Neue Gesetze schreiben Datenverschlüsselung vor

Mit der Keule

Klaus Schmeh, Udo Wichert

Nachdem zahlreiche Appelle nicht gefruchtet haben, sollen nun Gesetze und EU-Verordnungen erzwingen, dass sensible Daten endlich verschlüsselt werden. Nahezu jedes Unternehmen und jede Behörde wird von den diversen Vorschriften betroffen sein.

Eine E-Mail ist wie eine Postkarte, denn sie kann von Unbeteiligten gelesen werden.“ Diesen Spruch hat wohl jeder schon einmal gehört, der sich auch nur im Entferntesten mit IT-Sicherheit beschäftigt hat. Die Lösung ist seit einem Vierteljahrhundert bekannt: Verschlüsselung. Dumm nur, dass kaum jemand diese Technik nutzt [1]. Nach Untersuchungen der Westfälischen Hochschule ist gerade einmal jede fünfundzwanzigste E-Mail verschlüsselt. Wenn es um Dateiverschlüsselung geht, sieht die Sache nicht viel besser aus.

Es gibt viele Gründe, warum sich das Verschlüsseln in Unternehmen (hier: KMU) noch nicht durchgesetzt hat. Neue Gesetze sollen das nun ändern (Abb. 1). *Quelle: Goldimedia/if(is) 2017; befragt wurden 101 kleine und mittlere Unternehmen.*

Nachdem die zahllosen Appelle von IT-Sicherheitsexperten, man solle doch endlich seine Daten verschlüsseln, nicht gefruchtet haben, hat sich inzwischen der Gesetzgeber eingeschaltet. Getreu dem Motto „Wer nicht hören will, muss fühlen“ läuft momentan ein halbes Dutzend gesetzlicher Vorhaben, die das Verschlüsseln bestimmter Daten vorschreiben. Bei Zuwiderhandlung drohen im Extremfall sogar Haftstrafen.

Dass die Freiwilligkeit beim Verschlüsseln nun ein Ende haben soll, liegt – wenn auch nicht ausschließlich – an Whistleblower Edward Snowden. Dieser hatte als Administrator bei der NSA Zugriff auf zahlreiche Daten, die ihn inhaltlich nichts angingen, und konnte durch deren Verrat der NSA einen enormen Schaden zufügen (und allen anderen einen großen Dienst erweisen). Die zahlreichen Sicherheitsmaßnahmen, die die NSA getroffen hatte, liefen ins Leere, da Snowden diese im Rahmen seines Administratorenjobs umgehen konnte. Dabei ist durchaus bekannt, dass ein Großteil aller Angriffe auf die IT-Sicherheit von innen kommt – nicht nur bei der NSA. Mit Verschlüsselung könnte man vieles verhindern, wenn sie denn genutzt werden würde.

StGB: Das Schweigen der Berufsgeheimnisträger

Der Gesetzgeber meint es offenbar ernst. Eine Pflicht zur Verschlüsselung ergibt sich unter anderem aus dem Strafgesetzbuch, der EU-Datenschutz-Grundverordnung und dem IT-Sicherheitsgesetz (Abb. 2).

Eine Verschlüsselungspflicht hat der Gesetzgeber beispielsweise für Berufsgeheimnisträger wie Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer und Steuerberater eingeführt. Diese findet sich im Ende 2017 neugefassten § 203 des Strafgesetzbuchs. Er trägt die Überschrift „Verletzung von Privatgeheimnissen“. § 203 gilt zwar laut dem ersten Abschnitt auch für Ärzte, Apotheker und andere Heilberufe, doch für diese gibt es inzwischen mit dem E-Health-Gesetz (siehe unten) eine eigene Vorschrift, die Vorrang hat.

Die Neufassung von § 203 ermöglicht es den betroffenen Berufsgruppen, digitale Daten auszulagern (insbesondere in die Cloud). Allerdings müssen sie diese Informationen schützen. Dies ist de facto nur durch Verschlüsselung möglich, auch wenn dieser Begriff im Gesetz nicht wörtlich vorkommt. Hierbei gilt eine Beweislastumkehr: Anwälte, Notare, Wirtschaftsprüfer und Steuerberater müssen belegen, dass sie die notwendigen Sicherheitsmaßnahmen inklusive Verschlüsselung getroffen haben. Können sie dies nicht, drohen empfindliche Strafen, im Höchstfall ein Jahr Gefängnis. Da Rechtsanwälte häufig mit der Polizei, Detekteien, Gerichtsvollziehern und ähnlichen Einrichtungen kommunizieren, wird man sich auch dort mit den entsprechenden Verschlüsselungsmaßnahmen auseinandersetzen müssen.

Wie genau der neugefasste § 203 in die Praxis umgesetzt wird, ist noch unklar. Eine entscheidende Rolle wird voraussichtlich die DATEV spielen, die bekanntlich als IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte fungiert. Spezialisten entwickeln derzeit Konzepte zu den neuen Vorschriften, die auch Verschlüsselung vorsehen werden. Es steht zu erwarten, dass eine Empfehlung der DATEV wohl zum De-facto-Standard werden wird, selbst wenn sie nicht bindend ist und obwohl nicht alle vom Gesetz betroffenen Einrichtungen Mitglied der DATEV sind.

Das leidige Thema E-Mail

Besonderes Augenmerk müssen Berufsgeheimnisträger auf das Thema E-Mail legen. Geeignete Produkte gibt es zwar seit über 20 Jahren, doch so richtig durchgesetzt hat sich das Verschlüsseln der elektronischen Post auch bei Anwälten und Notaren nie. Am einfachsten wäre es, auf die Kryptofunktionen von Outlook oder Notes zu setzen – doch im deutschen Rechtswesen wird man sich wohl kaum auf Verschlüsselungstechnik aus dem Lande der NSA verlassen. Auch E-Mail-Krypto-Gateways, die im Backend verschlüsseln, kommen nicht infrage, da Ende-zu-Ende-Verschlüsselung ein Muss ist. So bleiben nur noch E-Mail-Krypto-Plug-ins, von denen es mehrere am Markt gibt (beispielsweise Gpg4win, GreenShield oder das Outlook-Privacy-Plug-in). Interessant ist hierbei vor allem die Frage, ob die DATEV PGP oder S/MIME als Format für verschlüsselte E-Mails bevorzugt. Beides ist denkbar.