12.5 Sichere Kommunikation im Internet

Der Landesbeauftragte ist nach wie vor darüber erstaunt, mit welcher Nonchalance der Einsatz des Internets durch öffentliche Stellen gefördert und von diesen betrieben wird. Dies betrifft sowohl das Einstellen personenbezogener Informationen in dem jeweiligen Internetangebot wie auch die Nutzung spezieller Kommunikationswege. Die festzustellende "Leichtigkeit" im Umgang mit diesem Medium mag im privaten Lebensbereich akzeptabel sein. Für die Datenverarbeitung öffentlicher Stellen kommt aufgrund der unveränderten tatsächlichen und rechtlichen Unsicherheit ein Einsatz des Internets nur unter besonderen und engen Voraussetzungen in Betracht.
Erklärbar ist dieser "lockere" Umgang nur damit, dass im Wege einer unzutreffenden Parallelwertung eine Internet"seite" nach wie vor mit der Seite eines Druckwerkes gedanklich bzw. "gefühlsmäßig" gleichgesetzt wird. In der Praxis oft ein gefährlicher und folgenschwerer Irrtum.

Eine Firma informierte den Landesbeauftragten über einen neuen interessanten Sicherheitsstandard, der für den Aufbau einer sicheren Kommunikationsplattform entwickelt wurde. Es handelt sich dabei um einen Meta-Standard, der verschiedene technische und organisatorische Sicherheitsstandards zusammenfasst und Mindestanforderungen an eine vertrauliche Kommunikation im Internet beschreibt.
Grundaussage ist, dass Beratungseinrichtungen, gleich ob öffentliche oder private, die über das Internet mit Klienten, Bürgern und Kunden kommunizieren wollen, die Frage der Sicherheit nicht dem jeweiligen Nutzer überlassen, sondern von vornherein sichere Kommunikationswege zur Verfügung stellen sollten.

Unter anderem hat die Telefonseelsorge Deutschland aufgrund der bekannten Sicherheitsrisiken bei der E-Mail-Beratung eine Alternative gesucht und eine webbasierte Beratung nach dem neuen Sicherheitsstandard realisiert. Auf das Versenden von E-Mails wird jetzt völlig verzichtet.
Der Ratsuchende meldet sich bei der Telefonseelsorge mit einem beliebigen Nutzernamen und einem Kennwort an. Danach kann er sein Problem schildern und bekommt nach ca. 48 Stunden "Antwort" in der Form, dass er sich wiederum anmeldet und die Antwort des Beraters abrufen kann. Der gesamte Beratungskontakt verbleibt auf dem Server der Telefonseelsorge, der u.a. durch eine Firewall und eine Viruswall gegen Zugriffe und Angriffe von außen gesichert ist.
Zum einen wird auf diese Weise die Anonymität gewahrt, da der Nutzer keine E?Mail-Adresse angeben muss, die personenbeziehbar ist und zum anderen wird die Übertragung der Daten im Internet automatisch durch eine SSL-Verschlüsselung gesichert.
Durch das SSL-Zertifikat, das vom Trust-Center der Deutschen Telekom AG (TeleSec) ausgestellt wurde, kann der Nutzer außerdem regelmäßig davon ausgehen, dass es sich bei dem Anbieter tatsächlich um die Telefonseelsorge handelt.
Die Deutsche Telekom AG als privates Unternehmen unterliegt zugleich der Datenschutzkontrolle des Bundesbeauftragten für den Datenschutz. Damit ist sichergestellt, dass eine Kontrolle der einzuhaltenden datenschutzrechtlichen Bestimmungen erfolgt. Bei einem Zertifikatsanbieter außerhalb des Geltungsbereiches des Grundgesetzes wäre dies nicht so einfach.

Die beschriebene Lösung ist jedoch nicht nur für Einrichtungen zu empfehlen, die anonyme Beratung gewährleisten müssen oder wollen, sondern generell für öffentliche Stellen, die den Bürgerinnen und Bürgern eine sichere Kommunikationsmöglichkeit ohne vorherige Installation einer Verschlüsselungssoftware und aufwendige Schlüsselverwaltung zur Verfügung stellen wollen.
Allerdings ist in diesem Fall nur die Identität des Empfängers, nicht jedoch die des Absenders als sicher anzusehen. Sicherheit über den Absender erhielte man bei einer E-Mail nur über das aufwendige Verfahren mit einer digitalen Signatur.

Da der Landesbeauftragte selbst aufgrund der bekannten Sicherheitsprobleme seine E-Mail-Adresse nur für den dienstlichen Gebrauch zur Verfügung stellt, um zu verhindern, dass Bürger und öffentliche Stellen aus Unwissenheit sensible Informationen per E-Mail offen und durch Dritte verfälschbar verschicken, prüft er zur Zeit, ob eine solche webbasierte Lösung auch eine Alternative für die datenschutzrechtliche Beratung per Internet darstellen kann.