Warum End-to-End Verschlüsselung?

Aus docCopy Wiki
Wechseln zu: Navigation, Suche

Rechtslage

Deutschland

In Deutschland regelt vom Grundsatz her §231 StGB den Umgang mit sensiblen und schützenswerten Daten.

Dritte i.S.d. Gesetzes sind alle, die nicht auch unmittelbar unter die Verschwiegenheitspflicht fallen - mithin nicht direkt mit der Verarbeitung und Sicherung der Daten beauftragt sind.
Gemeint sind z.B. ArzthelferInnen, RechtsanwaltsgehilfInnen und Ärzte im gleichen Krankenhaus.

Somit ist im Falle einer Übertragung der Daten sicherzustellen, dass sie gegenüber ebenjenen Dritten nicht offenbart werden. Hier reicht die Möglichkeit der Kenntnisnahme schon aus [1][2], was z.B. bei Sytemadministratoren von Mailservern durchaus gegeben ist, da sie Zugriff auf die Inhalte von Emails die über ihren Server versendet werden haben.

Schweiz

In der Schweiz regelt vom Grundsatz her Art. 321 StGB in gleicher Weise wie in Deutschland § 203 StGB die Handhabung von zu schützenden Daten.

Ansätze zur Dateiübertragung

Als verschlüsseltes Archiv

Beispiel: ZIP File mit Passwort. Doch besonders ZUP Files sind relativ leicht angreifbar, siehe: Verschlüsselte Archive sind nicht sicher genug. Die Schlüsselbreite der Verschlüsselung ist gering, Schlüssel können bei Kenntnis einer Datei schnell errechnet werden.
Die Weitergabe des Passworts stellt sich oft kompliziert dar (Telefon, Fax, SMS, neue Mail ?).

Cloud- und Cloudähnliche Dienste

Der Ablauf bei solchen Diensten ist meist der gleiche und kann hier im Einzelnen nachgelesen werden.

  1. Die Daten werden über eine verschlüsselte (TLS) Verbindung auf den Server übertragen,
  2. auf dem Server symmetrisch AES verschlüsselt und gespeichert.
  3. Bei der Abholung werden die Daten entschlüsselt,
  4. und via TLS-Verbindung übertragen.


Folgende datenschutzrechtliche Problematik ensteht somit:

  • Mindestens der Sysadmin des betreibenden Servers kann Kenntnis über die Daten erlangen.
  • Es besteht die Möglichkeit, dass z.B. der die TLS-Verbindung herstellende Server die Anfragen in sein internes Netz ungesichert weitergibt (z.B. der vielgenutzte Pound-Proxy). Somit sind könnten die Daten einem erweiterten Nutzerkreis zugänglich sein.
  • Die Verschlüsselung an sich ist sicher genug. [3]
  • Der Schlüssel, der zur Entschlüsselung gebraucht wird, liegt auf dem gleichen Server, wie die Daten. Wird dieser Server gehackt können alle Daten entschlüsselt werden.
  • Weitergabe des Passworts zur Entschlüsselung problematisch (s.o.)
  • Durch den grundsätzlichen, hierarchischen Aufbau von TLS, kann sich ein Angreifer als Übertragungsserver ausgeben.
  • TLS ist immer wieder gehackt worden. Und bedarf kontinuierlicher Pflege seitens des Sysadmins.


Grundsätzlich ist zu sagen, dass schon vom Prinzip einer Cloud her nicht sichergestellt werden kann, dass Unbefugte Zugriff auf gesicherte Daten haben können.

Ohne weitere Sicherung per Mail

Dies ist denkbar ungeeignet, da ein Mittelmann die Daten abhören kann.

Per Fax

Ein Fax ist mittlerweile in den meisten Fällen eine Datenübertragung per VOIP.
VOIP Verbindungen sind jedoch ungesichert[4] Rein technisch gesehen unterscheidet es sich nicht von einer ungesicherten Mail.

Per Post

Es ist möglich z.B. eine CD per Post zu schicken.
Problematisch ist hierbei jedoch, dass die Daten darauf verschlüsselt sein müssen, für den Fall einer unerlaubten Öffnung durch Dritte. Wei bei anderen Methoden bleibt die sichere Übermittlung des Passwortes ein zusätzlicher Aufwand.

Unser Ansatz für einen sicheren Austausch von Daten

Die momentan einzig denkbare Möglichkeit, sich an geltendes Datenschutzrecht zu halten und dies auch in bestehende Compilanceprozesse einzubinden, ohne ein eigenes gesichertes Netzwerk über hochgesicherte Tunnel bereitzustellen, ist eine echte Punkt-zu-Punkt Verschlüsselung der Daten beim Versand.[3]
Das Problem hierbei ist jedoch, dass der Umgang mit Schlüsseln, Schlüsselringen und Verschlüsselung von Daten im allgemeinen kompliziert und unbequem ist
Vor allem, wenn größere Datenmengen versendet werden sollen

Unser Service behebt beide Probleme indem er:

  • Die Daten lokal verschlüsselt vor dem Versenden
  • und diese mittels eines wiederaufnehmbaren Synchronisierungsvorgangs auf den Server kopiert.
  • Die verschlüsselten Daten wiederum zum Empfänger synchronisiert und
  • erst dort mit dem privaten Schlüssel (welcher nie den PC des Empfängers verlässt) des Empfängers entschlüsselt.

How-simple.png


Einzelnachweise

  1. Lenckner in Adolf Schönke/Horst Schröder Strafgesetzbuch Kommentar, 26. Aufl, § 203 Rdn. 19
  2. Zusammenfassend Jan Köpke, Heidelberg 2003 (Inaugural-Dissertation)
  3. 3,0 3,1 Sehr ausführlich die Ärtzekammer Baden-Würrtemberg (pdf)
  4. für Patientendaten die Kassenärtlichen Vereinigung Punkt 6.2.3