Читать книгу Verschlüsselung in der beruflichen und privaten Praxis - Группа авторов - Страница 10
ОглавлениеDichtung und Wahrheit
Häufig liest man, wer E-Mails verschicke, könne auch gleich zur Postkarte greifen. Teilweise wird sogar diskutiert, ob man als Anwalt überhaupt unverschlüsselte E-Mails nutzen dürfe. Hinter solchen Befürchtungen stehen mitunter diffuse Ängste und häufig Unkenntnis der technischen und rechtlichen Rahmenbedingungen.
Technik
Bei E-Mails muss man den gleichen Unternehmen vertrauen wie bei Telefonaten – allerdings sind es regelmäßig mehr. Weil E-Mails schon in digitaler Form vorliegen, lassen sie sich viel einfacher abfangen.
Der Transport einer E-Mail kann in verschiedene Etappen unterteilt werden: Zunächst muss die E-Mail vom eigenen Rechner zum eigenen E-Mailversandserver transportiert werden. Von hier wird die E-Mail dann zum Empfangsserver des Empfängers transportiert. Dort lagert sie, bis der Empfänger sie abholt – oder auch dauerhaft, wenn der Empfänger seine E-Mails online verwaltet (und z. B. IMAP nutzt). Der Transport erfolgt auf der untersten Ebene über das Internet-Protokoll (IP). Dazu wird die E-Mail in (regelmäßig mehrere) Pakete aufgeteilt, die nacheinander durch das Internet geschickt werden. Theoretisch „sucht“ sich jedes Paket eine optimale Route. Dabei sollte (theoretisch) der schnellste Weg zum Ziel gewählt werden. Da in der Praxis aber auch wirtschaftliche Aspekte eine Rolle spielen und der kürzeste Weg nicht unbedingt der (für den jeweiligen Provider) (kosten-) günstigste Weg ist, kann es aber auch passieren, dass Pakete längere „Umwege“ nehmen, so dass ein IP-Paket von München nach Hamburg durchaus über das Vereinigte Königreich geroutet werden kann. Auf dem Weg durch das Internet können die Pakete theoretisch an jeder Verzweigung (den Routern) auch abgefangen werden. Allerdings handelt es sich bei den Betreibern der Übertragungsinfrastruktur (jedenfalls regelmäßig) um die gleichen Unternehmen, die uns auch ansonsten mit Telekommunikationsdienstleistungen versorgen. So wie ein Mitarbeiter der Telekom theoretisch ein Telefonat abhören könnte, kann er auch eine E-Mail abfangen. Gefahren gehen also zunächst von den TK-Unternehmen und ihren Mitarbeitern aus. Diesen muss man vertrauen. Insoweit unterscheidet sich die Kommunikation über IP aber nicht von der Kommunikation über das normale Telefon. In beiden Fällen gilt: Wer Zugriff auf die Infrastruktur hat, kann das Fernmeldegeheimnis auch verletzen. Allerdings gilt auch: Wer keinen Zugriff auf die Infrastruktur hat, für den ist es nur äußerst schwierig möglich, Zugriff auf die übertragenen Inhalte zu nehmen. Die Idee, jeder böse Hacker, der irgendwie im Internet ist, könne auch jede E-Mail abfangen, ist deshalb falsch. Jedenfalls insoweit ist eine E-Mail nicht unsicherer als ein Telefonat oder ein Fax. Allerdings sollte man daran denken, dass Angreifer auch im lokalen Netz laueren können. Insbesondere in offenen WLANs – etwa in Cafés oder an Flughäfen – muss man damit rechnen, dass ein gelangweilter „Hacker“ mitliest. Hierauf gehe ich später noch einmal ausführlicher ein.
Ein Unterschied zu herkömmlichen Kommunikationsarten ergibt sich aber dadurch, dass beim E-Mailversand üblicherweise deutlich mehr Unternehmen eingebunden sind. Man muss also nicht nur „seiner“ Telefongesellschaft vertrauen, sondern auch all den anderen Unternehmen, die am Transport beteiligt sind. Ein weiterer Unterschied ist, dass bei E-Mails die Informationen bereits in digitaler Form vorliegen. Während ein Geheimdienst, der Sprachkommunikation abhören will, zunächst einiges an Aufwand treiben muss, um Gespräche überhaupt zu identifizieren, in denen es um „Anthrax“ geht, können IP-Pakete, die diese Zeichenfolge enthalten, ohne größeren Aufwand aufgespürt werden.
Der vielleicht größte Unterschied zu herkömmlichen Kommunikationsarten ist allerdings, dass die E-Mailkommunikation nicht in Echtzeit erfolgt. Vielmehr lagert die E-Mail grundsätzlich im Postfach des Empfängers, bis dieser sie abruft. Verwaltet der Empfänger seine E-Mails online (in einem IMAP-Postfach), sind die Nachrichten sogar dauerhaft beim Provider gespeichert. Auf dermaßen gespeicherte Inhalte kann verständlicherweise sehr viel einfacher zugegriffen werden als auf ein flüchtiges Gespräch. Das gilt insbesondere auch für Hackerangriffe. Betrachtet man ein Abhörszenario, so muss der Staatsanwalt beim Telefonat vorher wissen, dass es etwas abzuhören geben könnte, um eine Abhörgenehmigung zu beantragen. Bei einer E-Mail stehen die Chancen hingegen auch im Nachhinein recht gut, dass der Empfänger sie noch nicht beim Provider gelöscht hat und sie sich dort beschlagnahmen lässt.
Die Gefahren, denen E-Mails ausgesetzt sind, sind insbesondere während der ruhenden Phasen beim E-Mailprovider deutlich größer, als es bei herkömmlichen Telefongesprächen der Fall war. Die möglichen Gefahren steigen dabei, je länger eine E-Mail auf einem fremden Rechner lagert. Deshalb sollte man sich sehr gut überlegen, ob man seine dienstlichen E-Mails über IMAP dauerhaft bei seinem E-Mailprovider verwaltet. Sucht man einen Vergleich für IMAP in der „alten Welt“, so ist das, als würde man sämtliche Briefe dauerhaft auf dem Postamt lagern. Jedenfalls soweit Daten betroffen sind, die beruflichen Geheimhaltungspflichten unterliegen, würde ich deshalb sehr stark davon abraten, diese über IMAP auf dem Server eines E-Mailproviders zu verwalten. Allerdings bietet IMAP unbestreitbare Vorteile. Der wichtigste dürfte sein, dass auf sämtlichen Geräten immer der gleiche Mailstand existiert! Hat man eine E-Mail auf dem Handy gelesen, wird sie auch auf dem Laptop und dem Bürorechner als gelesen markiert. Wer als Berufsgeheimnisträger nicht auf die Vorzüge von IMAP verzichten möchte, sollte deshalb ernsthaft über einen eigenen Mailserver nachdenken – allerdings ist man dann auch selbst dafür verantwortlich, diesen abzusichern (was eine durchaus schweißtreibende Angelegenheit sein kann …).
Recht
Deutsche Ermittlungsbehörden dürfen im Verdachtsfall auf E-Mailkommunikation in jeder Transportphase zugreifen. Geheimdienste auch. Was ausländische Geheimdienste machen, ahnt man höchstens. Berufsgeheimnisträger sollten eine ausdrückliche Einwilligung einholen, bevor sie mit Mandanten / Patienten / Klienten / Kunden unverschlüsselt kommunizieren.
Diensteanbieter sind zur Wahrung des Fernmeldegeheimnisses verpflichtet (§ 88 Abs. 2 TKG[externer Verweis]). Insoweit macht es keinen Unterschied, ob es um die Übertragung von Telefongesprächen oder den Transport von E-Mails geht. Den Diensteanbietern ist es ausdrücklich untersagt, sich Kenntnis von den übertragenen Inhalten zu verschaffen. Strafrechtlich abgesichert wird das Fernmeldegeheimnis durch § 206 StGB[externer Verweis]. Hiernach wird bestraft, wer einem anderen Mitteilung über einen Umstand macht, der dem Fernmeldegeheimnis unterliegt und ihm etwa als Angestellter eines Diensteanbieters bekannt geworden ist. Strafbar ist außerdem das unbefugte Abfangen von Daten während der Übertragung (§ 202b StGB[externer Verweis]). Strafrechtlich ist somit für einen weitgehenden Schutz übertragener Daten gesorgt. Allerdings soll es Menschen geben, die sich nicht an das Gesetz halten und sich auch von Strafandrohung nicht beeindrucken lassen …
Keinen Schutz bietet das Fernmeldegeheimnis vor berechtigten staatlichen Ermittlungsmaßnahmen. Hierfür existieren weitreichende Eingriffsbefugnisse. So dürfen die Staatsanwaltschaften etwa beim Verdacht bestimmter (schwerer) Straftaten die Telekommunikation abhören (§ 100a StPO[externer Verweis]) – dabei gibt es erst einmal keinen Unterschied zwischen Sprachtelefonie und E-Mails. Nach welchen gesetzlichen Vorschriften auf E-Mails, die beim Provider lagern (und damit nicht Telekommunikation im engeren Sinne darstellen), zugegriffen werden darf, ist ein interessantes juristisches Problem und eignet sich gut als Klausuraufgabe für Jurastudenten … Im Ergebnis ist aber anerkannt, dass die Staatsanwaltschaften – selbstverständlich – auch auf lagernde E-Mails zugreifen dürfen. Eine besondere Ermächtigungsgrundlage für die Beschlagnahme von Daten gibt es nicht. Das ist aber auch nicht nötig, die Staatsanwaltschaften dürfen nämlich „Gegenstände“ beschlagnahmen – notfalls also den ganzen Server mitnehmen.
Weiter verfügen auch die deutschen Geheimdienste über umfangreiche Befugnisse zur Überwachung des Internets. So darf der BND etwa auf Antrag mit einer Art „Staubsauger“ bis zu 20% der „internationale[n] Telekommunikationsbeziehungen, soweit eine gebündelte Übertragung erfolgt“, überwachen (§ 5[externer Verweis] i. V. m. § 10 Abs. 4 S. 2 G10[externer Verweis]).
Im Gegensatz zur Telefonkommunikation, bei der man jedenfalls grundsätzlich davon ausgehen kann, dass ein Inlandsgespräch allenfalls von deutschen Ermittlern abgehört wird, muss man bei E-Mails damit rechnen, dass diese über ausländische Router geleitet werden. Hier sind sie dann auch dem Zugriff ausländischer Ermittler ausgesetzt. Deren Ermächtigungen sind für Kontinentaleuropäer häufig kaum nachvollziehbar.
Damit stellt sich die Frage, ob man als Berufsgeheimnisträger überhaupt unverschlüsselt kommunizieren darf. Ohne hier ins Rechtsdogmatische abgleiten zu wollen, möchte ich es bei einigen allgemeinen Gedanken belassen: Der E-Mailtransport ist jedenfalls nicht grundsätzlich unsicherer als sonstige Kommunikation. Soweit mir bekannt, ist bislang aber noch nicht diskutiert worden, Anwälten und sonstigen Berufsgeheimnisträgern das Faxen zu verwehren (und was wäre der Anwalt kurz vor Mitternacht am Tag des Fristablaufs ohne sein Faxgerät?). Da aber unbestreitbar, insbesondere während der Lagerphasen, Gefahren bestehen – vom Transport über ausländische Router ganz zu schweigen –, sollte mit Mandaten / Patienten / Klienten / Kunden ausdrücklich geklärt werden, ob diese eine E-Mailkommunikation wünschen. Dabei sollte man ggf. auf die möglichen Gefahren hinweisen und anbieten, Daten zu verschlüsseln. Wünscht der andere dennoch eine unverschlüsselte Kommunikation, darf man sich als Berufsgeheimnisträger – selbstverständlich – hierauf einlassen. Der Geheimschutz besteht schließlich um des anderen willen, so dass dieser hierüber verfügen kann. So wie der Mandant seinen Anwalt und der Patient seinen Arzt von der Schweigepflicht entbinden darf, darf er auch eine möglicherweise unsichere Kommunikationsform wählen.
DE-Mail
DE-Mail ist ein eine E-Mailalternative für Deutsche, die vor ihrem DE-Mailanbieter und deutschen Sicherheitsbehörden nichts zu verbergen haben und bereit sind, Porto für den E-Mailversand zu zahlen.
Das Kapitel über E-Mail und Verschlüsselung wäre unvollständig, wenn DE-Mail nicht wenigstens erwähnt würde. Ich werde mich allerdings kurz fassen: DE-Mail soll ein deutsches Kommunikationsmittel zur „sicheren, vertraulichen und nachweisbaren“ Kommunikation im Internet sein, welches zum weltweiten E-Mailstandard inkompatibel ist.5 Die Grundidee ist, dass IT-Dienstleister hochgesicherte Datenverarbeitungszentren aufbauen, in denen die DE-Mails aufbewahrt werden. Allerdings erfolgt die Übertragung nicht End-zu-End-verschlüsselt. Der Diensteanbieter kann also wie bei herkömmlicher E-Mail auf die Inhalte zugreifen. Da der Diensteanbieter Zugriff auf die Daten hat, kann auch der Staat hierauf Zugriff nehmen. Allerdings kann man bei DE-Mail sicher sein, dass die Übertragung zwischen den einzelnen DE-Mailanbietern verschlüsselt erfolgt. Wer also Wert darauf legt, dass seine Nachrichten nur vom Empfänger, dem DE-Mailbetreiber und deutschen Sicherheitsbehörden gelesen werden können, nicht aber von irgendwelchen Hackern (ohne Zugang zu den hoffentlich wirklich hochgesicherten Rechenzentren) oder ausländischen Geheimdiensten (denen ihre deutschen Partner keine Amtshilfe leisten), und dafür bereit ist, pro übertragener Nachricht auch noch Geld zu bezahlen, mag sich weiter mit DE-Mail beschäftigen. Ich persönlich habe den Eindruck, dass bei DE-Mail das eingangs erwähnte Bild von E-Mail als Postkarte Pate gestanden hat und jemand hieraus den Schluss gezogen hat, es müsse doch auch möglich sein, Porto für den Versand von E-Mails zu verlangen, wo doch auch Postkarten nicht umsonst transportiert werden. Dass inzwischen die ersten Anbieter dazu übergehen, das Kontingent kostenloser DE-Mails zu erhöhen oder Basisfunktionen kostenlos zur Verfügung zu stellen, dürfte insoweit eher ein Indikator für das fehlende Nutzerinteresse an einer rein deutschen E-Mailalternative sein ...
