PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zur Aktuellen Rechtslage



marerher
15.09.2010, 13:24
Hallo,

Ich bin in einem Unternehmen für die IT tätig und somit auch für die Sicherheit des Netzwerkes.
Wir betreiben einen Exchange-Server und hatten bis vor kurzem auch ein Spam-Filter aktiv.
Nun musste ich die Filtersoftware ausschalten, da man hier der Ansicht ist, dass E-Mail auf jeden Fall am Empfänger ausgeliefert muss und der Empfänger entscheiden muss ob es Spam ist oder nicht.
Der einzige Schutz der noch aktiv ist, ist der Virenschutz.
Da eine Email mit einem Telefonat gleichzusetzten ist, darf eine Einsicht bei Eingang der Email nicht erfolgen und muss dem internen Empfänger zugestellt werden
Man Beruft sich auf ein Beschluss des Oberlandesgerichts Karlsruhe (Strafbarkeit des Ausfilterns von E-Mail 1 Ws 152/04)
Da ich nichts weiter im Internet gefunden habe wollte ich nun einmal fragen wie es denn nun aussieht!

Darf eine Email vor der Auslieferung an den Empfänger auf SPAM geprüft werden oder obliegt das Empfänger?
Laut dem, was ich hier lesen konnte, liegt die Endscheidung beim „Adressaten“. Wer ist nun der Adressat? Der endgültige Empfänger oder die Domain des Unternehmens?.

Wenn eine Email wie ein Telefonat behandelt wird, warum darf ich vorab dann ein Virentest durchführen? Da würde ich ja auch Einsicht und eine Bewertung der Email vornehmen und somit gegen das TKG oder TMG verstoßen!

Also Grundsätzlich: Darf man vorher Filtern oder nicht
Bitte um Infos. Wenn es geht mit Gesetzestext usw.


Gruß
Martin

Wuschel_MUC
15.09.2010, 13:39
...da man hier der Ansicht ist, dass E-Mail auf jeden Fall am Empfänger ausgeliefert muss und der Empfänger entscheiden muss ob es Spam ist oder nicht.
Das hört sich nach einem Besuch beim Rechtsanwalt an. Ich bin keiner, daher kann/darf ich nur allgemein antworten.
Das Briefgeheimnis hat Verfassungsrang, also dürft ihr nicht "einfach so" Spam-Mails wegfiltern.

Allerdings hat inzwischen wohl jeder Provider einen serverseitigen Spamfilter, und so was könnt ihr auch einführen. Der Endnutzer muss nur nachweisbar damit einverstanden sein, sprich: er darf den Spamfilter ein- bzw. ausschalten und darf auch entscheiden, ob die Spams in einem Spamordner abgekippt oder gleich gelöscht werden.

"...darf eine Einsicht bei Eingang der E-Mail nicht erfolgen": das bedeutet nach meiner unjuristischen Ansicht, dass sie kein Mensch vorher anschauen darf. Ein Computer ist aber kein Mensch, sodass das Briefgeheimnis durch einen genehmigten Spamfilter nicht gebrochen wird.

Aber wie gesagt: fragt einen Anwalt, er wird euch für diese Beratung schon nicht an den Bettelstab bringen!

Wuschel

thomas1611
15.09.2010, 13:44
Da wir gerade dabei sind: Eine Mail ist eher mit einer Post-Karte vergleichbar. Im Gegenzug ist eine verschlüsselte Mail eher mit einem Brief vergleichbar.

Thomas

TillP
15.09.2010, 13:55
Gerade in Unternehmen gibt es auch Möglichkeiten, das ganze über Betriebsanweisungen zu regeln.

Sofern es den Mitarbeitern erlaubt ist, den beruflichen E-Mail-Account auch privat zu nutzen, hat das Unternehmen dort keinen Zugriff drauf.
Siehe auch: http://www.channelpartner.de/knowledgecenter/recht/203857/index.html

Aber letzlich sollte sich damit ein Fachanwalt und der Betriebsrat beschäftigen, um eine Lösung zu finden, die auf rechtlich sicherem Boden steht.

Und die Entscheidung eines OLGs ist immer nur eine Einzelfallentscheidung, andere Gerichte können das anders sehen.

TheDoctor
15.09.2010, 14:12
Ohne jetzt in der Lage zu sein, die Rechtslage qualifiziert einschätzen zu können, ist es natürlich immer ganz schlecht automatisiert irgendwelche Mails zu löschen. Egal ob Spam oder nicht.

Was sich meist als akzeptabler Kompromiss machen lässt, ist eine Kennzeichnung der Mails nach 'Spammigkeit' und alle Mails mit Score größer X nicht 'nicht zuzustellen' sondern ggf. in einen 'Spamverdachts'-Ordner des jeweiligen Benutzers zu legen. Ggf. gerne auch noch individuell deaktivierbar.

Damit kommt man auch um den Teil herum, daß die 'Entscheidung' letztendlich vom Adressaten getroffen werden soll. Denn der Spamfilter sagt jetzt nicht mehr "Das ist Spam, das kriegst Du nicht" sondern er sagt "Auf einer Skala von 0-10000 mit 0 sehr sehr wahrscheinlich kein Spam und alles über 20 wahrscheinlich Spam, ist diese Mail eine 7893" - lass doch den Adressaten diesen Hinweis beachten oder nicht ;)

TillP
15.09.2010, 14:17
Das kommt dazu. Gerade für ein Unternehmen ist es schlecht, zu sagen: Wir haben die Mail nicht erhalten, weil der Spamfilter die gelöscht hat...

Professionelle Lösungen in Unternehmen schieben die Mails entweder in einen Ordner, markieren die über eigene X-Header oder schicken z.B. täglich einen Report mit entsprechenden Listen der Mails in Quarantäne und der Möglichkeit, diese zuzustellen oder dauerhaft zu löschen.

Nebelwolf
15.09.2010, 15:04
Hallo!

Grundsätzlich sollte man von in Blacklists stehenden Mailservern keine eMails annehmen. Mails die nicht angenommen wurden, können nicht vom Spamfilter unterschlagen werden und die Wünsche der Richter sind damit auch erfüllt. Die restlichen Mails können vom Spamfilter geprüft und markiert werden, die User selbst können dann filtern und sind in der Verantwortung, wie TillP schon ausgeführt hat.

Keinesfalls dürfen Mails angenommen und dann Fehlermeldungen verschickt werden, weil der User nicht existiert oder man eine Spammail vermutet.

Nebelwolf

jens69
15.09.2010, 15:29
Ich würde mir zur Beurteilung auf das Urteil anfordern und mit einem fachkundigen Anwalt besprechen. Spamfilter sind in Unternehmen allgemein üblich und notwendig. Wenn ich mir ansehe, wieviele Mals im Filter hängen bleiben und welche Sicherheitsrisiken davon ausgehen... Mein Arbeitgeber hat sich für einen Dienstleister entschieden, der sehr zuverlässig Spammails ausfiltert. Daß eine Spammail durch kommt, ist sehr selten; daß eine Mail unberechtigt hängen bleibt, kam erst 1x vor und da hatte der Geschäftspartner das Problem, daß sein Server zuvor eine Woche als Relay gearbeitet hatte.

alariel
15.09.2010, 19:52
Bei uns (Behörde) wird mit Blacklists und Greylisting gearbeitet. Hinzu kommt ein "strenger" Virenschutz - Mails, in die der Scanner nicht reinschauen darf, oder Anhänge, die er nicht kennt oder prüfen kann (z.B. .zip mit Passwort) werden zwar angenommen, aber ohne Anhang ausgeliefert, ein entsprechender Hinweis wird der Mail hinzugefügt und auch der Absender benachrichtigt.
Ebenso sind nur bestimmte Anhänge zugelassen - alles ausführbare ist von vorneherein verboten ;)

Soweit ich weiss, haben wir einen Spamfilter, der die Mails markiert - allerdings ist mir noch kein Spam untergekommen, der die Hürden wie oben überwunden hat. Und das bei offensichtlichen Adressen nach dem Muster vorname.nachname [at] brötchengeber.de ;)

IMHO heisst das Zauberwort "Greylisting" - was Spam betrifft wehrt man damit nach meiner Schätzung >98% ab. Nun bin ich auch kein Rechtsanwalt, aber was Vorschriften betrifft ist unsere Behörde... öhm... ziemlich kleinkariert ;)

Fidul
15.09.2010, 23:25
Ein alter Artikel zu diesem Thema: http://www.heise.de/ct/artikel/Strafbares-Filtern-289128.html

drboe
18.09.2010, 18:29
Die Vorstellung man müsste auch Viren, Trojaner und Würmer in Mails passieren lassen, jagt mir leichte Schauer über den Rücken. Ebenso, dass man seine Infrastruktur nicht gegen Rolex-, Pillen- und Pornosspam sichern können soll und damit zwangsläufig in Kauf nimmt, dass die Mitarbeiter teure Zeit damit verbringen, im Dreckhaufen einlaufenden spams die die fachliche Arbeit betreffenden relevanten Nachrichten zu suchen. Wenn Mail-Verkehr außerhalb des Unternehmens unumgänglich ist, es gibt Unternehmen, die keinen Internetzugriff zulassen und Mails nach außen sperren, würde ich eine Betriebsvereinbarung schliessen bzw. jeden Mitarbeiter ein Papier unterzeichnen lassen, in dem er in die spam-Filterung einwilligt, d. h. die Markierung als spam-Verdacht mit Score-Werten inklusive Nicht-Zustellung des Drecks ab einem bestimmten Score. Zudem sollte man mit offenen Karten spielen und den Mitarbeitern erläutern, was der Betrieb alles an Informationen zur Internetnutzung speichert und wozu diese Daten verwendet werden. Details der Vereinbarung müsste ein versierter Anwalt ausarbeiten können.

M. Boettcher

Goofy
18.09.2010, 21:45
M.W. ist es inzwischen auch üblich, diese Dinge mit betrieblichen Vereinbarungen zu regeln.

Es geht ja auch gar nicht mehr ohne Filterung. Ansonsten ist wohl in kaum noch einem Unternehmen ein vernünftiges Arbeiten mit e-Mails möglich.

cmds
03.11.2010, 07:40
Viele Firmen und Privatanwender setzen E-Mails auf "schwarze Listen. Thomas Feil zeigt auf, ob dies sinnvoll ist - und ob der Gesetzgeber das überhaupt erlaubt.

Weiter Computerwoche (http://www.computerwoche.de/management/compliance-recht/2350976/)


Ich habe es absichtlich hier zur Diskussion gestellt und nicht in die Presseschau

madsi
03.11.2010, 08:54
Tja, das ist also tatsächlich eine gute Frage!

Einerseits will man sich vor Spam schützen, andererseits können da auch Informationen verloren gehen, wenn man allzu schnell alles über einen Kamm schert. Bei mir kommt es oft genug vor, dass ebay-Nachrichten bzw. Mitteilungen von ebay-Mitgliedern, die mich erreichen sollten, im Spam-Ordner landen.

So ähnlich wird es wohl oft passieren, dass man wichtige Informationen einfach nicht erhält. Andererseits wäre es natürlich auch eine Sysiphus-Arbeit, sämtliche Spam-Mails vor dem Löschen zumindest vom Betreff her "manuell" zu filtern.

So fällt es mir zumindest relativ schwer, ein abschließendes Votum pro oder kontra einer pauschalen Löschung abzugeben...

Die rechtlichen Bedenken müssten eindeutig seitens der Verantwortlichen geklärt werden, damit da nicht die oft vorhandenen "Entscheidungslücken" bleiben.

cmds
03.11.2010, 08:58
Für einen privaten Mailaccount ist das meiner Meinung nach nicht relevant.

Bei Firmen Accounts ist das Argument mit dem Post/Fernmeldegeheimnis nicht zu vernachlässigen.
Auch wenn es nur ein Compuerprogramm ist, es liest in den Mails und entscheidet nach Vorgaben (Black Lists) ob eine Mail zugestellt wird, oder nicht.

jens69
03.11.2010, 08:59
Die rechtlichen Bedenken müssten eindeutig seitens der Verantwortlichen geklärt werden, damit da nicht die oft vorhandenen "Entscheidungslücken" bleiben.

Seitens des Gesetzgebers vergehen normalerweise mehrere Jahre bis solche Probleme erkannt und vielleicht geregelt werden.

M.E. gilt eMail sowieso als relativ unsicheres Medium, nicht umsonst ist die Beweiskraft elektronischer Kommunikation vor Gericht entsprechen gering. So lange das Problem Spam existiert und immer schlimmer wird, wird sich an der Sicherheit der Zustellung nicht viel ändern. Im Gegenteil: M.E. droht die Gefahr, daß das Mailsystem so wie es heute existiert, irgendwann nicht mehr zu gebrauchen ist. Selbst wenn ich manuell alle Spammails lösche, können Fehler auftreten, wenn ich eine manuelle Auswahl treffe.

Bei meinem Arbeitgeber bekomme ich vom filternden Untermehmen 2x täglich eine Mail mit Auflistung der gefilterten Mails sowie dem eingeschätzten Spamlevel. Bei Mails ohne Schädlingen kann ich die Zustellung durch einen Mausklick anfordern. Allerdings funktioniert die rkennugn dermaßen gut, daß das nur äußerst selten vorkommt. Das einzige Unternehmen, das früher regelmäßig ausgefiltert wurde, kommt inzwischen durch. Die Filterung kam zustande, da deren Mailserver für mehrere Wochen als Open Relay fungierte und damit für spam mißbraucht wurde.

madsi
03.11.2010, 09:44
Das ist schon ein geschäftlicher Mailaccount bei mir.

Den technischen Ablauf kannte ich so genau noch nicht.

alariel
03.11.2010, 13:13
Gut, damit wäre ich nach Meinung der CW aussen vor: Blacklists greifen bei mir schon beim Verbindungsaufbau, also "bevor meinem Server die Mail anvertraut wurde" ;)

Was durch die Listen kommt, wird allenfalls durch SA noch markiert, zwecks lokaler wegfilterung.

Firmenmäßig bewährt sich bei uns nach wie vor das Greylisting - ich habe in der Tat noch nie eine Spammail auf meinen dienstlichen Mailaccount erhalten.

Investi
05.11.2010, 09:23
Bei Firmen Accounts ist das Argument mit dem Post/Fernmeldegeheimnis nicht zu vernachlässigen.
Auch wenn es nur ein Compuerprogramm ist, es liest in den Mails und entscheidet nach Vorgaben (Black Lists) ob eine Mail zugestellt wird, oder nicht.

Eine Firmenmail geht an "die Firma", die zur Bearbeitung lediglich einen Mitarbeiter abstellt. Also hat auch "die Firma" als Empfängerin das Recht, selbst zu entscheiden, wer ausser ihr und dem Mitarbeiter die Mail noch liest.

Es handelt sich hier also mithin um Geschäftspost, die nicht in die Privatsphäre des Mitarbeiters fällt.

kjz1
14.11.2010, 12:17
Eigentlich ist relativ klar, was geht und was nicht. Also entweder direkt im SMTP-Dialog (also bevor überhaupt der Body übertragen wird) ablehnen, dann bekommt der Absender der Mail (sofern es nicht ein Bot war...) eine entsprechende Fehlermeldung und kann ggf. zu Gegenmassnahmen (z. Bsp. Telefon) greifen. Oder halt eben die Mail komplett annehmen und ggf. als Spam markieren, aber dann auch dem Empfänger zustellen. Was ganz klar nicht geht: gesamte Mail annehmen und dann aufgrund von Filtern (Spamassassin o.ä.) nachträglich nach /dev/null schieben.

- kjz