Re: Mail Protokollierung

To: Ulf Volmer <u.volmer@u-v.de>, debian-user-german@lists.debian.org
Subject: Re: Mail Protokollierung
From: Matthias Houdek <linux@houdek.de>
Date: Sun, 5 Sep 2004 20:53:19 +0200
Message-id: <[🔎] 200409052053.19395.linux@houdek.de>
In-reply-to: <[🔎] 20040905165051.GC12443@u-v.de>
References: <[🔎] 556240567@web.de> <[🔎] 200409051726.39287.linux@houdek.de> <[🔎] 20040905165051.GC12443@u-v.de>

Am Sonntag 05 September 2004 18:50 schrieb Ulf Volmer:
> On Sun, Sep 05, 2004 at 05:26:39PM +0200, Matthias Houdek wrote:
> > Am Sonntag 05 September 2004 16:19 schrieb Ulf Volmer:
>
> [ §202 StGB ]
>
> > > Eine solche Sicherung ist bereits, daß nur root auf fremde emails
> > > zugreifen kann.
> > > Die emails sind _nur_ für den Empfänger bestimmt und besonders
> > > gesichert.
> >
> > Einspruch:
> > Eine Mail, die nicht verschlüsselt ist, kann nicht als gesichert
> > gegen fremden Zugriff angesehen werden, weil:
> > a) Wo steht, dass nur root Zugriff auf /var/mail haben darf?
>
> ulf@xerxes:~$ ls -l /var/spool/mail/ulf
> -rw-rw----    1 ulf   mail   3202706  5. Sep 18:21 /var/spool/mail/ulf

Ah, ja. Also dürfen auch Mitglieder der Gruppe Mail hier lesen (wie auch 
immer er da hinein gekommen ist). Außerdem ist das eine willkürliche 
Festlegung auf deinem System. Wer sagt, dass es auf allen anderen 
Systemen auch so eingerichtet ist - und du hast keinerlei Kontrolle über 
die Sicherheitsrestriktionen auf fremden Systemen.

> > Und außerdem  gibt es nicht nur Linux/Unix-Systeme.
>
> Ich bin offen für Hinweise auf Systeme (bitte kein win9x), bei denen
> email world-readable sind.

Auf allen, auf denen es erlaubt wird. Z.B. kann ich auf einem 
Novell-Server einen Mail-Ordner anlegen und allen Usern dort Leserechte 
geben. Es wird zwar jeder User nur auf sein persönliches 
Mail-Unterverzeichnis gemapped, aber es bedarf keiner kriminellen 
Energie, direkt in der Netzwerkeumgebung nach freigegebenen Ordnern und 
Volumes zu schauen.

Außerdem gibt es durchaus noch W95/98-Systeme in vielen kleinen Firmen.

> > b) Eine Mail kann wie ein Brief auch versehentlich falsch versand
> > werden (Fipptehler in der Adresse z.B.).
>
> Es geht _nicht_ um versehenliches Lesen, es geht darum daß ein
> Unbefugter bewußt private emails/Dateien liest.

Wenn ich einen nicht an mich adressierten Brief öffne, ist das zunächst 
erst mal kein Versehen mehr, wenn ich ihn dann lese. Bei einer Mail ist 
das anders, da sehe ich den Inhalt sofort (wie bei einer Postkarte).

Und Nein, befugt ist eindeutig der Empfänger der Nachricht, alle anderen 
sind erst einmal unbefugt.
Da ergibt sich übrigens ein nächstes Problem im Zusammenhang mit 
Firmen-Mails: Wenn mir als Support-Adresse z.B. ute.mayer@firma-XYZ.com 
mitgeteilt wird, so schreibe ich zwar an Ute Mayer, aber an sie nur als 
Vertreterin dieser Firma. Letzlich ist es mir egal, wer dort meine 
Anfrage beantwortet (Frau Mayer könnte ja im Urlaub sein). Wenn ich 
wollte, dass eine Mail nur für sie persönlich ist, so kann ich das auf 
einem Brief entsprechend angeben. Den darf dann niemand anderes öffnen. 
Bei einer Mail geht das nicht - außer, ich habe einen persönlichen 
Public-Key von ihr, womit wir bei geschützten Mails wieder bei der 
Verschlüsselung wären.

Der Umstand, dass ein seit vielen Jahren existierender, allgemeingültiger 
und auch anerkannt sicherer Mechanismus nur sehr selten genutzt wird kann 
doch nicht bedeuten, dass wir jetzt die Gesetze dahingehend verbiegen, 
dass ein Missachten elementarster Sicherungsmechanismen auch noch 
sanktioniert und sogar gefördert wird.

> Wer befugt ist, entscheidet in aller Regel (bei uns) ein Richter.

Im Streitfall: Ja. Aber auch der wird sich nach den Fakten richten, und da 
ist der Empfänger befugt und kein anderer.

Es müssen aber 2 (zwei!) Bedingungen erfüllt sein, um § 202(+a) StGB zu 
erfüllen: Man muss ein Unbefugter sein _und_ es muss sich um ein 
verschlossenes Schriftstück bzw. _besonders_ [1] gesicherte Daten 
handeln., zu deren Inhalt man sich Zugang verschafft.

> > Einen Brief kann ist dann nicht lesen
> > (es steht ja nicht mein(e) Name/Adresse drauf), da er verschlossen
> > ist. Würde ich ihn dennoch öffnen, wäre das prinzipiell strafbar.
> > Eine Mail kann ich dann problemlos lesen (es sei denn, sie ist
> > verschlüsselt).
>
> Fangfrage: Darf der Briefträger deine Briefe lesen, wenn du vergessen
> hast, sie zuzukleben?

Wenn er nachweisen könnte, dass ich es vergessen hätte, würde er nach §202 
straffrei ausgehen. Allerdings gibt es da noch weitere Rechtsnormen, die 
es ihm verbieten (als Mitarbeiter eines entsprechenden Dienstleisters). 
Aber mein Nachbar, der während meines Urlaubs meinen Briefkasten leert, 
dürfte es dem Gesetz nach, wenn ich so einen unverschlossenen Brief 
erhalte.

[1] Das nicht zugewiesene Leserecht auf eine Datei, die eine Mail enthält, 
ist zweifelsfrei eine Sicherung der Daten vor unberechtigtem Zugriff, 
aber ganz bestimmt noch keine _besondere_ Sicherung.

BTW: Die Gesetze sind sehr eindeutig, leider fehlt es vielen Richtern an 
der Sachkompetenz, die technischen Hintergründe entsprechend zu bewerten
(sie sind halt Juristen und keine IT-Spezialisten). Daher kursieren auch 
sehr viele gegenteilige Urteile zu diesen Themen durch die Fachliteratur, 
so dass sicher jeder seine Auffassung durch entsprechende Richtersprüche 
unterlegen kann. (Oups, Blocksatz ;-)

-- 
Gruß
		MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

Follow-Ups:
- Re: Mail Protokollierung
  - From: Ulf Volmer <u.volmer@u-v.de>

References:
- Mail Protokollierung
  - From: "Andreas Kuchenbuch" <akuchenbuch@ib-kuchenbuch.de>
- Re: Mail Protokollierung
  - From: Matthias Houdek <linux@houdek.de>
- Re: Mail Protokollierung
  - From: Ulf Volmer <u.volmer@u-v.de>

Prev by Date: Re: Mail Protokollierung
Next by Date: Re: XMMS stürzt alle 30 Min ab
Previous by thread: Re: Mail Protokollierung
Next by thread: Re: Mail Protokollierung
Index(es):
- Date
- Thread