Das Sicherheitsrisiko zwischen Rückenlehne und Monitor

IT-Sicherheit hat vier Komponenten: Technik, Organisation, Fortbildung, Compliance
Von Dr. Henning Müller

Beitrag als PDF (Download)

Die Etablierung der elektronischen Kommunikation in Gerichten, Behörden und Rechtsanwaltskanzleien rückt Fragen nach Datenschutz und IT-Sicherheit in den Fokus – und dies zu Recht. Oft erkennen die Organisatoren des elektronischen Rechtsverkehrs erst jetzt, dass sie sich diese Fragen tatsächlich schon längst hätten stellen sollen.

Datenschutz und IT-Sicherheit im elektronischen Rechtsverkehr

Der heutige elektronische Rechtsverkehr mit den Gerichten und Behörden nutzt als Übermittlungsweg fast ausschließlich das Elektronische Gerichts- und Verwaltungspostfach (EGVP). Das besondere elektronische Anwaltspostfach (beA) wird dieselbe Infrastruktur nutzen. Dieser Übertragungsweg ist durch eine Ende-zu-Ende-Verschlüsselung der Kommunikation hoch gesichert. Dass EGVP-Nachrichten bei ihrer Übertragung abgefangen oder gar verändert werden könnten, ist nach dem Stand der Technik durch das sogenannte „Prinzip des doppelten Umschlags“ des OSCI-Standards (Online Services Computer Interface) nahezu ausgeschlossen. Dies wird dadurch sichergestellt, dass der verschlüsselte Nachrichteninhalt von den für den Nachrichtentransport erforderlichen Nutzdaten getrennt gehalten wird. Die Nutzdaten sind nur von dem für den Nachrichtentransport erforderlichen Server („Intermediär“) lesbar, der wiederum nicht die Inhaltsdaten entschlüsseln kann. Letztere sind wiederum so verschlüsselt, dass nur der Empfänger sie entschlüsseln kann.

Wo die hochsichere Kommunikation mit EGVP, beA & Co. den Rechtsverkehr beherrscht, wird der Raum eng für die „informelle E-Mail“. Nun ist eine „informelle“ Kommunikation mit Gerichten ohnehin prozessrechtlich kaum ein erstrebenswertes Ziel; auch unter Berücksichtigung der Anforderungen von Datenschutz und IT-Sicherheit kann eine einfache E-Mail an das Gericht grundsätzlich kein geeignetes Kommunikationsmittel im Prozess darstellen. Die ERV-Rechtsverordnungen lassen E-Mails deshalb grundsätzlich nicht zu: E-Mails sind leicht abfangbar (und damit von Unberechtigten lesbar) und auch manipulierbar. Unter IT-Sicherheitsgesichtspunkten entspricht eine E-Mail letztlich mehr einer Postkarte – und zwar einer, die einem unbekannten Zusteller übergeben wird – als einem Brief in einem Umschlag.

Hochbedenklich ist deshalb aber jede Rechtsprechung, die die Nutzung von E-Mails auch nur durch die Hintertür faktisch legalisiert. Unter anderem der BGH (BGH, Beschluss vom 15.07.2008 – X ZB 8/08 mit ablehnender Anmerkung von Köbler, MDR 2009, 357; siehe auch Müller, NZS 2015, 896, 898) und andere Gerichte meinen dennoch, dass auch eine E-Mail die Schriftform wahre, wenn sie beim Empfänger ausgedruckt werde, weil es auch dann wieder nur noch auf die Merkmale ihrer „Verkörperung“ nach dem Medienbruch ankomme. Diese – auch hinsichtlich ihrer juristischen Argumente abzulehnende – Rechtsprechung sollte keinesfalls als Einladung betrachtet werden.

Zusammenfassend muss feststehen: Elektronischer Rechtsverkehr findet ausschließlich auf den Übermittlungswegen statt, die durch die ERV-Rechtsverordnungen zugelassen sind. Diese sind unter www.egvp.de ständig aktualisiert einsehbar.

Sichere Datenhaltung und Nutzung

„Ich habe mir das Dokument auf mein Tablet gespeichert“. Hören Sie diesen Satz, müssen alle Alarmsirenen schrillen. Gerade Android- und iOS-Geräte sind zunächst einmal nicht für den beruflichen Einsatz ausgelegt, geschweige denn für den Einsatz durch Berufsgeheimnisträger. Auch die teilweise erfolgte (Selbst-)Zertifizierung der Diensteanbieter nach dem „Privacy Shield“, verhindert nicht den Zugriff etwa von US-Behörden auf in Clouds abgespeicherte Daten. Das Risiko, dass (auch berufliche) Dokumente in solchen Datenwolken landen, ist aufgrund der meist vorzufindenden Vorkonfiguration der Geräte immens.

Das heißt nicht, dass die Nutzung von Tablets im beruflichen Kontext unmöglich wäre. Ganz im Gegenteil ist ergonomische Hardware gerade der Schlüssel für die Akzeptanz von E-Justice im Alltag. Die Datentrennung und besondere Sicherung von beruflichen und der Geheimhaltungspflicht unterliegenden Daten gehört aber in professionelle Hände. Hierfür sind auf dem Markt ausreichend Produkte für die gängigen Plattformen – selbst die mit einem angebissenen Apfel auf der Rückseite – verfügbar. Auch die Kosten hierfür sind überschaubar. Frappierend bleibt dennoch die Sorglosigkeit der Nutzer in der Praxis, die aufgrund der Medienpräsenz der Thematik seit den NSA-Enthüllungen kaum mehr auf mangelnde Information zurückgeführt werden kann.

Selbst wenn die Datenhaltung an sich nicht cloudbasiert oder ausschließlich in sicheren Clouds erfolgt, muss der IT-Nutzer seine Hardware gegen unberechtigte Zugriffe absichern. Dies fängt bei verschlüsselten USB-Sticks für den Datentransport an, die bereits für einen einstelligen Euro-Betrag zu erwerben sind, und führt zur Betrachtung der IT-Infrastruktur insgesamt: Können Besucher unbeobachtet auf USB-Ports oder Netzwerkdosen zugreifen? Wird der PC gesperrt, wenn der Raum verlassen wird? Haben Unberechtigte die Möglichkeit, durch Fenster, Warteräume oder in Besprechungssituationen den Bildschirminhalt zu lesen oder abzufotografieren? Oft sind Sicherheitslecks einfach zu beseitigen – wenn sie denn erkannt werden!

Gleichzeitig ist es falsch, die elektronische Datenhaltung, auch auf mobilen Geräten, generell zu verteufeln. Wenn sie nach dem Stand der Technik abgesichert ist, ist sie sogar der Datenhaltung auf Papier überlegen: Keine Papierakte ist verschlüsselt; dies merkt man jedenfalls dann, wenn sie (aus welchem Grund auch immer) einmal nicht in einem verschlossenen Raum ist – und dann schlimmstenfalls in der U-Bahn liegenbleibt! Im Ergebnis bleibt festzustellen, dass elektronische Daten mit derselben Sorgfalt zu behandeln sind wie elektronische Dokumente. Bei Letzteren ist aber zusätzlicher Sachverstand im Hinblick auf die verwendete Technik erforderlich. Dieser muss nötigenfalls eingekauft werden!

Die elektronische Mandantenkommunikation

Zu Unrecht verengt sich die Betrachtung des elektronischen Rechtsverkehrs zumeist auf den sicheren Dokumentenaustausch mit Gerichten und Behörden. Betrachtet man Datenschutz- und Sicherheitsrisiken, liegt die Achillesferse aber woanders, nämlich in der Kommunikation zwischen dem Rechtsanwalt und seiner Mandantschaft. Gerade bei großen oder professionellen Mandanten hat sich eine elektronische Kommunikation schon lange etabliert. Die freie Wirtschaft oder auch viele Privatpersonen erwarten auch von „ihrem“ Rechtsanwalt die Nutzung moderner Medien. Briefe wirken für viele Mandanten fast wie aus der Zeit gefallen – und Telefaxe ohnehin. Die Nutzung unverschlüsselter E-Mails ist – wie oben beschrieben – aufgrund der anwaltlichen Verschwiegenheitspflichten hochproblematisch und sollte – wenn überhaupt – nur bei ausdrücklicher Einwilligung des Mandanten in Betracht gezogen werden. Und auch dies nur bei geeignetem Inhalt und nach Aufklärung über die Risiken der Nutzung.

Die Gefahr liegt also wie bei der Datenhaltung eher in der Gedankenlosigkeit, mit der man – weil es so einfach ist – die elektronisch über das EGVP oder beA erhaltenen Dokumente „einfach“ per E-Mail weiterleitet.

Dabei ist auch hier die Lösung weder kompliziert noch sonderlich teuer: E-Mail-Verschlüsselung oder sichere Cloudanwendungen oder Datenräume stellen viel risikoärmere Alternativen dar. Und ist eine derartige elektronische Kommunikation erst etabliert, erschließt sich schnell der Zusatznutzen des dann durchgängig medienbruch- und zeitverlustfreien Kommunikationskanals vom Gericht über den Rechtsanwalt bis zum Mandanten. Viele Mandanten dürften auch nicht unglücklich sein, vom eigenen Rechtsanwalt über die Risiken der E-Mail-Kommunikation und die Möglichkeiten zur Risikominimierung aufgeklärt worden zu sein. Es ist nämlich mitnichten so, dass Unternehmen hier generell viel weiter wären als wir Juristen – und das, obwohl in Unternehmen gerade durch Wirtschaftsspionage sowohl das Bedrohungspotential als auch das wirtschaftliche Risiko meist deutlich größer sind als im Rahmen der gerichtlichen Korrespondenz.

E-Mail als Komfort-Hintertür

Nicht besser ist die Nutzung der E-Mail als „Hilfsmittel“ (etwa, um das daheim, am häuslichen PC, geschriebene Urteil oder den Schriftsatz nicht anonymisiert zur weiteren Bearbeitung an die Gerichts- oder Kanzleimailadresse zu schicken). Durch neue cloudbasierte oder -unterstützte Betriebssysteme oder Office-Anwendungen und ihre teilweise hochbedenklichen Vorkonfigurationen ist ohnehin fraglich, inwieweit die ungesicherte Nutzung privater IT-Infrastruktur ein zulässiger Weg bleibt; eine sichere Datenablage und die Trennung beruflicher und privater Dokumente und Daten ist dort nur noch schwer zu erreichen. Auch ein „Löschkonzept“ ist jedenfalls durch den Arbeitgeber dann nicht mehr sicherzustellen. Natürlich wird ein solches Vorgehen in einer an den Bedürfnissen der IT-Sicherheit ausgerichteten Gerichts- oder Kanzleiorganisation untersagt sein. Es muss aber auch sichergestellt sein, dass sich alle Nutzer hieran halten. Das werden sie nur tun, wenn sie ausreichend über die Risiken aufgeklärt sind und die zur Verfügung stehende „sichere Technik“ hinreichend komfortabel ist.

Fazit

IT-Sicherheit, Datenschutz und Nutzungskomfort stehen oft in fast unauflösbarem Gegensatz. Es ist menschlich, dass jeder Nutzer auf größtmöglichen Bedienkomfort und die damit einhergehende Arbeitseffizienz und -zufriedenheit bedacht ist. Dadurch befindet sich das größte IT-Sicherheitsrisiko zwischen Rückenlehne und Monitor. Gerade bei Berufsgeheimnisträgern ist aber eine deutliche rote Linie zu beachten: Ausreden dafür, sie zu überschreiten, gibt es schlicht nicht – vor allem keine für die mangelnde Information über bestehende Risiken und zu treffende Maßnahmen!

Tatsächlich hat IT-Sicherheit im elektronischen Rechtsverkehr vor allem vier Komponenten: die sichere Technik, eine Kanzlei- oder Gerichtsorganisation, die dem Sicherheitsbedürfnis Rechnung trägt, die Fortbildung und Sensibilisierung der Nutzer sowie deren Compliance.

dv@lsg-darmstadt.justiz.hessen.de