Die Verschlüsselung von Daten ist für Berufsgeheimnisträger wie Wirtschaftsprüfer, Steuerberater oder wie in diesem konkreten Fall für Rechtsanwälte essentiell. Das BGH bewertet die derzeitige Sicherheitsarchitektur des elektronischen Anwaltspostfach (beA) als sicher im Rechtssinne und sieht keine Verpflichtung zu einer Ende-zu-Ende-Verschlüsselung solange eine „sichere Kommunikation“ gewährleistet ist (BGH, Urteil vom 22.03.2021, AnwZ (Brfg) 2/20).
Die Kläger hatten von der Bundesrechtsanwaltskammer gefordert, die vorhandene Sicherheitsarchitektur auf eine reine Ende-zu-Ende-Verschlüsselung umzustellen, da nur diese geeignet sei, die anwaltliche Pflicht zu Verschwiegenheit und die Daten der Kommunikationsbeteiligten im Rahmen der anwaltlichen Kommunikation ausreichend zu schützen.
Bei den Verschlüsselungstechniken unterscheidet man zwischen Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung:
- Im Rahmen der Transportverschlüsselung wie „Transport Layer Security“ (TLS) oder „Secure Sockets Layer“ (SSL) erfolgt eine Absicherung der Kommunikation zwischen dem E-Mail-Programm und seinem E-Mail-Service-Provider. Die beteiligten E-Mail-Service-Provider haben jedoch weiterhin Zugriff auf den Klartext der Mail.
- Bei der Nutzung der Ende-zu-Ende-Verschlüsselung wird die E-Mail vor dem Versand mit dem öffentlichen Schlüssel des Adressaten verschlüsselt und erst beim Empfang durch dessen zweiten passenden und geheimen Schlüssel geöffnet. Mittels Prüfsummen kann der E-Mail-Empfänger bspw. verifizieren, dass die Mail wirklich vom Besitzer des passenden geheimen Schlüssels stammt und damit die Authentizität stimmt. Folglich ist es mit einer Ende-zu-Ende-Verschlüsselung einfacher möglich, Ziele der Informationssicherheit wie den Schutz der Vertraulichkeit, der Authentizität sowie der Integrität zu erfüllen. Die Daten sind nur für denjenigen im Klartext zu lesen für den sie bestimmt sind, die Echtheit des Absenders wird verifiziert und eine unbemerkte Veränderung durch Dritte kann nicht erfolgen.
Das elektronische Anwaltspostfach wird durch eine Kombination verschiedener Verfahren geschützt. Zum einen wird ein hardwarebasiertes Sicherheitsmodul (HSM: Hardware Security Module) eingesetzt, mit dessen Hilfe definierte kryptographische Funktionen durchgeführt werden können. Zum anderen wird die Nachricht selbst symmetrisch verschlüsselt und ergänzend dazu der verwendete Nachrichtenschlüssel asymmetrisch. Zusätzlich soll der unberechtigte Zugriff durch eine Zwei-Faktor-Authentifizierung verhindert werden. Das System des elektronischen Anwaltspostfach wird von der Bundesrechtsanwaltskammer in zwei redundanten Rechenzentren betrieben und nur die in einem sicheren Verzeichnisdienst hinterlegten Rechtsanwälte können überhaupt das beA nutzen.
Was ist jetzt wichtig?
Mit einer Ende-zu-Ende-Verschlüsselung wird regelhaft ein umfangreicher Schutz zu übertragender Daten gewährleistet, jedoch kann auch eine Transportverschlüsselung eine adäquate Verschlüsselungstechnologie zum Schutz sensibler Daten sein, sofern durch weitere Maßnahmen eine gesetzes konforme Umsetzung sichergestellt ist.