Wen schützt die DSGVO 

Im Kern geht es dabei um die Tatsache, dass E-Mails auch heute noch in weiten Teilen unverschlüsselt über das Internet ausgetauscht werden und damit die Möglichkeit im Raum steht, dass die übermittelten Informationen möglicherweise abgehört bzw. mitgelesen werden können. 

Allein diese Möglichkeit reicht dann oft schon aus, um die DSGVO zu bemühen, die ja in aller erster Linie den Endnutzer schützen soll. 

Jetzt fragt man sich natürlich spontan, welche persönlichen Daten schon vorab in diesem Antrag ausgefüllt waren, welche eine Übertragung per E-Mail unmöglich machten. Jedenfalls wurde als vermeintliche Alternative die Übertragung mittels Fax angeboten. 

Fax ist genauso unsicher wie E-Mail 

Nun wird der eine oder andere Leser verwundert den Kopf schütteln aufgrund der Tatsachen, 

• dass auch ein Fax unverschlüsselt übertragen wird, 
• dass heute die Providernetze in ihrem Backbone durchgehend IP-basiert sind und 
• dass damit auch ein Fax genauso leicht abzuhören ist wie eine E-Mail. 

Erst recht, wenn man weiß, dass heute viele Endkunden schon Dienstanbieter wie Sipgate nutzen, deren Infrastruktur nur über das Internet adressierbar ist. 

Die Zeiten einer strikten Trennung, in denen es eine angeblich sichere Telefonie über das Festnetz gab und eine unsichere über das Internet, sind vorbei. Niemand kann heute sagen, ob der Fax-Empfänger einen Server im Internet nutzt oder ein analoges Endgerät an einem Telefonanschluss. 

Das eigentliche Problem lautet Verschlüsselung 

Eine Lösung des Problems wäre mit heute gängigen Mitteln einfach zu realisieren. So wie es aktuell üblich ist, Web-Inhalte mittels TLS zu verschlüsseln, so könnte man auch auf eine sichere E-Mail-Kommunikation ausweichen. Einzige Voraussetzung wäre eine verfügbare und anerkannte Stelle zur Ausstellung von digitalen Zertifikaten. 

Eine solche Infrastruktur sollte im Sinne der Bürger keine privatwirtschaftliche Organisation sein, sondern von staatlicher Stelle geleitet werden. Ähnlich dem Personalausweis könnte der Bund Bürgerzertifikate herausgeben, die dann für verschiedene Verschlüsselungszwecke genutzt werden könnten. 

Dies klingt zunächst einleuchtend, ist aber wohl in der Praxis nur schwer umsetzbar: 

• Wer soll den Anwendern den Einsatz von Zertifikaten erklären und die Einrichtung in den diversen E-Mail Clients begleiten? 
• Wie sollen diese Zertifikate verteilt werden? 
• Wird dafür eine spezielle Hardware, wie z.B. ein Lesegerät benötigt? 
• u.v.a.m. 

Erkenntnis: Sicherheit ist komplex und erfordert neue Ansätze 

Um nun die Komplexität vom Endbenutzer fern zu halten, benötigen wir neue Ansätze.  

So könnte eine Möglichkeit darin bestehen, dass zwischen den Mail-Providern nur noch verschlüsselt kommuniziert wird und der Endbenutzer über eine sichere Verbindung verschlüsselte Informationen mit seinem Mail-Provider austauscht.  

Zwar liegen dann die Informationen beim Provider im Zweifelsfall unverschlüsselt auf einem Server, aber die Übertragung über das Internet könnte verschlüsselt erfolgen. 

Eine weitere Option wäre die Übertragung von Daten mittels TLS-gesichertem Download oder Upload zu einem Web-Server. 

Wie man sieht gibt es eine Reihe von Ansätzen, die man verfolgen kann, um das Fax überflüssig zu machen und trotzdem eine sichere Kommunikation zu ermöglichen. 

Wer jedoch partout an der Nutzung des Fax-Gerätes hängt und das Argument der Sicherheit ins Feld führt, um den weiteren Einsatz dieser Technik zu rechtfertigen, verkennt die mit der Fax-Kommunikation verbundenen Risiken, die durch die Umstellung der Telekommunikation auf IP entstanden sind.