Über den Gebrauch elektronischer Kommunikationsmittel
Marvin Gülker · 30.09.2018
Über das Verhältnis von E-Mails zu Chats zu Sicherheit.
Kategorien: Software
Der heutige Alltag ist geprägt von ständiger Erreichbarkeit. Spätestens seitdem mobiles Internet für jedermann erschwinglich geworden ist, gibt es eine Art sozialen Zwang, Kontaktanfragen jeglicher Art innerhalb kürzestmöglicher Zeit zu beantworten. Darunter leidet die Qualität der Konversation und es gibt Anlaß zu satirischen Überspitzungen dieses Gesellschaftsproblems. Es gibt allerdings keinen Grund, sich im privaten Umfeld diesem Druck zu beugen. Im Berufsleben gestaltet sich dies naturgemäß schwieriger, jedoch nehmen auch hier entgegengerichtete Bestrebungen zu. Dies ist insgesamt zu begrüßen, denn dadurch verbleibt dem Einzelnen mehr Zeit für sich und seine unmittelbare Umgebung, wovon nicht nur die Lebensqualität des Einzelnen, sondern letztlich auch die Qualität der von ihm verrichteten Arbeit profitiert.
Man kann diese Einstellung als romantische Verklärung von sich weisen, sollte aber akzeptieren, daß nicht jedermann von einer ständigen Erreichbarkeit gleichermaßen begeistert ist. Wenn aber vor dem Hintergrund von Sicherheitsproblemen in einzelnen E-Mail-Klienten allen Ernstes empfohlen wird, man möge alternativ Sofortnachrichtendienste nutzen, dann wird diese Lebensauffassung in Frage gestellt. Sicherheit hin oder her, Sofortnachrichtendienste sind keine Alternative zur E-Mail, weil sie ein anderes Kommunikationsprinzip verfolgen. Die E-Mail, die der deutsche Gesetzgeber korrekt als „elektronische Post“ bezeichnet11 Etwa in § 7 UWG. , ist ein asynchrones Medium, bei dem der Empfänger die Hoheit über den Antwortzeitpunkt besitzt. Bei Sofortnachrichtendiensten handelt es sich dagegen um ein synchrones Medium, bei dem der Absender dem Empfänger den Antwortzeitpunkt (sofort) aufnötigt. Seit dem Verlust von Verfügbarkeits-Statusinformationen bei den Sofortnachrichtendiensten22 Der populäre moderne XMPP-Client „Conversations“ bietet diese Funktion bewußt nicht an und stellt damit wohl nur die Spitze des Eisberges dar. gibt es bei diesen kaum noch eine Möglichkeit der effektiven Abwehr von — derzeit — unerwünschter Kommunikation.
Dem kann man nicht entgegenhalten, daß durch einfaches Verlegen einer Antwort auf später das Problem umgangen werden kann. Derartiges Verhalten ist von den technischen Protokollen nicht vorgesehen33 Siehe nur für XMPP RFC 6121, § 5.1: Erwartet wird „the exchange of multiple messages between two parties in relatively rapid succession within a relatively brief period of time.“ und stellt demzufolge einen Mißbrauch der Technik dar. Es bricht auch mit der sozialen Norm, daß Antworten auf Chat-Nachrichten kurzfristig zu erfolgen haben und verwirrt die Gesprächspartner: wer drei Tage später eine Antwort auf eine WhatsApp-Nachricht erhält, ist davon erstens überrascht und wird zweitens vermutlich den Kontext vergessen haben. Bei Gruppenchats wäre derartiges Verhalten dann vollends absurd: Tage, nachdem die anderen Chat-Teilnehmer die Diskussion abgeschlossen haben, noch zu antworten, ist schlicht verfehlt. Erschwerend hinzu kommt, daß Sofortnachrichtendienste wegen der unterschiedlichen Zielrichtung gar nicht über die Verwaltung verfügen, die längere, ernsthafte Diskussionen benötigen. Sofortnachrichten können weder in Ordner gefiltert, noch mit Markierungen versehen werden. Sie besitzen keinen Betreff, der sie zusammenfaßt (und wie sollte man eine einzeilige Nachricht auch zusammenfassen?) und eine an Themen orientierte Archivierung gestaltet sich schwierig. Überhaupt ist Archivierung bei Sofortnachrichten eigentlich systemfremd. XMPP etwa wurde erst kürzlich entsprechend erweitert44 XEP-0313 ist derzeit sogar noch als „Experimentell“ markiert. und mit einer gut sortierten Archivierung von E-Mails ist auch das nicht vergleichbar.
Sicher ließe sich mit der Darstellung der Unterschiede noch eine Weile fortfahren. So ist das von Sofortnachrichtendiensten verfolgte Prinzip der „Zurückweisbaren Authentisierung“ (deniable authentication)55 Genutzt von OMEMO für XMPP (linke Spalte, unter „Benefits“) ebenso wie vom traditionellen OTR für XMPP (dort Seite 2). für E-Mails schlicht ungeeignet: ich muß im Zweifel schließlich vor Gericht nachweisen können, daß der andere — und nur er — genau das — und nur das — geäußert hat. Die jedenfalls teilweise überzogene Angst vor dem spionierenden Staat hat in der Sofortnachrichtenszene den Blick für die profanen Belange der meisten Menschen in Form von Rechtssicherheit und Beweisbarkeit verstellt. Man sollte daher aufhören, Sofortnachrichtendienste als Meßlatte für E-Mail zu verwenden.
Ich will Sofortnachrichtendienste nicht per se verteufeln. Sie haben ihre Daseinsberechtigung und ihre Anwendungszwecke, aber diese sind nicht mit denen von E-Mail identisch, sondern wie dargelegt grundverschieden. Wenn man wie das Gesetz E-Mails als Substitut für die Post66 Siehe Fn. 1. und Chats als Substitut für das persönliche mündliche Gespräch77 Die Vertragsannahme per Chat ist Annahme unter Anwesenden gem. § 147 Abs. 1 Satz 2 BGB, Ellenberger in Palandt, 73. Aufl. 2014, § 147 Rz. 5. betrachtet, können beide Techniken konkurrenzlos nebeneinander stehen. Wer nicht nur an einem periphären Gespräch, sondern an einer bleibenden Konversation Interesse hat, kann und sollte daher auf E-Mails zurückgreifen. Umgekehrt sind alltägliche Bemerkungen ohne besondere Relevanz besser in einem Chat aufgehoben, in dem sie irgendwann verloren gehen (sollen). Wie auch sonst bestätigen Ausnahmen freilich die Regel; so sind Gruppenchats wohl geeignet, Gremientagungen abzubilden, wenn sie protokolliert werden88 Zur Zulässigkeit von Chats als virtuelle Mitgliederversammlung eines Vereins Ellenberger in Palandt (Fn. 7), § 32 Rz. 1 a. E m. w. N. . Letztlich wird aber auch hier nur das sonst mündliche Geschehen in einen Chat verlagert. Nicht anders als bei einer herkömmlichen Gremientagung auch wird hier aber die Notwendigkeit bestehen, die Diskussion durch entsprechende Beschlußvorlagen vorzubereiten. In dieser Vorbereitungsphase wird man wieder eher auf ein beständigeres Medium wie eine Mailing-Liste (also E-Mail) zurückgreifen.
All dies soll natürlich nicht bedeuten, daß man die technische
Sicherheit von E-Mails unbeachtet lassen soll. Die oben angesprochenen
Sicherheitslücken in E-Mail-Programmen sind kritisch und müssen behoben
werden. Darüber hinaus muß das Medium E-Mail auch ganz generell
weiterentwickelt werden. Ansätze, der ausufernden Nutzung von HTML in
E-Mails Herr zu werden99
Dazu gehört neben dem bekannten format=flowed
(RFC 3676) auch die
Idee, die im Inhalt von E-Mails zulässigen Elemente auf eine
Untermenge von HTML zu beschränken, vgl. Böck,
Efail:
HTML Mails have no Security Concept and are to blame.
, sind daher in jedem Falle begrüßenswert.
Auch die von Koch initiierten
Vorschläge
zum dezentralen Schlüsselabruf per HTTP verdienen Beifall. Langfristig
wird man allerdings um eine grundlegende Neugestaltung der E-Mail
zugrundeliegenden Protokolle nicht herumkommen. Hierfür erscheint die
Gründung eines Konsortiums angebracht, dem Entwickler der wichtigen
MTAs ebenso
angehören sollten wie Sicherheitsexperten und Mitarbeiter der großen
E-Mail-Anbieter. Die Stimmen der Nutzer könnten durch Einbindung einer
Organisation wie der EFF berücksichtigt
werden. Statt aneinander vorbei zu entwickeln1010
Siehe nur die Darkmail-Initiative,
die genau niemanden aus dem erwähnten Personenkreis umfaßt und
der schon allein deshalb nur geringe Chancen einzuräumen sind.
Auch wird man mit solch einem Namen kaum die breite Masse
erreichen können.
könnte so in einer
übergreifenden Anstrengung die Sicherheit von E-Mail auf ein zeitgemäßes
Niveau gehoben werden. Dabei darf und soll man sich auch von den
Fortschritten inspirieren lassen, die im Bereich der Sicherheit von
Sofortnachrichtendiensten gemacht wurden — solange diese Inspiration
nicht darin besteht, das asynchrone Medium E-Mail durch das völlig
anders ausgerichtete, synchrone Medium Sofortnachrichtendienst zu
ersetzen.
Fußnoten:
Der populäre moderne XMPP-Client „Conversations“ bietet diese Funktion bewußt nicht an und stellt damit wohl nur die Spitze des Eisberges dar.
Siehe nur für XMPP RFC 6121, § 5.1: Erwartet wird „the exchange of multiple messages between two parties in relatively rapid succession within a relatively brief period of time.“
Genutzt von OMEMO für XMPP (linke Spalte, unter „Benefits“) ebenso wie vom traditionellen OTR für XMPP (dort Seite 2).
Siehe Fn. 1.
Die Vertragsannahme per Chat ist Annahme unter Anwesenden gem. § 147 Abs. 1 Satz 2 BGB, Ellenberger in Palandt, 73. Aufl. 2014, § 147 Rz. 5.
Zur Zulässigkeit von Chats als virtuelle Mitgliederversammlung eines Vereins Ellenberger in Palandt (Fn. 7), § 32 Rz. 1 a. E m. w. N.
Dazu gehört neben dem bekannten format=flowed
(RFC 3676) auch die
Idee, die im Inhalt von E-Mails zulässigen Elemente auf eine
Untermenge von HTML zu beschränken, vgl. Böck,
Efail:
HTML Mails have no Security Concept and are to blame.
Siehe nur die Darkmail-Initiative, die genau niemanden aus dem erwähnten Personenkreis umfaßt und der schon allein deshalb nur geringe Chancen einzuräumen sind. Auch wird man mit solch einem Namen kaum die breite Masse erreichen können.