Kommunikationsverschlüsselung – Ein Aufriss zum rechtlichen Rahmen

Gerade im Rahmen der NSA-Affäre wurde eine Tatsache deutlich: Im heutigen Alltag werden Daten, Unterhaltungen und sogar Identitäten stets der Gefahren von Überwachung, Manipulation und Diebstahl ausgesetzt. Naturgemäß muss so Datensicherheit zu einem immer größeren und wichtigeren Themenblock in der unternehmerischen Ausgestaltung des Arbeitsalltages aufsteigen. Dabei macht dieser Sicherungsbedarf vor niemandem Halt: Nicht vor Politikern, Unternehmern, Anwälten, Steuerberater oder Angestellten. Von großem Interesse ist in diesem Zusammenhang dann vor allem die Kommunikation und somit die Kommunikationsverschlüsselung.

Im Rahmen dieses Beitrages soll Ihnen die Funktionsweise und der Nutzen von Kommunikationsverschlüsselung näher gebracht werden. Hierzu wird zunächst der rechtliche Rahmen abgesteckt. In diesem Zusammenhang sind vor allem gesetzliche und vertragliche Pflichten des Unternehmers hervorzuheben. Im Anschluss werden dann die verschiedenen Verschlüsselungstechniken in ihrer Funktions- und Einsatzweise dargestellt und erläutert. Hier wird besonderes Augenmerk auf Verschlüsselung von Emails gelegt. Abschließend erfolgen noch Ausführungen zur Einbettung von Sicherheitsmaßnahmen in den organisationalen Apparat von Unternehmens unter Berücksichtigung finanzieller Aspekte.

Rechtliche Vorgaben zur Kommunikationsverschlüsselung

Kommen wir nun zunächst zu den rechtlichen Vorgaben zur digitalen Kommunikationsverschlüsselung. Diese lassen sich in gesetzliche und vertragliche Verschlüsselungspflichten unterscheiden.

Gesetzliche Verschlüsselungspflichten

Im Rahmen der gesetzlichen Regelungen obliegen dem Unternehmer stets Sicherungsmaßnahmen. Solche können sich auch auf den Bereich der Kommunikation erstrecken. Letztlich erscheinen diese Bereiche vor dem Hintergrund des Schutzzweckes selten als überraschend und vielmehr sollte eine Schutzbedürftigkeit hier durchaus einleuchtend sein.

Exkurs: Verschlüsselung nach dem Stand der Technik

In diesem Zusammenhang ist aber erst einmal darauf zu verweisen, dass vielfach eine „Verschlüsselung nach dem Stand der Technik“ verlangt wird. Ein solch vager Begriff ist im juristischen Kontext stets der Auslegung zugänglich, wird aber einhellig als in der Praxis bewährte und mit hohen Sicherheitsstandards versehene Verschlüsselung angesehen. Damit sollen vor allem bereits einhellig als lückenhaft erkannte oder für die konkrete Anwendung ungeeignete Verschlüsselungstechniken ausgeschlossen werden.

Personenbezogene Daten

Aber was sollte nun nach dem Stand der Technik verschlüsselt werden? Sobald personenbezogene Daten betroffen sind, könnte man einen Bedarf zur Verschlüsselung annehmen. Hierfür spricht auch, dass Arbeitgebern unter anderem bei Gehalts- und Krankenkassendaten eine solche Pflicht zur Verschlüsselung obliegt. So müssen diese gem. § 41a Abs. 1 Einkommensteuergesetz, § Steuerdatenübermittlungsverordnung, § 23c und § 28a Sozialgesetzbuch IV, § 2 Beitragsüberwachungsverordnung und § 16 Datenerfassungs- und Übermittlungsverordnung den jeweiligen Finanz- und Sozialbehörden bei der elektronischer Meldung bestimmte Schnittstellen oder Zertifizierungsverfahren zur Verschlüsselung verwenden. Auch die Übermittlung von Gehaltsdaten zwischen Arbeitgeber und Privaten, bspw. der Lohnbuchhaltung, kann vor dem Hintergrund dieser gesetzlichen Regelungen nicht von einer Verschlüsselung ausgenommen werden.

Allerdings stehen der Annahme eines generellen Verschlüsselungsbedarfes unter anderem das VG Berlin (VG Berlin, 24.05.2011, 1 K 133/10) entgegen. Dieses stellt dem Verschlüsselungsbedarf eine Verhältnismäßigkeitsprüfung voran. So wurde entschieden, dass einem Personalvermittler eine Verschlüsselung bei der Übersendung von Bewerberdaten per Email aufgrund von Unverhältnismäßigkeit nicht zuzumuten sei.

In ähnlichem Lichte fordert auch der § 9 Bundesdatenschutzgesetz (BDSG) in dieser Respektive von Unternehmen die Vornahme von technischen und organisatorischen Maßnahmen. Erst § 3 Abs. 9 BDSG verpflichtet zur Verschlüsselung bei der Übersendung von besonderen personenbezogenen Daten.

Spezial-gesetzliche Regelungen

In den unterschiedlichen Bereichen der Wirtschaft und der öffentlichen Verwaltung ist dann auch eine Vielfalt an spezial-gesetzlichen Regelungen zu finden. So hat die Meldung von Sicherheitsbeauftragten gem. § 7a Abs. 2 Atomrechtliche Sicherheitsbeauftragten- und Meldeverordnung auch verschlüsselt zu erfolgen. Bei diesen oder ähnlichen Regelungsbereichen werden sensible Schutzbereiche und ein Gemenge von Gesetzen angesprochen.

Vertragliche Verschlüsselungspflichten für Unternehmer

Einem jeden sollte bewusst sein, dass ein Vertrag neben den Hauptpflichten auch stets Nebenpflichten beinhalten wird. Im Rahmen der Kommunikation zwischen Vertragspartnern können Aspekte der Kommunikationsverschlüsselung durchaus ein Teil von sowohl Haupt- als auch Nebenpflicht sein.

Verschlüsselungspflichten als Teil vertraglicher Hauptpflichten

Betrachten wir nun zunächst die vertraglichen Hauptpflichten: Durch Geheimhaltungsvereinbarungen, zumeist Non-Disclosure-Agreement genannt, werden Vertragsparteien zur Geheimhaltung der Inhalte des Vertrages verpflichtet. Das Weitertragen von Informationen ist nicht gestattet. Damit wird jedoch noch nicht unmittelbar festgelegt, ob, wann und wie eine Kommunikation zwischen den Vertragsparteien auch verschlüsselt werden muss.

Vor dem Hintergrund des Sinn und Zweckes einer Geheimhaltungsvereinbarung ist jedoch zumindest darauf zu schließen, dass alle Informationen mit Vertragsbezug vor dem Zugriff Dritter geschützt werden soll. Zieht man hier eine Parallele zu den gesetzlichen Regelungen fällt auf, dass auch im privatrechtlichen Bereich, bestimmte Daten, wie personenbezogene Daten oder Daten mit Bezug zu sicherheitsrechtlich relevanten Themen – beispielsweise Informationen über die nukleare Energieversorgung oder angreifbare Infrastruktur – als besonders schützenswert zu erachten sind. So sollte sich letztlich die Geheimhaltungspflicht hier dann in einer Verschlüsselungspflicht äußern, da ansonsten eine gesicherte Kommunikation nicht mehr gewährleistet werden könnte.

Als praktischer Hinweis sei hier darauf verwiesen, dass sich vielfach eine ausdrückliche vertragliche Regelung in diesem Bereich lohnt. So kann Risiken in Form von unterschiedlichen Verschlüsselungstechniken oder sogar unachtsamem Umgang mit bestehenden Verschlüsselungstechniken entgegen gewirkt werden.

Verschlüsselungspflichten als Teil vertraglicher Nebenpflichten

Vor eben dem Hintergrund der oftmals nicht erfolgenden vertraglichen Regelung sollen hier dann auch noch die vertraglichen Nebenpflichten abgedeckt werden. Sollte nämlich eine ausdrückliche vertragliche Regelung fehlen, so ist stets im Einzelfall auszulegen.

Wichtig ist, dass sich die Pflicht zur Verschlüsselung immer an der übermittelten Information nicht an der Kommunikationsform orientieren muss. So ist vom Grad der Vertraulichkeit einer Information auf deren Verschlüsselungswürdigkeit zu schließen. Auch hier fordert der technologische Fortschritt, insbesondere die Big Data-Offensive, ihren Tribut. Durch die Akkumulation von großen – auf den ersten Blick wahrscheinlich unbedeutend erscheinenden – Daten können teilweise dezidierte Persönlichkeitsprofile erstellt werden, sodass im Endeffekt eine graduelle Abstufung in Form von Verschüsselungsklassen nicht mehr möglich erscheint. Vielmehr erscheinen bereits relative banale Daten verschlüsselungswürdig.

Für die Praxis ergeben sich daraus folgende Richtlinien: Sensible Daten sollten stets verschlüsselt werden. Gerade Daten Dritter fallen unter den Begriff „sensible“, ansonsten aber auch personenbezogene oder unternehmensbezogene Daten. Sobald durch einen Kommunikationsteilnehmer eine Verschlüsselungstechnik genutzt wird, sollte auf diese eingegangen werden.

Abschließend ist noch festzustellen, dass trotz teilweise entgegenstehender Rechtsprechung (vgl. OLG Köln, 24.04.2013, I – 16 U 106/12) ein erhöhter Mehraufwand durch Verschlüsselung vor dem Hintergrund der technischen Entwicklung im Software-Bereich kaum noch ausgegangen oder dies als Gegenargument angebracht werden kann.

Funktion und Einsatz von Verschlüsselungstechniken

Nachdem wir nun den rechtlichen Rahmen betrachtet haben, kommen wir jetzt zu den Funktionen und sinnvollen Einsatzformen von Verschlüsselungstechniken.

Angriffsformen auf Verschlüsselungen

Dabei stellt sich oftmals zuerst die Frage, warum es überhaupt mehrere Verschlüsselungstechniken gibt oder gar geben muss. Hintergrund sind letztlich die verschiedenen Angriffsformen auf Verschlüsselungen, welche sich auf drei Kategorien eingrenzen lassen.

Die Angriffe auf den Verschlüsselungsschlüssel, also auf das Tool, welches letztlich die Verschlüsselung wieder in Klartext umwandeln kann, erfolgen meist durch die so genannte Brute-Force-Attacke. Solche Angriffe versuchen quasi mit Gewalt, aber auf jeden Fall auf gut Glück, jegliche erdenkliche Variante des Schlüssels zu erraten. Eine andere Ausprägung der Angriffe auf Verschlüsselung versucht den Schlüssel durch Auslesen von Inhalten zu erlangen. Dabei werden, wie bei den so genannten Heart-Bleed-Angriff, auf Fehler in der Verschlüsselungssoftware gestützt Speicherinhalte und unter Umständen auch der Key ausgelesen. Aber auch Bedienungsfehler, wie der Known-Plain-Text, führen dazu, dass Daten ausgelesen werden können. Hierbei würde ein Kommunikationspartner auf eine verschlüsselte Email mit einer normalen Email antworten, sodass potentielle Angreifer durch das Vorliegen des Klartextes und des Chiffrats Rückschlüsse auf den Schlüssel ziehen können.

Neben den Angriffen auf den Verschlüsselungsschlüssel kann auch das Verschlüsselungsverfahren selbst angegriffen werden. Dies ist allerdings zumeist der Fall, wenn Verschlüsselungen selbst Fehler aufweisen.

Abschließend seien noch die Angriffe auf die Umweltumstände der Verschlüsselung anzuführen. Hierbei macht sich ein potentieller Angreifer die Umwelt einer Verschlüsselung zu Nutze und verwendet sie gegen die Verschlüsselung. Dabei werden der Stromverbrauch oder die Veränderungen des elektromagnetischen Feldes im Zusammenhang mit den auf den Nutzungsgerät ausgeführten Befehlen analysiert und daraus Schlüsse auf die Verschlüsselung gezogen. Dies kann jedoch nur unter sehr strengen und nahezu hermetischen Bedingungen, beispielsweise in einem Labor, durchgeführt werden

Symmetrische Kryptographie

Kommen wir nun nach den Angriffsszenarien auf die möglichen Verschlüsselungsformen zu sprechen. Dabei gilt die symmetrische Verschlüsselung wohl als Bekannteste. Hierbei werden sowohl die Verschlüsselung als auch die Entschlüsselung durch ein und denselben Schlüssel vorgenommen, sodass ein Austausch dieses Schlüssels durch die Kommunikationsparteien notwendig ist.

Dieses Verfahren kommt vornehmlich in Datei- oder Festplattenverschlüsselungen zum Einsatz. Hier sollen dann Daten vor dem Zugriff durch unbefugte Dritte geschützt werden und dies vornehmlich, wenn es zum Diebstahl von Nutzungsgeräten oder der unbefugten Nutzung selbiger kommt. Ein Schlüsselaustausch kann dabei entfallen, da ein jeder Nutzer dieser Datei- und Festplattenverschlüsselung den Schlüssel qua natura selten weiterreicht. Wem gewährt man schon den Zugang zu seinem privaten Laptop oder den Zugriff auf eine Festplatte voll mit persönlichen Dokumenten, Fotos und anderen Daten?

Wichtig ist hierbei zu beachten, dass die meisten Dateiverschlüsselungen und genutzten Kompressionssoftware stets die Möglichkeit einer Entschlüsselung durch zusätzliche Software beinhalten und so einen recht geringen Schutz bieten. Hintergrund soll die Möglichkeit sein, vergessene Passwörter wieder herzustellen. Dem gegenüber gibt es aber auch gängige Festplattenverschlüsselungen, die einen höheren Sicherheitsstandard aufweisen.

Asymmetrische Kryptographie

Natürlich muss es neben einer symmetrischen auch eine asymmetrische Verschlüsselung geben. Hier wird eine öffentlich zugänglicher Schlüssel, ein Public Key, zur verschlüsseln genutzt. Erst zur Entschlüsselung wird ein geheimer Schlüssel, ein Private Key, verwandt. Dieses Verfahren gilt aufgrund der längeren Verschlüsselung (bis zu 8192 Bit) als rechenzeitaufwendiger.

Dieses Verfahren wird zumeist bei der End-zu-End-Verschlüsselung verwandt. Hierbei wird eine Nachricht vor der Übertragung verschlüsselt und erst durch den Empfänger und dessen Private Key wieder entschlüsselt. So wird ein Zugriff auf Inhalte durch Dritte vermieden.

Exkurs: Transportverschlüsselung

An dieser Stelle ist auf ein frappierendes Detail aufmerksam zu machen: Im Rahmen des Online-Banking, des Online-Shopping sowie bei der vielfach angepriesenen SSL- Verschlüsselung für den Email-Verkehr handelt es sich um so genannte Transportverschlüsselungen. Diese verschlüsseln im Gegensatz zur End-zu-End-Verschlüsselung lediglich die notwendigen Passwörter. Innerhalb der Übertragung werden die Inhalte der Email mehrfach auf Servern überall auf der Welt zwischengespeichert.

Bekannt wurde dies vor allem durch die Snowden-Affäre. In einem kürzlich veröffentlichten Interview mit dem Comedian und Journalisten John Oliver führte Snowden persönlich aus, dass so die NSA auf im Ausland zwischengespeicherte Email-Inhalte amerikanischer Staatsbürger zugreifen konnte.

 Daher kann diese Art der Verschlüsselung zu keinem Zeitpunkt als wirklich sicher gelten.

 Hybride Kryptographie

In jüngerer Vergangenehit wurden dann noch Mischformen , wie beispielsweise PGP oder GnuPG, der bereits angeführten Verschlüsselungsformen entwickelt. Hybride Verschlüsselungsformen versuchen dabei die Vorteile von symmetrischer und asymmetrischer Verschlüsselung zu kombinieren. So wird in einem ersten Schritt ein zufälliger Schlüssel für eine Nachricht generiert, welcher diese symmetrisch verschlüsselt. Im Anschluss wird diese bereits symmetrisch verschlüsselte Nachricht dann mit dem Public Key des Empfängers verschlüsselt. Eine Entschlüsselung erfolgt dann über den Private Key des Empfängers. Hier wird durch den relativ kleinen Schlüssel einer symmetrischen Verschlüsselung – bis zu 512 Bit – der Rechenzeitaufwand gleichsam gering gehalten.

Integrität einer Kommunikation: Prüfsummen und Digitale Signatur

Nachdem wir nun die Sicherheit von Verschlüsselungen angesprochen haben, muss ebenso auf die Integrität von Kommunikationsverschlüsselung eingegangen werden. Während eine Verschlüsselung die Übertragung einer Nachricht schützen mag, kann jedoch versucht werden Veränderungen an dieser Verschlüsselung vorzunehmen. Diese bezeichnet man dann als Integrität einer Verschlüsselung, welche durch das gleichzeitige Übersenden von kryptographisch sicheren Prüfsummen sichergestellt werden kann. Anhand dieser zumeist einzigartigen Prüfsummen kann eine Feststellung von versuchter Manipulation vorgenommen werden.

Im Rahmen einer Digitalen Signatur können dann die Prüfsummen mit dem Private Key einer Person mitsamt der Nachricht übersandt werden. Sobald dann auch der Private Key einer Person zugeordnet werden kann, beispielsweise anhand e-Personalausweises, ist neben der Sicherheit auch die Integrität gewahrt.

Organisationale Einbettung von Kommunikationsverschlüsselung

Nun erscheint es fraglich, ob, nachdem wir all die Funktionen und den Nutzen von Kommunikationsverschlüsselungen erörtert haben, überhaupt ein Unternehmer diese in seinen Alltag integrieren mag. Denn selbst nach einer Aufarbeitung erscheint das Thema immer noch komplex und zum Teil unnahbar.

Letztlich ist es aber genau der umgekehrte Fall. Verschlüsselungstechnik gerade im Bereich der End-zu-End-Verschlüsselung ist vielfach als Open Source Software zu erhalten. Es bedarf eines geringen Lernaufwandes dies Software zu verstehen und einzusetzen. Durch Schulungen oder Vorträge zum verständigen Umgang mit Verschlüsselungen können bereits Fehler wie die des Know-Plain-Text Problems ausgemerzt werden.

In jedem Fall sollte sich die Leitungsebene eines jeden Unternehmens den verhältnismäßig geringen Aufwand gegenüber den teilweise katastrophalen und unternehmerisch vernichtenden Folgen von unverschlüsselter und unsicherer Kommunikation vor Augen führen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *