeschriebene unternehmensbezogene Angaben (Geschäftsführer, Steuernummer etc.) fehlen, hätte er möchte Weise trotz fehlender qeS auf die gefälschte Rechnung bezahlt.

</article>

Ganzheitliche Lösung – Sensibilisierung, Information, Schulung

<article><h4 data-end="2831" data-start="2420">Was würde tatsächlich helfen?</h4><article>

Unternehmen müssen mit ihren Kunden klare Vereinbarung treffen und insbesondere Regeln, dass nur qualifiziert elektronisch signierter Rechnungen gültig sind und Basis von Zahlung sein können. Diese Vorgabe darf aber nicht nur in AGB versteckt sein, sondern muss regelmäßig mitgeteilt werden. Kunden müssen im Hinblick auf IT-Sicherheit und die Notwendigkeit von Maßnahmen sensibilisiert werden. Kunden müssen darauf hingewiesen werden, dass nur qeS die Authentizität und Integrität von Nachrichten und elektronischen Rechnungen gewährleisten kann. Die züchtigen Mitarbeiter müssen geschult werden, qeS zu erkennen und zu prüfen (validieren). Gegebenenfalls können auch Validierungsdienste in Anspruch genommen werden, die nach eIDAS VO vorgehen.

</article></article>

---