Vom Ende her gedacht

 

In Zeiten von NSA und Edward Snowden denken immer mehr Mandanten darüber nach, wie ihre Kommunikation im Netz abgesichert werden kann. Anwältinnen und Anwälten stehen hier verschiedene Systeme zur Verfügung. Auch das beA bietet Möglichkeiten, die jetzt erst vielen klar werden.

„Der Schutz der Mandantendaten gehört ja zum Arbeitsauftrag eines Rechtsanwalts“, sagt Sven Adam. Er ist Rechtsanwalt mit den Schwerpunkten Sozial- und Strafrecht in Göttingen. „Doch E-Mails sind einfach unglaublich leicht mitzulesen. Das können sogar Privatpersonen. Ich versuche deshalb, meine Mandanten dafür zu sensibilisieren, Verschlüsselungstechnik zu nutzen.“ Das klappt natürlich nicht bei allen. Ältere Mandanten, die der Rechtsanwalt zum Beispiel in sozialrechtlichen Fragen vertritt, haben manchmal nicht einmal eine E-Mail-Adresse. Studentische Mandanten sind da schon etwas technikaffiner. Insgesamt ist bei Rechtsanwalt Adam etwa ein Viertel der E-Mail-Kommunikation verschlüsselt.

Sicherheit bei der Kommunikation wird von immer mehr Mandanten eingefordert. Gerade Unternehmen haben eine zunehmende Sensibilität entwickelt, was den Umgang mit Daten und Dokumenten betrifft. Aber auch Privatpersonen sehen die Themen Datensicherheit und Privatsphäre mit anderen Augen. Dennoch wird Verschlüsselungstechnik bei der digitalen Kommunikation in der Beziehung von Rechtsanwälten und Mandanten immer noch nicht so genutzt, wie es eigentlich zu erwarten wäre. Rechtsanwälte wie Sven Adam sind immer noch eine deutliche Minderheit.

Die Verschlüsselung sei noch nicht im Arbeitsalltag der Rechtsanwälte angekommen, sagt Sebastian Reiling, der in der DAV-Geschäftsführung das Thema beA betreut. Viele Rechtsanwälte weisen gegenüber ihren Mandanten auf die Risiken der E-Mail-Kommunikation hin. Wenn dennoch ein Austausch per E-Mail erfolgen soll, lassen sie sich dieses vom Mandanten bestätigen. Es ist weitverbreitetes Modell.


Mit dem Mandanten verschlüsselt über das beA kommunizieren

Das besondere elektronische Anwaltspostfach (beA) könnte einen neuen Impuls setzen, doch noch einmal über verschlüsselte Kommunikation nachzudenken. Denn das beA hat einen wichtigen Vorteil: Jeder Anwalt ist mit der Zulassung registriert und muss das System ab 2018 ohnehin nutzen. Nachrichten sind im beA Ende-zu-Ende verschlüsselt. Wer die Nachrichten unterwegs abfangen würde, hätte nur unleserlichen Datensalat. Die Verbindung ist also sehr sicher. Kommunikation ist zwischen Rechtsanwälten und mit Gerichten und Behörden möglich, die ins System eingebunden sind. Die Mandantenkommunikation stand beim beA bis heute nicht an erster Stelle. Doch tatsächlich ist es möglich, über das System mit Mandanten Nachrichten auszutauschen, wenn diese ein EGVP-Bürgerpostfach einrichten. Dafür muss der Mandant einen Client installieren, also ein separates E-Mail-Programm. Bis 2017 ist das der EGVP-Classic-Client. Schon heute können aber auch Drittprodukte wie das kostenlose Programm „Governikus Communicator Justiz Edition“ genutzt werden. Vom Prinzip her wäre das eine Lösung aus einem Guss.

Und: Dieser Kommunikationskanal ist auf jeden Fall sicherer als die gewöhnliche Mail, also eine echte Option für die Anwaltspraxis. Doch die Grenzen sollten Kanzleien kennen, sagt Sebastian Reiling aus der DAV-Geschäftsführung: „Grundsätzlich wäre das für beide Seiten ein einfacher und sicherer Kommunikationskanal. Allerdings krankt die Durchführung an einem Defizit: Jeder Bürger kann sich ohne Prüfung seiner Identität ein eigenes Postfach einrichten und ein eigenes Zertifikat erzeugen.“ Bei allen anderen Teilnehmern am elektronischen Rechtsverkehr wird die Identität garantiert. Weil darüber typischerweise rechtliche relevante Kommunikation stattfindet, sei das auch sinnvoll, sagt Sebastian Reiling. In Sachen Identität ist das EGVP-Bürgerpostfach also nicht besser als eine Mail-Adresse. Das sollten Anwältinnen und Anwälte wissen.

Ob das beA sich tatsächlich auch in der Kommunikation mit dem Mandanten durchsetzen wird, wird sich erst in der Zukunft klären. Rechtsanwälten stehen daneben zahlreiche andere Möglichkeiten für die verschlüsselte Kommunikation zur Verfügung. Für manche ist auch ein gewisses technisches Vorwissen erforderlich.


Viele technische Varianten: Alles wird einfacher

„Man muss sich mit der Thematik beschäftigen. Aber dann geht es eigentlich ganz leicht“, sagt Rechtsanwalt Sven Adam. Er nutzt die freie Software Thunderbird als E-Mail-Programm. Ein Programmzusatz mit dem Namen Enigmail organisiert die Verschlüsselung. Dafür wird die Technik „Pretty Good Privacy“ genutzt (PGP). Dabei müssen Menschen, die sich E-Mails schicken wollen, gegenseitig Schlüssel austauschen. Jeweils einen öffentlichen Schlüssel zum Verschlüsseln und einen privaten Schlüssel zum Entschlüsseln. So kann nur der Empfänger tatsächlich die für ihn bestimmte E-Mail lesen. Sind die Schlüssel einmal ausgetauscht, funktioniert die Ver- und Entschlüsselung automatisch.

Dieselbe Technik nutzt Adam auch auf seinem Handy mit der App K9. Damit kann er auch mobil verschlüsselte E-Mails lesen. „Es geht nicht darum, dass man etwas zu verbergen hat. Es geht vielmehr um den Schutz der Privatsphäre“, erklärt Adam. „Ich verschicke ja an meine Mandanten auch keine Briefe mit offenem Briefumschlag.“

Je einfacher das System zu handhaben ist, desto eher wird es angenommen. Anbieter beschreiten hier unterschiedliche Wege. Bei RA Micro kann der Nutzer entscheiden, wie die Kommunikation mit dem Mandanten stattfinden soll. Aus dem System heraus kann eine normale E-Mail verschickt werden, eine E-Mail mit verschlüsseltem Anhang oder eine verschlüsselte Nachricht an die App „Go Mandant“. Diese App können Mandanten auf ein iOS-Smartphone aufspielen. Kanzlei und Mandant vereinbaren ein Passwort, dass in der App hinterlegt wird. Dann werden verschlüsselte Nachrichten automatisch in der App entschlüsselt.

Das einzige Manko: Eine verschlüsselte Rückantwort ist noch nicht möglich. Der Mandant hat lediglich die Möglichkeit zurückzurufen, oder eine unverschlüsselte E-Mail zurückzuschicken. Damit ist der Weg über die App eher für Mandanten gedacht, die zwar gerne über ihren jeweiligen Verfahrensstand informiert werden, sich allerdings selbst eher weniger in den Fall einbringen.

Einen anderen Ansatz verfolgt das Unternehmen Team Drive. Das System von Team Drive funktioniert ein wenig wie bei Dropbox oder ähnlichen Cloud-Diensten: Auf den Rechnern der Kanzlei wird ein Client installiert. Über diesen Client können Ordner gekennzeichnet werden. Diese Ordner werden überwacht. Alle Dokumente, die dort abgelegt werden, werden mit einem zentralen Speicher in der Cloud oder einem eigenen Server der Kanzlei synchronisiert. Im Hintergrund werden für jede neue Version Kopien angelegt, so dass bei mehreren Bearbeitern immer nachvollzogen werden kann, wer gerade welche Änderungen vorgenommen hat. Notfalls können die früheren Versionen wieder hergestellt werden.

Die Besonderheit des Systems: Noch auf dem eigenen Rechner werden die Dokumente verschlüsselt. Diese verschlüsselten Daten sind nicht einmal für den Anbieter einsehbar. Das Unternehmen weiß weder, was in der Cloud abgespeichert wird, noch wer das getan hat oder wann das passiert ist. Zugriff haben nur Personen, die ihrerseits den Client installiert haben und mit denen die Inhalte geteilt werden sollen. Dann findet ein automatischer Schlüsselaustausch statt. Nicht für jeden Mandanten ist das praktisch. Deshalb ist es auch möglich, Mandanten eine Webadresse zu einem Dokument zu verschicken, über die der Mandant das Dokument herunterladen kann. Diese Webadresse ist passwortgeschützt. Der Zugriff kann auch auf einen bestimmten Zeitraum beschränkt werden.

Praktisch ist das System für all diejenigen, die mit Ordnerstrukturen arbeiten. Schwieriger ist die Einbindung an klassische Kanzleisoftware. Diese Anbindung muss mit dem jeweiligen Anbieter geklärt werden. Wer jedoch frei mit Dokumenten und Ordnern arbeitet, kann sofort loslegen.


Das Bewusstsein für Vertraulichkeit im Internet wächst

Dr. Sebastian Kraska, Rechtsanwalt und Datenschutzexperte der IITR GmbH in München, sieht insbesondere bei Unternehmen eine gestiegene Bedeutung der IT-Sicherheit. „Immer mehr Prozesse werden digitalisiert. Kommt es zu Ausfällen, steht das ganze Unternehmen still“, sagt Kraska. Im Rahmen der IT-Sicherheit werde auch zunehmend über die Verschlüsselung von Daten und Dokumenten und entsprechend verschlüsselte Kommunikation nachgedacht.

Kraska nutzt eine Gateway-Verschlüsselung. Das bedeutet, dass seine E-Mails und die seiner Mitarbeiter zentral auf dem Server der Kanzlei verschlüsselt und dann versendet werden. Er hat sich gegen die klassische Ende-zu-Ende-Verschlüsselung entschieden, bei der die Verschlüsselung schon auf dem lokalen Rechner erfolgt. „Ein Problem dieser Verschlüsselung ist es, die hierfür erforderlichen Zertifikate so zu managen, dass keine Fehler passieren“, sagt Dr. Kraska. „Wenn ein Zertifikat aus Versehen gelöscht oder in einen falschen Ordner kopiert wird, kann es sein, dass die verschlüsselten E-Mails plötzlich nicht mehr lesbar sind.“ Bei der Gateway-Verschlüsselung erfolgen Verschlüsselung und Zertifikate-Management zentral und automatisch.

Verschlüsselt kommuniziert werden kann über diesen Weg allerdings nur mit Mandanten, die ihrerseits über Software zur Entschlüsselung verfügen. Da das immer noch nicht selbstverständlich ist, nutzt Kraska auch Plattformen, auf denen Dokumente verschlüsselt abgespeichert und ausgetauscht werden können. „Das ist eine sichere und adäquate Alternative zur verschlüsselten E-Mail.“

Datensicherheit jedoch hört nicht bei der Kommunikation auf. Oft sind die Daten auf dem Rechner des Rechtsanwalts unverschlüsselt. Und können dort gegebenenfalls ausgelesen werden. Wichtig sei es deshalb, den Virenschutz aktuell zu halten, die Firewall zu aktivieren und Verschlüsselungs-Tools zu nutzen, die manche Betriebssysteme sogar von Hause aus anbieten, sagt Sebastian Reiling aus der DAV-Geschäftsführung. „Wenn diese Tools genutzt werden, ist schon eine ganze Menge in puncto Datensicherheit getan.“

Henning, Zander, Hannover
Der Autor ist freier Journalist in Hannover.

 

 

Zurück