Wie kommen Daten sicher von A nach B? Das ist eine Frage, die im Alltag immer wieder auftaucht. Während es innerhalb und zwischen kirchlichen Einrichtungen in der Regel einfach per Mail geht, braucht es vor allem im karitativen und diakonischen Bereich Strategien, wie man niederschwellig und nutzungsfreundlich Daten sicher mit Klient*innen und Behörden austauscht.

Was in der Regel nicht funktioniert, ist weniger gebräuchliche oder komplizierte technische Wege vorzugeben. Lösungen, die in der Praxis auch tatsächlich funktionieren, sollten im Idealfall Bordmittel einsetzen. Zum Glück geht das.

Grundsätze

Probleme bei E-Mail und Fax

Am einfachsten wäre der Versand von Daten per E-Mail. Leider ist E-Mail nicht zwangsläufig ausreichend sicher. Es gibt einige technische Risiken:

• E-Mails sind in der Regel transportverschlüsselt. Das heißt, dass sie auf dem Weg von der Senderin zur Empfängerin verschlüsselt werden – aber das ist nicht notwendig so. Es ist auch möglich, dass Zwischenschritte unverschlüsselt sind. Daraus folgt, dass E-Mails innerhalb geschlossener Netze oder zwischen Netzen, die sich vertrauen, verwendet werden kann (viele kirchliche Einrichtungen vertrauen sich gegenseitig; im katholischen Bereich gibt es den sicheren Mailverkehr des VDD, von dem man außer gelegentlichen Erwähnungen in Datenschutzdokumentationen nichts weiß). Bei externen Kontakte (also üblicherweise beim Versand an Klient*innen) kann man in der Regel nicht voraussetzen, dass der normale Mailversand ausreichend sicher ist.
• Im privaten Bereich werden sehr viele kostenlose oder in Drittstaaten ansässige Maildienstleister verwendet. Hier besteht (neben dem Drittlandtransfer) immer die Möglichkeit, dass Daten vom Provider analysiert und für eigene Zwecke verarbeitet werden, weil die Mails beim Provider unverschlüsselt liegen.
• Ende-zu-Ende-Verschlüsselung von Mails, also die Verschlüsselung im Mailclient der Absenderin und die Entschlüsselung im Mailclient des Empfängers, ist technisch möglich, aber kaum verbreitet und für weniger technisch Interessierte zu wenig intuitiv. Dazu kommt, dass im professionellen Umfeld eher S/MIME als Verfahren eingesetzt wird, für das man in der Regel kostenpflichtige Zertifikate benötigt, im privaten dagegen PGP/GPG – selbst wenn beide Seiten Ende-zu-Ende-Verschlüsselung können, ist noch lange nicht gesagt, dass sie die gleiche Sprache sprechen.

Es gibt aber nicht nur technische, sondern auch soziale Probleme von E-Mail: Weil man oft nicht weiß, wer alles auf eine E-Mail-Adresse Zugang hat, sei es, weil Geräte geteilt werden, sei es, weil Accounts geteilt werden, sei es, weil Dritte wie Eltern oder Schule und Arbeitgeber die Geräte verwalten, auf denen die Mail empfangen wird.

Aus diesen Gründen ist vor allem im Austausch mit Behörden und im Gesundheitsbereich oft das Fax eine Alternative. Faxen hat aber ganz eigene Probleme. Im katholischen Bereich ist das Faxen grundsätzlich verboten (und wenn es doch noch nötig ist, braucht es eine gute Strategie für sicheres Faxen.) Für den Kontakt mit Privaten kommt das Fax mangels Relevanz und Verbreitung in der Regel ohnehin nicht in Frage.

Rechtslage und Stand der Technik

Im katholischen Bereich gibt es dank der KDG-DVO ausdrückliche und einheitliche Regelungen. Die KDG-DVO unterscheidet je nach Schutzbedarf verschiedene Datenschutzklassen mit wachsenden Anforderungen an technische und organisatorische Maßnahmen. Ab Datenschutzklasse II ist der E-Mail-Versand nur innerhalb gesicherter Netze oder mit Verschlüsselung nach dem Stand der Technik zulässig (§ 26 Abs. 1 KDG-DVO). Unter Datenschutzklasse II (§ 12 KDG-DVO) fallen Daten, »deren missbräuchliche Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann«. Darunter fallen bereits Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten. Gerade im karitativen Bereich in der Kommunikation mit Klient*innen ist man also wohl immer mindestens in dieser Datenschutzklasse und braucht daher eine angemessene Verschlüsselung.

Im evangelischen Bereich gibt es keine einheitliche Regelung zum Datenschutzmanagement. Einzelne Landeskirchen haben aber unterschiedlich komplexe Durchführungsverordnungen zum DSG-EKD. Allgemein fordert § 27 DSG-EKD angemessene und risikoadäquate technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen. Damit kann man auf die bewährten Systematiken des BSI-Grundschutzes und des SDM ebenso wie des darauf aufbauenden Kirchlichen Datenschutzmodells zurückgreifen. Im Ergebnis wird man auch im evangelischen Bereich (und im weltlichen unter Geltung der DSGVO) zum Schluss kommen, dass per Mail versandte Daten in der Regel verschlüsselt werden müssen.

Strategien

Sichere Kommunikationsdienste

Ideal wäre ein System, das einfach so funktioniert und automatisch hinreichend sicher ist. Das geht – wenn auch nicht für jeden Anwendungsfall. Einige Beispiele:

• Ende-zu-Ende-verschlüsselte Mails sind wie oben ausgeführt zwar eine Nische. Es schadet aber nicht, die üblichen Verfahren (S/MIME und PGP/GPG) anbieten zu können. Erfahrungsgemäß wird nur ein verschwindend geringer Prozentsatz der Kommunikationspartner*innen das in Anspruch nehmen – wenn man es aber einmal eingerichtet hat, sollte es in Zukunft ohne große Probleme funktionieren.
• Oft ist der Versand über sichere Messenger eine Alternative. Goldstandard sind dabei Signal und Threema, aber selbst WhatsApp ist hinsichtlich der Inhalte nach aktuellem Wissensstand sicherer als unverschlüsselte E-Mail: WhatsApp gibt an, Signal-Technik zu verwenden (was nicht überprüft werden kann), die Inhalte sind also nach allem, was wir wissen, sicher – das große Problem bei WhatsApp ist nicht die Verschlüsselung von Inhalten, sondern Metadaten und Adressbuchupload. Meta sichert zu, dass persönliche Chats nicht von der Meta-KI in WhatsApp verarbeitet werden. Wenn man also ohnehin schon (aus welchen Gründen auch immer) per WhatsApp mit jemandem kommuniziert, kann man darüber auch Daten verschicken.
• Der Zugriff über spezielle Austauschplattformen kann funktionieren: Das kann eine Speziallösung einer Beratungsplattform sein oder etwas Generisches wie eine Nextcloud-Installation. Daten sind in solchen Lösungen so sicher wie die jeweilige Plattform – das muss im Einzelfall geprüft werden. Durch die standardmäßige Transportverschlüsselung von Webinhalten ist der Up- und Download in solche Plattformen in der Regel technisch sicher. Dafür muss dann aber auch das Zugriffspasswort auf sicherem Weg an den Mann und die Frau gebracht werden.

Verschlüsselte Dateien verschicken

Am Ende landet man mit gewisser Wahrscheinlichkeit dann doch bei der E-Mail. Dann braucht es eine Lösung – und die wird in der Regel der verschlüsselte Dateianhang sein. Wenn der Anhang sicher verschlüsselt ist, kann man auch unsichere Transportwege verwenden. (Denkbar wäre auch, verschlüsselte Dateien auf USB-Stick weiterzugeben – USB-Sticks bergen aber weitere Risiken.) Die gute Nachricht: Für die üblichen Dateiformate ist das mit Bordmitteln oder zumindest mit freier Software möglich. Wenn Verschlüsselungsverfahren beim Speichern ausgewählt werden können, sollte man in der Regel AES-256 auswählen. Dieses Verfahren entspricht dem Stand der Technik.

• MS-Office-Dateien können verschlüsselt gespeichert werden, je nach Version über Datei > Informationen > Dokument schützen > Mit Kennwort verschlüsseln. Seit Office 2007 wird ein sicheres Verschlüsselungsverfahren verwendet.
• LibreOffice hat im Speichern-unter-Dialog die Option »Mit Kennwort speichern« – auch wenn da keine Verschlüsselung erwähnt wird, werden die Dateien tatsächlich verschlüsselt. Seit Version 3.5 aus dem Jahr 2012 wird ein sicheres Verschlüsselungsverfahren verwendet.
• PDF-Dateien können beim Exportieren in MS-Office und LibreOffice sicher verschlüsselt werden. Nachträglich können PDF-Dateien mit PDF24 (kostenlos; es sollte die lokale Version verwendet werden, nicht der Online-Dienst) verschlüsselt werden. Seit PDF-Version 2.0 (2017) ist ein sicheres Verschlüsselungsverfahren Standard.
• komprimierte Archive wie Zip-Dateien können verschlüsselt werden, aber leider nicht mit Windows-Bordmitteln. Eine gute Windows-Software, die Verschlüsselung beherrscht, ist 7-Zip (das als freie Software kostenlos ist). Wichtig: In Zip-Dateien können die Dateinamen nicht verschlüsselt werden, man sieht also, was in der Datei ist. Umgehen kann man dieses Problem, indem man doppelt verschlüsselt und zipt, in einer verschlüsselten Zip-Datei also eine verschlüsselte Zip-Datei ist, dann sind die Dateinamen nicht sichtbar. (Danke an den Hinweis aus den Kommentaren auf diesen Trick!). Außerdem muss man darauf achten, nicht das unsichere Verschlüsselungsverfahren »ZipCrypto« auszuwählen. Von Haus aus kann Windows lediglich mit ZipCrypto verschlüsselte Archive entschlüsseln. Das 7z-Format von 7-Zip kann auch die Dateinamen verschlüsseln und verwendet standardmäßig ein sicheres Verschlüsselungsverfahren. (Ich erwähne nur Windows unter der Annahme, dass Menschen, die Linux nutzen, eh wissen wie’s geht, und dass Windows im beruflichen Einsatz das übliche Betriebssystem ist.)

Von diesen Varianten ist wahrscheinlich das verschlüsselte PDF die Variante, die am zugänglichsten ist und auch mobil die wenigsten Probleme machen sollte.

Allen diesen Wegen ist gemeinsam, dass es ein Passwort gibt, das für die Ver- wie die Entschlüsselung benötigt wird. Es braucht daher einen sicheren Weg, das Passwort mitzuteilen.

Zentral ist dabei, das Passwort über einen anderen Kanal als die verschlüsselte Datei mitzuteilen: Schickt man das Passwort auf demselben Weg wie die Datei, kann man auch gleich darauf verzichten. Das gilt auch für zwei nacheinander geschickte Mails: Wer auf die Mail mit den Daten zugreifen kann, kann auch auf die Mail mit dem Passwort zugreifen. Geeignete Kanäle sind z. B. das direkte oder telefonische Gespräch, sichere Messenger oder SMS. Für den Umgang mit Klient*innen kann man auch Kärtchen vorbereiten, auf denen zweimal das gleiche Passwort steht: Eine Hälfte bekommt der*die Klient*in, eine Hälfte kommt in die Akte.

Die Passwörter dürfen auch leicht merkbar sein. Genügend sichere und verständliche (und damit z. B. telefonisch diktierbare) Passwörter kann man etwa erzeugen, indem man mehrere normale Wörter aus einem Wörterbuch zufällig (!) aneinanderreiht gemäß der Methode »Correct Battery Horse Staple«; dafür gibt es auch deutschsprachige Passwortgeneratoren.

Ausweg Einwilligung?

Kann man in schlechtere Schutzstandards einwilligen? Ist es also möglich, auf diese Varianten zur sicheren Dateiübermittlung einfach zu verzichten, indem die empfangende Person einwilligt, einfach einen normalen, unverschlüsselten E-Mail-Anhang zu bekommen? Das ist eine klassische Frage im Datenschutz, die kontrovers diskutiert wird. Selbst wenn man (wie die katholische Datenschutzkonferenz) die Position vertritt, dass die Einwilligung in schlechtere ToMs grundsätzlich möglich ist, ist diese Möglichkeit nicht grenzenlos und nur unter sehr engen Bedingungen überhaupt möglich: Es ist nicht zulässig, einfach nur die Einwilligung anzubieten und als Alternative nichts. Es muss immer die Möglichkeit einer sicheren Übermittlung angeboten werden.

Im Ergebnis sollte man daher auf eine Einwilligung in den unverschlüsselten Versand nur in begründeten Einzelfällen ausweichen und stattdessen dafür sorgen, dass die sichere Variante auch tatsächlich genutzt werden kann.

Fazit

Sichere Dateiübertragung ist möglich – und mit Bordmitteln oder freier Software auch einigermaßen nutzungsfreundlich machbar. Damit das auch tatsächlich gemacht wird, braucht es neben den technischen Voraussetzungen auch eine gute Begleitung durch Schulung und Qualifizierung der Leute, die sicher Daten verschicken müssen. Zudem braucht es eine gute Vermittlung den Empfänger*innen gegenüber (etwa durch geeignete niederschwellige Info-Flyer), damit diese auch ohne Frust die sicher verschickten Daten öffnen können.