Sichere Kommunikation: Verschlüsselt mailen
© Rehan Qureshi - Fotolia.com
Gerade für Anwälte sollte verschlüsselte Kommunikation in Zeiten großflächiger Ausspähaktionen durch Nachrichtendienste und Wirtschaftskriminelle eigentlich Standard sein. Doch viele verzichten darauf, oft aus Angst vor den technischen Hürden. Wie man diese überwindet, und was die wichtigsten Systeme sind, erklärt Henning Zander.
Sichere Kommunikation – zwischen Anwalt und Mandant ist sie unerlässlich. Umso wichtiger ist es, dass sich Rechtsanwälte darüber Gedanken machen, wie sie die inzwischen wohl gängigste Form der Korrespondenz, die E-Mail, verschlüsseln können. Denn die E-Mail gleicht einer Postkarte im Netz. Wer über das nötige technische Geschick verfügt, kann sie abfangen und Einblick nehmen in alles, was zwischen Mandant und Anwalt so auf digitalem Wege besprochen wurde.
Zu den populärsten Verschlüsselungsverfahren zählen S/MIME und OpenPGP. Bei beiden Verfahren handelt es sich um Ende-zu-Ende-Verschlüsselungen. Das heißt, die E-Mail wird schon auf dem Rechner des Absenders verschlüsselt und kann erst auf dem Rechner des Empfängers entschlüsselt werden. Hierfür brauchen sowohl der Sender als auch der Empfänger einen Schlüssel: einen für das Senden und einen für das Empfangen von Nachrichten.
Unterschieden wird dabei zwischen Public und Private Keys, also öffentlichen und privaten Schlüsseln. Der öffentliche Schlüssel wird in der Regel auf einer Webseite oder einem speziellen Schlüsselserver veröffentlicht. Wer eine verschlüsselte Nachricht verschicken möchte, kann so einen Public Key zur Verschlüsselung nutzen. Entschlüsselt werden kann die Nachricht dagegen nur mit einem Private Key, den nur der Empfänger hat.
Digital ID für Outlook, PlugIn für Thunderbird
Bei Outlook 2010 ist die Verschlüsselung über S/MIME schon angelegt. Sie muss nur aktiviert werden. Notwendig ist eine Digital ID, die bei einem Dienstleister erworben werden muss. Eine Liste der möglichen Anbieter ist auf der Webseite von Microsoft zu finden und eine Anleitung, wie eine Digital ID angefordert und erstellt werden kann.
Das Open-Source-Mailprogramm Mozilla Thunderbird kann durch Plug-ins für die Verschlüsselung fit gemacht werden, etwa mit dem Plug-in Enigmail. Es versetzt Thunderbird in die Lage, Schlüssel zu erstellen und zu verwalten. Die Verschlüsselung erfolgt dann ganz einfach per Knopfdruck. Wer die E-Mail auf ihrem Weg vom Sender zum Empfänger abfängt, erhält lediglich einen Zahlen- und Buchstabensalat. Auch Anhänge können auf diese Art und Weise gesichert werden.
Daneben besteht auch bei Thunderbird die Möglichkeit, S/MIME-E-Mails zu versenden. Dies ist in der Software schon angelegt. Doch im Gegensatz zu Outlook ist die Handhabung dieser Funktion bei weitem nicht so praktisch.
De-Mail bietet keine Ende-zu-Ende-Verschlüsselung
Beide Systeme haben denselben Nachteil: Auch der Mandant muss wissen, wie er die Technik nutzt, und seinen Rechner entsprechend einrichten. Bei Unternehmen ist dieses Know-how unter Umständen vorhanden. Bei Privatpersonen hingegen ist die Technik selten bis gar nicht bekannt. Ist ein Mailprogramm nebst Plug-in zur Verschlüsselung erst installiert, ist alles kein Problem. Doch gerade diese Installation ist für viele ein Hindernis, das sie nicht überwinden können oder das ihnen den Aufwand nicht Wert ist.
Gerade bei diesen praktischen Aspekten sollte ursprünglich die De-Mail ansetzen. Sie war lange Zeit das Vorzeige-Projekt der Bundesregierung zum Thema Datensicherheit und sollte Verschlüsselung auch der breiten Masse zugänglich machen.
Doch bis jetzt konnte sich die Technik nicht durchsetzen. Denn die De-Mail bietet gerade keine Ende-zu-Ende Verschlüsselung; vielmehr findet die Kodierung erst auf dem De-Mail-Server statt. Auf dem Weg dorthin kann die Nachricht weiterhin als Klartext abgefangen werden. Wer also wirklich sichergehen will, kommt auch bei der De-Mail nicht um eine separate Verschlüsselungssoftware herum.
Kommunikation in der Cloud
Eine Alternative ist die Kommunikation in einer sicheren Cloud. Darin könnte eine Chance für Kanzleien liegen, eine sichere Kommunikation mit den Mandanten zu gewährleisten, ohne diese mit der Technik zu überfordern.
Damit die Kommunikation in der Cloud tatsächlich sicher ist, muss zwischen der Webseite des Betreibers und dem Browser des Nutzers eine sichere Verbindung hergestellt werden, etwa über https. Der Nutzer muss sich mit seinem Nutzernamen und Passwort einloggen. Er befindet sich dann im Datacenter des Anbieters. Im Idealfall kann er sich dort frei bewegen, ohne dass der Dienst seine Dateien einsehen kann. Auch die Metadaten, also was er wann wie und wo verändert oder hochgeladen hat, sollten dem Dienst nicht bekannt sein.
Das funktioniert über ein kompliziertes Verfahren, bei dem automatisch für verschiedene Vorgänge Schlüssel erzeugt und verwaltet aber auch wieder gelöscht werden. Würde man den Anbieter bitten, die Festplatten freizugeben, gäbe es nur Datensalat. Bei dieser Technik verlassen die Daten nie den Server. Jegliche Kommunikation findet innerhalb der Cloud statt. Das heißt, auch der Empfänger einer Nachricht muss sich erst in die Cloud einloggen, um die Nachricht einsehen zu können.
Auf diese Weise lassen sich auch Dokumente, Schriftsätze oder Vertragsentwürfe teilen und können sogar – wenn der Dienst es zulässt – gemeinsam in der Wolke bearbeitet werden. Eine Schlüsselverwaltung entfällt. Dies übernehmen die Dienste automatisch.
Dokumente sicher auf dem Computer ablegen
Doch ganz perfekt sind die Systeme nicht. Mandanten müssen für diese Systeme ein eigenes Passwort anlegen. Um neue Nachrichten der Kanzlei lesen zu können, muss das bisherige Kommunikationsmittel (Outlook, Thunderbird oder ähnliche Programme) verlassen, die Webseite des Cloud-Dienstes aufgerufen, und dort ein Passwort eingegeben werden. Manchmal sind es genau diese Schritte, die den Mandanten dazu veranlassen, dann doch lieber schnell eine unverschlüsselte E-Mail zu schicken. Unabhängig davon, dass Menschen ohnehin dazu neigen, Passwörter zu vergessen, die sie nicht häufig nutzen.
Als Anwalt möchte man aber nicht nur sicher kommunizieren, sondern die Kommunikation auch handlich und sicher in einem Dokumentenmanagementsystem oder zumindest auf dem Rechner ablegen. Damit nicht irgendwann ein Trojaner oder ein ähnlich bösartiges Programm die Daten ausliest, muss das Antivirenprogramm regelmäßig aktualisiert werden und eine funktionierende Firewall eingerichtet sein. Verschlüsselung alleine führt nicht zum Ziel, wenn der Rechner, auf dem die Korrespondenz gespeichert wird, selbst unsicher ist.
Auch die Mitarbeiter der Anwälte müssen darin geschult werden, auf die Datensicherheit zu achten, und soweit sensibilisiert sein, dass sie Mandanten nicht dazu auffordern, wichtige Dokumente unverschlüsselt an die info@-Adresse zu schicken.
Für MacOS kann ich die sehr guten GPG Tools für AppleMail empfehlen: https://gpgtools.org
MirkoWer der „Cloud“ vertraut, wird vielleicht mit http://www.mailbox.org glücklich ...
Ein sehr wichtiger Hinweis fehlte mir hier: Kanzleien mit mehr als 9 Mitarbeitern müssen gemäß § 4f BDSG einen Datenschutzbeauftragten bestellen. Beispielsweise bei SecureDataService.
Nicholas Vollmer (SecureDataService)Wenn dies geschieht, wird in jeder Hinsicht gründlich auf Verschlüsselung hingewirkt.
Mir fehlt auch ein Hinweis auf TLS, welches den Datenverkehr zwischen E-Mail Servern verschlüsseln kann (wenn beide es unterstützen). Und ein Hinweis darauf, dass die Kommunikation zum E-Mail Server per TLS oder SSL verschlüsselt sein muss, damit u.a. das Passwort nicht im Klartext über das Internet läuft.
Und mir fehlt ein Hinweis darauf, dass der Umgang mit S/MIME gründlich geübt werden muss, und dass die Installation der Zertifikate mühsam und manchmal erfolglos ist. Und das viele Menschen damit überfordert sind (u.a. weil die Zwischenzertifikate nicht installiert wurden).
Und zum Schluss fehlt mir ein Hinweis darauf, dass es eine sehr einfache Veschlüsselungsmethode zur Verfügug steht, die auf jedem Computer funktioniert und von jedem bedienbar ist: ZIPPEN mit Passwort (im Zip-Crypto-Format).
Ansonsten vielen Dank für den Artikel. Er spricht ein wirklich wichtiges Thema an.
Es gibt keine sichere Cloud.
StylePoliceDamit eine Cloud funktioniert muss der Anbieter auf die unverschlüsselten Daten zugreifen können, somst kann er sie nicht im Browser bzw. den verschiedenen Apps bereitstellen. Wer Admin-Zugang beim Cloud-Anbieter hat, der hat auch Zugriff auf die Daten.
Es gibt gute Podcasts die das erklären, e.g. 'Die Wahrheit', 'Alternativlos' oder die Talks auf den jährlichen CCC-Konferenzen, Blackhat, Defcon, ...
Für Outlook existiert das sehr gute Plugin gpg4o, mit dem die OpenPGP-Verschlüsselung schmerzlos möglich ist: http://www.gpg4o.de
Stefan MüllerDie sicherste Verschlüsselung ist immer noch ein OTP-Verfahren. Dieses ist nachweislich unknackbar. Aktuell ist "OTP on Stick 1.0" zu empfehlen.
Hentschel=> www.otp-on-stick.com