Die Online-Korrespondenz mit dem Anwalt

So kommunizieren sie sicher und vertraulich per E-Mail mit Ihrem Anwalt.

Die elektronische Post:

Die elektronische Post ist schnell versendet, kostet nichts und inzwischen weit verbreitet. Sie hat aber einen entscheidenden Nachteil: E-Mails sind unsicher. Jeder der will, kann die Online-Korrespondenz mitlesen, abfangen oder gar unerkannt manipulieren.

courten IT-Rechtsberatung hat sich daher für GnuPG als Verschlüsselungs -und Signaturlösung entschieden. Das Programm implementiert den weit verbreiteten OpenPGP-Standard und kann unter GNU/Linux, Mac OS X und diversen anderen unixoiden Systemen sowie unter Microsoft Windows betrieben werden.

Vertrauliche Kommunikation

Vertraulichkeit beginnt mit der Verschlüsselung

Alle Informationen in einer E-Mail werden grundsätzlich im Klartextmodus übermittelt. Ihr Weg zum Empfäger ist oft nicht vorhersehbar, denn sie durchläuft eine Reihe von Mailservern. Einige Mailserver sind so konfiguriert, dass eine Kopie zurückbleibt und es hängt nur vom Administrator des Servers ab, ob und wie lange Mails gespeichert bleiben. Wer also Zugang zu diesen Systemen hat, ob berechtigt oder nicht, hat auch so Zugang zu Ihren Informationen.

Spätestens wenn Sie persönliche oder gar vertrauliche Informationen an die courten IT-Rechtsberatung versenden wollen, sollten Sie sich der Verschlüsselung bedienen. Laden sie sich hierzu unseren öffentlichen Schlüssel herunter. Verschlüssen sie ihre Nachricht und Anhänge mit diesem Key, dann ist auch sichergestellt, dass nur der Besitzer des dazu passenden privaten Schlüssels; die courten IT-Rechtsberatung ihre Mail lesen kann. Schicken Sie uns Ihren öffentlichen Schlüssel, dann können wir Ihnen auch sicher d.h. verschlüsselt antworten.

Anwälte sind von Berufs wegen zur Verschwiegenheit verpflichtet. Sie müssen daher Sorge tragen, dass auch die Online-Korrespondenz mit ihrem Mandanten vor dem Zugriff Dritter geschützt ist. Vor der eigentlichen Korrespondenz findet daher ein Austauch der öffentlichen Schlüssel statt.

Fingerprint

Überzeugen Sie sich von der Echtheit des Schlüssels und der Identität des Absenders

Um sicher zu gehen, dass der öffentliche Schlüssel auch der Person gehört, mit der man tatsächlich kommunizieren möchte, kann man den sogenannten Fingerprint, eine eindeutige Prüfsumme des Schlüssels über einen “sicheren Kanal” (z.b. ein Telefonat oder persönliches Treffen) kommunizieren und vergleichen. Den Fingerprint/Fingerabdruck findet man in den Eigenschaften des betreffenden Schlüssels.

Anzeigen lässt sich der Fingerabdruck unseres Schlüssels mit: gpg --fingerprint B7A3D2AE2A062DF01725419565DB9BF855CEFAECinfoB7A175CEF3D2AE2A062D@9BF54195685F0AEC25DBra-courten.de65DB9BF8A175CEF3D2AE2A065F0B72D254195AECDie Ausgabe sollte dann wie folgt aussehen:

pub   1024D/6523CD8C 2006-09-29
  Schl.-Fingerabdruck = 1E01 C8BD 55E6 0484 D418  68F4 76AF EFFF 6523 CD8C
uid                  Felix von Courten (dienstlich) 
uid                  Felix von Courten (patentschmutz) 
uid                  Felix von Courten (patentschmutz.org) 
uid                  RA Felix von Courten (courten IT-Rechtsberatung) 
sub   2048g/4BD647DA 2006-09-29

Möchte man bei einer unbekannten Person sicherstellen, dass die E-Mail Adresse *wirklich* im gehört, überzeugt man sich durch ein amtliches Dokument wie etwa einem Personalausweis oder Führerschein von der Identität davon, dass der Name in der User ID wirklich korrekt ist.

Sichere Kommunikation im Internet

Vertraulichkeit, Authentizität und Integrität der Nachricht durch die elektronische Signatur und Verschlüsselung

Bei der Kommunikation mit seinem Partner im Internet kann man - ohne besondere Vorkehrungen - sich nie sicher sein mit wem man wirklich kommuniziert bzw. ob die Nachricht die man so abgesendet hat, auch wirklich in der Form beim Empfänger ankommt. Eine elektronische Signatur erhöht das Vertrauen auf den Absender und Inhalt einer Nachricht. Damit Sie davon ausgehen können, dass E-Mails mit der Absenderadresse *@ra-courten.de wirklich von der courten IT-Rechtsberatung stammen und nicht durch Dritte manipuliert wurden, sind alle ausgehenden E-Mails mit einer einfachen digitalen Signatur versehen.

Die Digitale Unterschrift

Den Absender einer E-Mail zu fälschen ("Spoofing") ist nicht schwer. Vor allem Werbeemails ("Spam") und mit Würmern infizierte Emails tragen oft gefälschte aber authentisch erscheinende Absenderadressen, wie z.B. kundenservice@telekom.de oder sicherheit@postbank.de.

Die digitale Signatur wird mit Hilfe des privaten Schlüssels aus dem Nachrichtentext der E-Mail erzeugt. Diese kann dann von jedem Empfänger mit unseren öffentlichen Schlüssel überprüft werden. Dabei wird nicht nur der Absender überprüft, sondern auch, ob der Text unverändert angekommen ist.

Signatur verifizieren

Prüfen Sie die Signatur anhand eines Beispiels:

Eine digitale Signatur ist am ehesten mit einem Siegel zu vergleichen. Mit dem Siegel wird die Integrität einer Nachricht bestätigt, die sich in einem Umschlag befindet, und ermöglicht, dass sich eine nachträgliche Manipulation feststellen lässt. Wird die Nachricht nachfolgend in irgendeiner Weise verändert, ergibt die Prüfung der Signatur ein negatives Ergebnis. Die digitale Unterschrift kann so demselben Zweck wie eine handgeschriebene Unterschrift unter einem Schriftsatz dienen mit dem zusätzlichen Vorteil, eine Handhabe gegen Verfäschung zu bieten. Als Beispiel wurde die Nachricht message2.txt mit folgender Unterschrift message2.txt.sig digital signiert.

Die Integrität der Nachricht lässt sich wie folgt prüfen:gpg --verify message2.txt.sig message2.txt Das Ergebnis sollte dann wie folgt ausfallen:

gpg: Unterschrift vom Fr 30 Jul 2010 15:21:19 CEST mittels DSA-Schlüssel ID 6523CD8C
gpg: Korrekte Unterschrift von "Felix von Courten (dienstlich) "
gpg:                     alias "Felix von Courten (patentschmutz) "
gpg:                     alias "Felix von Courten (patentschmutz.org) "
gpg:                     alias "RA Felix von Courten (courten IT-Rechtsberatung) "