Wie recherchiere ich über deutsche Firmen im Internet?

Rechtsanwalts-
vergütung und EU-Gemeinschaftsrecht

Verschwiegenheits- verpflichtung des Rechtsanwaltes

Die Mailing-Liste für Anwälte

Über unsere erste Homepage


Verschwiegenheitsverpflichtung des Rechtsanwaltes im Online-Netz


INHALT:

Recherchen im Internet
Anbieten einer Home Page
Kommunikation im Internet
Verbindung mit dem internen Netzwerk
Schlußfolgerungen

"Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet", heißt es lapidar in § 43a Abs. 2 BRAO. Dies bedeutet indes nicht nur selbst verschwiegen zu sein (und die eigenen Mitarbeiter darauf zu verpflichten), sondern auch dafür Sorge zu tragen, daß von Mandanten anvertraute Informationen nicht Dritten zugänglich gemacht werden.

Es erfordert nicht viel Phantasie, sich vorzustellen, daß solche Informationen nicht selten von größtem Interesse für die Gegenseite oder gar die Öffentlichkeit sein können. Dies gilt für spektakuläre Prozesse ebenso wie für Alltagsstreitigkeiten. Das amerikanische "Law Journal Extra" bringt das Problem mit folgender Schlagzeile auf den Punkt: "Law Firm Data A Juicy Target for Hack Attack" [Dateien der Anwaltsbüro - ein saftiges Ziel für Hacker-Angriffe].

Das Risiko, die Verschwiegenheitsverpflichtung zu verletzen, wenn wir einen Brief abschicken oder ein Telefongespräch führen, kennen wir, oder glauben wir zumindest zu kennen. Die Risiken der On-line-Kommunikation und die Möglichkeiten, diese Risiken zu begrenzen, sind indes weithin unbekannt.

Bei der Beurteilung der Frage, was die anwaltliche Verschwiegenheit unter den konkreten Umständen einer Kommunikation im Internet gebietet, werden wir uns von dem allgegenwärtigen Grundsatz leiten lassen müssen, den Mandanten stets umfassend über bestehende Risiken aufzuklären, und stets den sicheren Weg zu empfehlen (oder in der Terminologie des BGH gar den "sichersten" Weg). Wir müssen also prüfen,

  • welche spezifischen Risiken bestehen "on-line" und
  • kann man sich schützen, gegebenenfalls wie?

Generell bestehende Sicherheitslücken bei der Verwendung elektronischer Datenverarbeitung in Büros, wie z.B.

  • der Verkauf oder die "Verschrottung" eines alten oder vermeintlich defekten PCs, dessen Festplatte vertrauliche Informationen enthält,
  • die banale (zum Beispiel Vornamen oder Geburtsdaten) oder ganz fehlende Verwendung von Zugangspassworten,
  • der in der Mittagspause der Mitarbeiter für Besucher zugängliche PC, der die Abfrage vertraulicher Informationen ermöglicht, oder
  • der bei der Gehaltserhöhung übergangene Mitarbeiter, der aus Rache empfindliche Informationen weitergibt

sollen hier nicht erörtert werden.


Recherchen im Internet

Man sollte meinen, daß eigene On-Line-Recherchen keine Sicherheitsrisiken in sich bergen können, da der Anrufer selbst abfragt, aber nicht abgefragt wird. Dem ist nicht unbedingt so.

Es gibt immer wieder Beispiele, aus denen hervorgeht, daß die Software-Industrie versucht, Informationen über ihre Nutzer zusammenzutragen, ohne dies dem Nutzer mitzuteilen: Das Programm "Netscape" etwa sammelt Informationen über die vom Benutzer im Internet besuchten Adressen in einer Datei, die "Cookies" heißt, und die von anderen Anbietern im Netz on-line abgefragt werden kann, um auf diese Weise zu erfahren, welche Informationen der Benutzer früher gesammelt hat. Diese Möglichkeit kann allerdings explizit abgestellt werden.

Microsoft hatte sich folgendes einfallen lassen: Bei der Online-Installation der ersten Version des Betriebssystems "Windows 95" fragte das Programm die übrigen im anrufenden PC gespeicherten Programme ab und meldete sie an die Zentrale. Auf diese Weise wollte sich Microsoft einen Überblick über die tatsächlich genutzten Programme der Anwender verschaffen. Erst auf geharnischte weltweite Proteste wurde diese Abfrage wieder abgeschafft.

Ein Sicherheitsrisiko im engeren Sinn ist aus anwaltlicher Sicht darin wohl nicht zu sehen; wichtig ist allerdings die Erkenntnis, daß es grundsätzlich technisch nicht ausgeschlossen ist, daß eigene Daten ohne Wissen und Zustimmung abgefragt werden können. Die Wahrscheinlichkeit, daß gezielt vertrauliche Informationen (wie sie sich regelmäßig in Textdateien befinden), abgefragt werden, ist allerdings als sehr gering einzuschätzen. Wer seine Kontakte zum Internet darauf beschränkt, selbst Informationen zu sammeln, kann kaum Opfer eines Hackers oder anderen vergleichbaren Angriffs werden. Es ist nach gegenwärtigem Kenntnisstand nicht möglich, daß hierbei sicherheitsrelevante Informationen, die sich auf dem eigenen PC befinden, abgefragt oder kopiert werden können.


Anbieten einer Home Page

Die Situation kann sich ändern, wenn sich der Rechtsanwalt dazu entschließt, eigene Informationen im Internet auf einer sogenannten "Home Page" anzubieten. Wer etwa auf die Idee kommt, dies auf seinem eigenen Bürocomputer zu bewerkstelligen, provoziert geradezu den elektronischen Einbruch neugieriger oder auch böswilliger Hacker. Da die Homepage auf dem eigenen Computer jedoch zugleich die weitaus teuerste und komplizierteste Lösung ist - sie erfordert nämlich eine kostenträchtige Standleitung der Telekom und Betreuung rund um die Uhr - kommt sie in der Regel nicht in Betracht.

Der Rechtsanwalt ist stattdessen gut beraten, all diese technischen Probleme und Risiken einem professionellen "Internet Service Provider" zu überlassen, bei dem er zu inzwischen sehr überschaubaren Preisen Festplattenkapazität anmietet. Praktisch funktioniert dies so, das der Provider seinem Kunden die (passwortgeschützte) Möglichkeit einräumt, eigene Dateien auf den Provider-Computer zu übertragen (und zu ändern oder zu löschen), die dann von allen Internet-Besuchern (ohne Passwort) gelesen werden können. Auf diese Art kann der Rechtsanwalt exakt steuern, welche Informationen überhaupt der Öffentlichkeit zugänglich gemacht werden sollen, ohne Zugang zur eigenen Anlage zu ermöglichen.

Aber auch der Provider muß Sicherheitsvorkehrungen treffen: Er muß verhindern, daß die der Öffentlichkeit zugänglich gemachten Informationen des Anwalts verändert werden können. Derartiges ist kürzlich dem amerikanischen Justizministerium widerfahren, dessen Homepage plötzlich mit verändertem Text "United States Department of Injustice"), Hakenkreuzen und Pornobildern versehen war.


Kommunikation im Internet

Bisher war nur von der Einbahnstraßen-Information die Rede, also entweder der Recherche oder dem Angebot von Informationen. Die wahren Möglichkeiten des Internet liegen indes in einem bis heute noch weit unterschätzten Bereich, der Kommunikation. Der weitaus wichtigste Bereich des Internet ist der Austausch von elektronischen Mitteilungen, die inzwischen allgemein E-mails genannt werden. (Die Telefonie über das Internet wird wohl erst in einiger Zeit Bedeutung gewinnen; unter dem Gesichtspunkt der anwaltlichen Verschwiegenheit wird hier nichts anderes gelten, als für andere abhörgefährdete Netze.)

Der offensichtliche Vorteil der elektronischen Post in der täglichen Mandatsbearbeitung liegt darin, daß Kollegen und Mandanten für kurze Informationen oder Nachfragen rasch und zuverlässig erreicht werden können. Der zeit- und kostenaufwendige Weg über entweder Diktat/Schreiben/Korrekturlesen/Faxen oder Telefonieren mit mehrfachem vergeblichen wechselseitigen Rückruf, weil der gewünschte Gesprächspartner seinerseits telefoniert, kann vermieden werden. Die Nachricht erreicht den Adressaten innerhalb kürzester Zeit direkt und kann meist auch sogleich abschließend erledigt werden.

Solche Nachrichten werden im Internet nach einem TCP/IP genannten Protokoll offen und unverschlüsselt über die Datenleitungen versandt, wobei längere Mitteilungen in einzelne Teile - sogenannte Pakete - geteilt werden. Der Weg der einzelnen Pakete kann je nach Netzbelastung unterschiedlich verlaufen. Diese Daten - und damit auch die versandten Texte - sind von Unbefugten angesichts der riesigen Datenmengen, die bewegt werden, nur mit erheblichem technischen Aufwand wieder zusammenzuführen. Aber technisch ist es möglich und auch schon vorgekommen, daß Daten gezielt beschafft wurden. Zum Beispiel wurde eine Technik bekannt, bestimmte Datenknotenpunkte mit Daten so zu überlasten, daß die gewünschten Nachrichten über einen anderen Knotenpunkt geleitet wurden ("Spoofing"), der dann "abgehört" werden konnte. Besonders gefährlich wird es, wenn dann noch die "abgehörte" elektronische Mitteilung verändert wird und der Empfänger dies nicht feststellen kann.

Für einen großen Teil des Datenverkehrs im Internet ist es sinnvoll, Dateien offen zu versenden. Zum Beispiel bedürfen die für jedermann öffentlich zugänglichen Informationen keiner Verschlüsselung. Aber folgende Möglichkeiten müssen bedacht werden (alles Dinge, die schon vorgekommen sind):

  • Ein Geltungssüchtiger kopiert/veröffentlicht/verkauft Nachrichten und Adressen.
  • Es gibt sich jemand als ein anderer aus (bei dem meist verwendeten Zugangsprogramm "NetScape" kann der Absendername frei gewählt werden).
  • Der absendende Anwalt vertippt sich bei der Empfänger-Anschrift. Die Nachricht ist deshalb unzustellbar und landet - für den Operator offen lesbar - in einer gesonderten Datei.

Es müssen daher, um das On-Line-Netz als Rechtsanwalt überhaupt sinnvoll und risikolos als Kommunikationsmedium nutzen zu können, die nachfolgenden Fragen zufriedenstellend beantwortet werden:

  • Wie können sensible/vertrauliche Informationen an einen bestimmte Empfänger versandt werden, ohne daß sie einem Unbefugten in die Hände fallen können?
  • Wie können bestimmte Dokumente nur für bestimmte Empfänger freigegeben werden?
  • Wie kann sichergestellt werden, daß der Kommunikationspartner tatsächlich derjenige ist, für den er sich ausgibt?

Hierfür wurden und werden immer noch zahlreiche Verschlüsselungsmethoden erdacht. Dabei ist die Verwendung einer Schlüsseldatei, mit der beide Beteiligten, Sender und Empfänger, ihre Dateien verschlüsseln, bei einer Vielzahl von Kommunikationspartnern zum einen unpraktisch, weil jeder mit jedem einen Schlüssel vereinbaren muß, und zum anderen ist die Frage der sicheren Übermittlung des Schlüssels ungeklärt.

Stand der Technik ist hier die Verwendung von sogenannten asymmetrischen Schlüsseln. Das weltweit hierfür verwendete Programm trägt den programmatischen Namen "Pretty GoodPrivacy" (abgekürzt PGP) oder eingedeutscht: Prima Geschützte Privatsphäre. Diese Programm ist so effektiv, daß die USA den nicht ausdrücklich genehmigten Export untersagt haben, und es damit auf eine Stufe mit Kriegswaffen und Munition stellen.

Bei dieser Verschlüsselungsmethode werden zwei unterschiedliche Schlüssel, und zwar ein öffentlicher Schlüssel, der sogenannte "public key", und der private Schlüssel, der "private key" erstellt. Den öffentlichen Schlüssel soll jeder kennen, während der private Schlüssel streng geheim gehalten wird.

Der Trick besteht darin, daß jeder dieser beiden Schlüssel im jeweils anderen enthalten ist, ohne daß dies zu entwirren ist, und zwar bis heute auch nicht mit aufwendiger Rechenarbeit. Eine Mitteilung, die mit dem einen der beiden Schlüssel verschlüsselt ist, kann nur mit dem anderen Schlüssel entschlüsselt werden.

Ein Beispiel: Will Rechtsanwalt RA dem Mandanten M eine verschlüsselte Nachricht zusenden, verschlüsselt RA diese Nachricht mit dem öffentlichen Schlüssel von M und sendet die Nachricht dann an M. Nur M kann die Nachricht mit seinem eigenen privaten Schlüssel entschlüsseln (auch RA kann die einmal verschlüsselte Nachricht nicht mehr entschlüsseln).

Das Ganze funktioniert auch umgekehrt: Rechtsanwalt RA verschlüsselt eine Nachricht mit seinem eigenen geheimen Schlüssel. Jeder Empfänger dieser Nachricht kann diese mit dem öffentlichen Schlüssel von RA entschlüsseln. So ist sichergestellt, daß die Nachricht von RA stammt, und keinem anderen.

Diese beiden Verschlüsselungsarten werden dann, um die angestrebte optimale Sicherheit zu erhalten, miteinander kombiniert. RA verschlüsselt die Nachricht an M mit seinem eigenen geheimen Schlüssel und dem öffentlichen Schlüssel von M. Diese Nachricht kann von nur von M mithilfe seines eigenen geheimen Schlüssels und des öffentlichen Schlüssels von RA entschlüsselt werden. So ist sichergestellt, daß die Nachricht nur von RA stammen kann und nur von M gelesen werden kann.

Über die von PGP verwendeten mathematischen Methoden zur Verschlüsselung, der sogenannten Algorithmen, gab es in der Vergangenheit einen Streit, der nie abschließend geklärt wurde. Hintergrund war der Umstand, daß bestimmte Algorithmen (RSA-A) in den USA patentiert sind, andere (IDEA-A) in Europa. Inzwischen stehen zwei Versionen von PGP zur Verfügung, eine amerikanische und eine europäische, die im jeweiligen Erdteil keine Patente verletzen und die miteinander kompatibel sind. Die Benutzung des Programms ist im nichtkommerziellen Bereich kostenlos, im kommerziellen Verkehr kostet die Einzellizenz in Europa 15$.

Die Rechtmäßigkeit der Verwendung kryptographischer Verfahren ist national höchst unterschiedlich geregelt. Während kryptographische Software in den USA strengen Exportbeschränkungen unterliegt, ist Kryptographie in Frankreich sogar schlicht verboten. Hierzulande gibt es zur Zeit keine gesetzliche Regelung zum Einsatz kryptographischer Verfahren. Auf gleichlautende Anfragen der Grünen im Bundestag 1994, 1995 und 1996 teilte die Bundesregierung mit, daß die "Meinungsbildung noch nicht abgeschlossen" sei. Das Dilemma ist offensichtlich: Nach Auffassung der CSU "muß ein Staat aus Staatsschutzgründen in der Lage sein, sich und seine Bürger zu schützen, also gegebenenfalls Daten entschlüsseln können bzw. entschlüsseln lassen können". Dagegen halten SPD, F.D.P. und Grüne in unterschiedlichen Gewichtungen ein Verbot der Kryptographie für entweder sinnlos und/oder sehen dies im Widerspruch zu Art. 5 GG.

Als Ergebnis ist festzuhalten: Wenn mit dem Mandanten vertrauliche Informationen über das Internet ausgetauscht werden sollen, muß entweder verschlüsselt werden oder der Mandant muß vorher - in Kenntnis der Risiken - der unverschlüsselten Übertragung explizit zustimmen.


Verbindung mit dem internen Netzwerk

In den bisherigen Überlegungen wurde vorausgesetzt, daß der Kontakt zum Internet nur über einen einzigen Computer aufgenomen wird. In der Tat wäre es am sichersten, nur einen PC, der nicht an das interne Netz angeschlossen ist, mit Internet-Zugang zu versehen. Dies wäre indes so unpraktisch, daß dann niemand freiwillig die Möglichkeiten des Internet nutzen würde. Sinnvoll ist stattdessen, daß von jedem Anwaltsarbeitsplatz aus direkt eine Einwahl in das On-Line-Netz möglich ist. Das gilt erst recht, wenn damit zugleich der Kontakt etwa zum auswärtigen Büro der überörtlichen Sozietät hergestellt werden kann.

Dies bedeutet allerdings zugleich, den elektronischen Zugang von außen in das Büro zu eröffnen, und sich damit Risiken auszusetzen. Die Fehler, die amerikanische Anwaltsbüros bei der Einführung solcher Systeme gemacht haben, waren haarsträubend. Zum Beispiel wurde vielfach kein Passwort (oder die Initialen der Firma) bei der Einwahl verlangt, um "die älteren Kollegen nicht zu sehr zu belasten". Daß das Hacker geradezu herausfordert, nimmt nicht wunder.

Wer das eigene lokale Netzwerk mit dem Internet verbinden möchte, ohne ein erhebliches Sicherheitsrisiko entstehen zu lassen, muß einige organisatorische Vorkehrungen treffen, die hier nur angedeutet werden können:

  • Ein gesonderter PC wickelt die gesamte Internet-Kommunikation ab (Verbot aller individuellen Modeme und ISDN-Karten). Dieser Computer ist die sogenannte "Bastion".
  • Dieser Internet-PC wird als Internet-Server eingerichtet, zu dem die interessierten Teilnehmer des lokalen Netzwerkes Zugang erhalten.
  • Die Telefonnummer dieses Internet-PC's wird so geschaltet, daß entweder nur ausgehende Anrufe möglich sind und/oder nur Anrufe von bestimmten Telefonnummern entgegengenommen werden (dies sind Leistungsmerkmale, die bei ISDN-Telefonanlagen geschaltet werden können). Wenn z.B. die Kommunikation mit anderen Büros der überörtlichen Sozietät ermöglicht werden soll, können nur die bekannten Telefonnummern der Internet-PC's dieser Büros anrufen, und/oder werden zurückgerufen.
  • Im Internet-PC wird durch Software ("Packet Screen") gefiltert, welche Dateitypen/Dateiabsender/Kommunikationstypen (z.B. kein Telnet) in das lokale Netzwerk durchgelassen werden.
  • Das Protokoll des Internet-PC, mit dem alle Sende- und Empfangsvorgänge erfaßt werden, wird häufig auf Unregelmäßigkeiten durchgesehen.
  • Der Internet-PC hat keinen Zugang zum allgemeinen Büro-Netzwerk-Server.

Damit läßt sich das realisieren, was unter dem Schlagwort "Fire Wall" [Brandschutzmauer] bekannt geworden ist - der Bau einer Schwelle zwischen zwei Netzwerken, nämlich dem "bösen" Internet draußen und "guten" eigenen Netzwerk drinnen, deren Überwindung nur durch definierte Aktivitäten möglich ist.


Schlußfolgerungen

Die Kommunikation im Internet hat spezifische Risiken, die zu einer Verletzung der anwaltlichen Verschwiegenheit führen können. Welche Maßnahmen getroffen werden, um diese Risiken auszuschließen oder auf ein Mindestmaß zu begrenzen, wird abhängen davon

  • welche Aktivitäten überhaupt vorkommen (nur Informationsbeschaffung, oder auch Übertragung von vertraulichen Daten),
  • wie sensibel die zu übertragenden Informationen sind,
  • wie weit das eigene System (das interne Netzwerk) geöffnet werden soll und
  • last, but not least, wie groß die eigene Paranoia ist.

[Anmerkung: Dies ist die Zusammenfassung eines Vortrages aus dem Herbst 1996; die Links dieser Seite sind nicht aktualisiert. PGP gibt es jetzt zum kostenlosen Download in Europa.]


Sagawe & Klages Rechtsanwälte
ABC-Strasse 1 · D-20354 Hamburg
Tel. +49 40 357534-0 · Fax +49 40 357534-34
E-Mail: info@tyskret.com