§ 4 Verschlüsselung im beA und Verschwiegenheitspflicht

A. Verschlüsselung im Allgemeinen

Rz. 1

Per elektronischer Nachricht kann die Datenübermittlung mit codierten oder nicht-codierten Anhängen verschlüsselt/unverschlüsselt und/oder signiert erfolgen. Durch Verschlüsselung (Chiffrierung; Kryptographie) mithilfe von Software wird aus einem sog. Klartext ein Geheimtext, also Text mit Zeichenfolgen, die beim Lesen keinen erkennbaren Sinn ergeben. Die Verschlüsselung dient der Geheimhaltung von Nachrichten, um auf diese Weise Daten gegenüber unbefugtem Zugriff zu schützen bzw. um Nachrichten vertraulich übermitteln zu können. Der Verschlüsselung in der anwaltlichen Kommunikation kommt gerade im Hinblick auf die Verschwiegenheitspflicht des Anwalts eine besondere Rolle zu.

Rz. 2

Die Verschlüsselung kann mittels Passwortvergabe erfolgen; in der modernen Kommunikation wird der Schlüssel automatisch generiert, damit eben keine zu unsicheren Passwörter (zu kurz, zu durchschaubar etc.) gewählt werden. Die Verschlüsselung erfolgt z.B. mit einem sog. öffentlichen Schlüssel. Ein geheimer oder privater Schlüssel kann dann zur Entschlüsselung dienen. Er ist z.B. zu diesem Zweck auf einer Chipkarte aufgebracht.

Rz. 3

Bei der symmetrischen Verschlüsselung wird die Nachricht mit einem Schlüssel verschlüsselt und beide Teilnehmer an dem Verfahren, Absender und Empfänger, nutzen den gleichen Schlüssel. Dieses Verfahren ist relativ unsicher und/oder umständlich, da der Schlüssel vom Absender zum Empfänger transportiert werden muss. Dies kann auf elektronischem Weg oder durch Transport auf einem Datenträger erfolgen.

Rz. 4

Bei der asymmetrischen Verschlüsselung wird ein Schlüsselpaar benötigt (privater und öffentlicher Schlüssel). Dieses Schlüsselpaar ist mathematisch so miteinander verknüpft, dass sie nur wechselseitig zum Einsatz kommen können. Dabei ist der private Schlüssel nur dem Schlüsselinhaber bekannt. Der öffentliche Schlüssel wird entweder dem Absender für die Verschlüsselung geliefert (z.B. per Mail) oder derjenige, der verschlüsseln möchte, holt sich den öffentlichen Schlüssel des Empfängers aus einem öffentlich zugänglichen Schlüsselserver. Das Prinzip ist: Verschlüsselung einer Nachricht durch den Absender mit dem öffentlichen Schlüssel des Empfängers. Entschlüsselung der Nachricht beim Empfänger mit dem privaten Schlüssel des Empfängers. Das asymmetrische Verfahren ist wesentlich sicherer. Im elektronischen Rechtsverkehr wird mit dem System der asymmetrischen Verschlüsselung gearbeitet.

Rz. 5

Da asymmetrische Verschlüsselungsverfahren sehr langsam sind, werden sie i.d.R. nur für kleine Datenmengen eingesetzt. Abhilfe kann mit einer hybriden Verschlüsselung geschaffen werden. Hier werden die eigentlichen Daten mit einem symmetrischen Session-Key und der Session-Key asymmetrisch mit dem öffentlichen Schlüssel des Empfängers der Daten verschlüsselt. Beim digitalen Signieren kann statt der Daten auch nur deren digitaler Fingerabdruck (Hashwert) asymmetrisch signiert werden (Zeitvorteil).

B. Methoden der Verschlüsselung von Nachrichten

Rz. 6

▓ Verschlüsselung von E-Mails

Werden E-Mails vom Absender zum Empfänger versendet, geschieht dies im Internet ohne besondere Vorkehrung, sofern also keine eigene Verschlüsselung erfolgt, grundsätzlich unverschlüsselt. Dabei werden die E-Mails von Server zu Server weitergeleitet und können auf diesen Servern durchsucht, evtl. verändert und nach beliebigen Stichworten ausgewertet werden.

Rz. 7

Um dies zu verhindern, muss die E-Mail verschlüsselt werden, indem eine Verschlüsselungs-Software eingebunden wird. Dies kann z.B. mit PGP (Pretty Good Privacy) oder mit dem freien Programm ­easyGPG erfolgen. Diese Programme können als Add-Ons oder Plug-Ins in den E-Mail-Programmen installiert werden. Bei dieser Verschlüsselungsmethode kommt ein Schlüsselpaar, die sog. "asymmetrische Verschlüsselung" zum Einsatz. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel wird geheim gehalten und ist nur dem Schlüsselinhaber bekannt. Dieser wird in der Regel durch ein Passwort oder eine PIN geschützt.

Rz. 8

An den öffentlichen Schlüssel des Empfängers gelangt der Absender dadurch, dass ihm der Empfänger diesen öffentlichen Schlüssel zur Verfügung gestellt hat, oder der Absender den öffentlichen Schlüssel des Empfängers von einem öffentlichen Schlüsselserver herunterlädt. Um die Echtheit des öffentlichen Schlüssels zu prüfen, um Manipulationen möglichst ausschließen zu können, sollten der Absender und der Empfänger den Fingerabdruck des öffentlichen Schlüssels über ein sicheres Medium, z.B. das Telefon, überprüfen. Nur wenn die Werte des Fingerabdrucks (sog. Hash-Wert) bei Empfänger und Absender übereinstimmen, kann davon ausgegangen werden, dass keine Manipulation am öffentlichen Schlüssel durchgeführt worden ist.

Rz. 9

Die zu sendende E-Mail wird vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Das kann man sich bildlich so vorstellen, dass ein Vorhängeschloss an die vom Absender zu sendende E-Mail gehängt wird und somit niemand mehr Zugang zu dieser E-Mail bekommen ...