Regelmäßig findet sich in der Signatur von e-Mails im Gechäftsverkehr mit Firmen, Freiberuflern — Rechtsanwälte eingeschlossen! — ein Passus, manchmal sogar in drei oder vier Sprachen, der mehr oder weniger höflich bis drohend darauf hinweist, daß die e-Mail und deren Anhänge vertrauliche und/oder rechtlich geschützte Informationen enthalte und daß man, sofern man nicht der intendierte Empfänger ist, sowohl den Absender informieren möge, als auch die Weitergabe der Informationen — unter Strafandrohung — zu unterbleiben habe. In etlichen Fällen enthalten diese E-Mails durchaus Informationen, die nicht für jedermann bestimmt sind. Offensichtlich ist man sich der Problematik bewusst, daß e-Mails technisch bedingt deutlich weniger vertraulich sind, als Briefe. Gemeinsam ist diesen e-Mails aber, jedenfalls bei dem was ich bisher gesehen habe, dass sie niemals irgendeinen Hinweis auf einen kryptografschen Schlüssel, sei es PGP oder S/MIME, enhalten. Man möchte zwar die Vertraulichkeit gewahrt wissen, ist aber selbst nicht bereit etwas dafür zu tun. Allein der Einsatz einer kryptografischen Signatur könnte die Irrläuferquote reduzieren, da sie bereits beim Absender mit hoher Wahrscheinlichkeit entdeckt werden würden, weil der Einsatz eines zwar zu der e-Mailadresse passenden Schlüssels, aber falschen Empfängers nicht vollständig vermeidbar wäre, aber einfache Tippfehler in den Mailadressen zu einer Rückmeldung führen würden.
Gerade bei Rechtsanwälten finde ich diese Sachlage immer wieder — besonders auch im Hinblick auf die Snowden-Enthüllungen — höchst befremdlich. Darüber, daß sich die Rechtsanwälte mit der Benutzung von kryptografischer Verfahren im e-Mailverkehr schwer tun, hatte ich bereits mal geschrieben. Selbst wenn Kanzleien einen PGP-Schlüssel anbieten, verlinken sie oftmals nur diesen auf ihrer Webseite ohne weitere Angaben im Klartet zum Schlüssel (ID, Fingerabdruck, Gültigkeit, etc.), noch ist er von anderen signiert und nur in seltenen Fällen findet er sich auf den Keyservern wieder. Gerade Rechtsanwälte mit ihrer Standesorganisation hätten eine zentrale Anlaufstelle, die die Schlüssel ihrer jeweiligen Mitglieder problemlos, noch dazu ohne Zeitdruck, signieren könnte.
Stellt sich nun die Frage, warum ist das so? Je kleiner ein Unternehmen ist, desto einfacher wäre. Ist es reines Unwissen und Desinteresse oder hängt es mit der Denkweise von Rechtsanwälten zusammen, alle Dinge als rechtliches und nicht als technisches Problem zu betrachten? Der Unsinn dieser Denkweise hatte sich ja schon bei DE-Mail gezeigt. Zunächst als technsich sicher mit Ende-zu-Ende-Verschlüsselung konzipiert, wurde es dann — unter dem Vorwand des Schutzes vor Schadsoftware in den Mails — aufgebohrt und eine Schnittstelle für den Zugriff staatlicher Oragnisationen (aka Antivirenscanner) geschaffen. Dieses nun technisch unsichere System wurde anschließend durch Juristen als sicher deklariert.
[…] Was den Fall aber interessant macht ist etwas Anderes und genau passend zu zwei anderen Artikeln zu Rechtsanwälten hier im Blog (hier und dort): […]
[…] auch nur ansatzweise andeutet. Bei Rechtsanwälten hatte ich dies schon hier und dort beklagt. Da Verschlüsselung nicht zum Standard gehört, ist zu erwarten, daß diejeigen, die es […]
[…] durch den Einsatz von Verschlüsselung hätte verhindern lassen (ich hatte das Thema schon mal angedeutet). Die Frage lässt sich nicht einfach mit Ja oder Nein beantworten. Im Normalfall enthält ein […]