Wie finde ich eine zuverlässige und preiswerte Rechtsschutzversicherung?

Sicher kommunizieren per Messenger für Anwälte? - rechtsanwalt.com
Anwaltsblog 18.05.2021 Christian Schebitz

Sicher kommunizieren per Messenger für Anwälte?

Sollten Anwälte einen Messenger für die Kommunikation mit Mandanten einsetzen?

Kennen auch Sie Strafrechtler, die ihren Mandanten als erstes ein simples Handy mit einer Prepaid-Simkarte in die Hand drücken? Natürlich ohne Internetverbindung. Gibt es dazu für Anwälte, die mit Ihren Mandanten sicher und verschlüsselt kommuniziere müssen, eine bequemeren Messenger? Einen, mit dem man auch Schriftliches zuverlässig Austauschen kann? 

Fast alle nutzen mittlerweile sogenannte Messenger Apps auf ihren Smartphones. Allein für WhatsApp werden die Nutzerzahlen auf über 5 Milliarden Menschen genutzt. Grundsätzlich sollten Sie einen Messenger wählen, denn ihre Zielgruppe auch verwendet.

Messenger bieten viele Vorteile, wie zeitversetztes kommunizieren. Oder auch den Austausch von Fotos, Links, Videos, PDF und sonstigen Informationen. Mit vielen kann man auch telefonieren und Videokonferenzen, sogar in Gruppen durchführen. Manche haben Archive, in dem man auch frühere Kommunikation nachvollziehen kann. Angefangen hat alles mit der SMS (gewissermassen das Fax-Pendant), die funktional stark beschränkt war. Apple ersetzte die SMS durch iMessage (s.u.) und erweiterte Funktionalitäten. Ein kritisches Argument für einen Messenger ist die Anzahl der Nutzer. Nur wenn Sie Ihre Kontakte darüber erreichen, macht er auch Sinn. Was Sie wissen sollten und welche Alternativen es zu WhatsApp gibt, lesen Sie im Folgenden.

Welche Risiken existieren bei der Nutzung von Messengern?

1. Können Dritte im Messenger heimlich mitlesen?

Dieses Problem lässt sich mit einer Ende-zu-Ende-Verschlüsselung (EzE) lösen. Dazu muss jedoch noch vor der Übergabe ins Internet auf dem Gerät verschlüsselt und nach Verlassen des Internets auf dem Gerät des Empfängers entschlüsselt werden. Viele der u.g. Messenger verfügen darüber – aber eben nicht alle.

2. Metadaten machen den Nutzer zu einem offenen Buch

Anhand von Meta-Daten lässt sich zum Beispiel auswerten, wer mit wem gechattet oder wo sich jemand aufgehalten hat. So könnte sich gegebenenfalls jemand, der sich in der Nähe einer Demo aufgehalten hat, automatisch einer gewissen politischen Gruppe zugeordnet werden – selbst wenn er nur zufällig vorbeigekommen ist. Insgesamt kann auch ein „Wert“ für die Mobilität erstellt werden, im Extremfall ganze Bewegungsmuster. Wenn Sie zum Beispiel Nutzer von Google Diensten sind, so werden sie gelegentlich eine E-Mail von Google erhalten. Diese zeigt Ihnen auf, an wie vielen und vor allem welchen Orten sie sich innerhalb der letzten Monate oder Jahre aufgehalten haben. Für Urlauber mag das schön sein, für einen Kriminellen (Mandanten) vielleicht weniger.

3. Auf welche Daten greifen Messenger zu?

Bereits bei der Installation einiger Messenger werden Sie gebeten den Zugriff auf das Adressbuch freizugeben. Das hat natürlich einerseits den Vorteil, dass sowohl Sie sehen können wen Sie über den Messenger erreichen können, als auch potentielle Kontaktpersonen. Anderseits wird damit Ihr komplettes Adressbuch an den jeweiligen Provider übermittelt (was möglicherweise schon ein DSGVO-Verstoß sein könnte). Im Fall von WhatsApp landen diese Daten sofort auch bei Facebook. Dort werden Ihre Kommunikation und Informationen selbstverständlich für gezielte Werbung eingesetzt. Natürlich weiß Facebook damit auch wen sie kennen, und mit wem sie häufig Kontakt haben. 

Sie könnten den Messenger auch ohne Adressbuch verwenden. Ein neuer Chat ist dann aber nur sehr schwierig möglich weil man zunächst einen gemeinsamen Kontaktcode austauschen muss (was oft per QR-Code passiert und einem Foto davon durch die App).

4. Kann man auf die Identität der Nutzer eines Messenger vertrauen?

Natürlich gehen Sie davon aus dass „Martin Schmitt“, den sie über den Messenger anschreiben auch der Gemeinte ist. Das muss aber nicht so sein. Die Authentizität eines Gesprächspartners sollte also sichergestellt sein. Dieser Schutz ist wichtiger als man auf den ersten Blick erkennt. Wenn man jemand nach sensiblen Informationen fragt, dann sollte man auch sichergehen, dass die Integrität stimmt. Theoretisch könnte sich ein Krimineller als Irgendjemand ausgeben, Sie finden ihn dann in ihrem Adressbuch, schreiben ihn an und schon schnappt die Falle zu.

Wenn sich also ein Gauner unter einem falschen Namen einen (QR-) Code erschleicht, kann er damit sogar ihr Messenger-Konto übernehmen. Sie könnten dann davon ausgesperrt werden und der Identitätsdieb fortan unter Ihrem Namen ihre Kontakte anschreiben. Schützen kann man sich dagegen, in dem man zum Beispiel im Chat einen grafischen QR-Code vom Partner anfordert und diese mit einer Referenz vergleicht. Das lässt sich zum Beispiel mit Signal und Telegramm erreichen. Dann können Sie sicher sein, dass ihr gegenüber nicht tatsächlich ein Anderer ist.

Einzig Threema ist hier eine Ausnahme. Es funktioniert ohne ein Benutzerkonto, sondern über eine zufällig generierte ID. Damit muss man keine Rückschlüsse auf seine eigene Person ermöglichen. Damit eignet sich dieser Messenger besonders für Menschen die ein rein beruflich genutztes Smartphone verwenden. Also insbesondere auch für Berufsträger.

Telegram bietet den Vorteil parallel auf mehreren Geräten nutzbar zu sein und hier mit mit bis zu drei Konten vom selben Gerät aus kommunizieren zu können. Ein Konto könnte also „Mandanten“ sein, ein anderes „Privat“. Dann müssten sie, in diesem Fall, jeweils noch für jeden Kontakt individuell den „geheimen Chat“ aktivieren, denn das geht (noch) nicht standardmäßig.

Mit den bisher genannten Möglichkeiten können Sie schon ganz vernünftig und sicher auch mit Mandanten kommunizieren.

5. Wie kann man mit Mandanten besonders sicher kommunizieren?

Wenn es besonders heikel ist, weil sie zum Beispiel mit einem Whistleblower oder Spion kommunizieren möchten, können Sie den Datenschutz mit einem „Briar Project“ perfektionieren. Dabei würden sie über ein Tor-Netzwerk EzE verschlüsselt kommunizieren, was sogar ohne durchgehende Internetverbindung möglich wäre, in dem sie die Kommunikation über geschmuggelte USB Sticks laufen lassen. Man kann damit lediglich Textnachrichten austauschen. Nichts wird dabei im Internet gespeichert. Damit lassen sich auch die Gesprächsteilnehmer nicht ausfindig machen. Es würde zu weit führen dieses Thema hier auszurollen, diejenigen, die das benötigen, werden sich dazu sicherlich weiter einlesen, bzw. ein IT Unternehmen beauftragen das aufzusetzen.

6. Womit kann man gruppentauglich direkt vom Desktop aus sicher kommunizieren?

Viele nutzen Microsoft Office (365) und damit auch „Teams“. Das ist zwar komfortabel und dockt nahtlos an die Microsoft Produktlinie an. Aber Teams beherrscht aktuell noch keine EzE Verschlüsselung. Damit kann man vertrauliche Gespräche prinzipiell belauschen, aber nur wenn man Zugriff auf die Microsoft Server erlangt – was zugegebenermassen sehr aufwändig sein dürfte. Ähnliches gilt für Skype Anrufe die nur dann „Ende-zu-Ende“ verschlüsselt sind, wenn man einen „privaten Anruf“ exklusiv startet.

Sicherer kommunizieren Sie über die Videokonferenz Plattform Zoom. Diese beherrscht Videokonferenzen mit bis zu 200 Teilnehmern und ist Ende-zu-Ende verschlüsselt. Allerdings befindet sich diese noch im Testbetrieb und muss von jedem Gastgeber aktiviert werden. Dazu klickt man nach dem Einloggen auf „Mein Account/Einstellungen“ und schaltet dort die Option „Durchgehend (E2E) verschlüsselte Meetings“ ein. Außerdem aktiviert man darunter den „Default Encryption Type“ und stellt ihn auf End-to-end encryption“. Achtung: die „Enhanced Encryption” ist weniger sicher und sollte deshalb nicht aktiviert werden.In dem sie während der Kommunikation auf das grüne Schutzschild oben links klicken können Sie erkennen, ob „Verschlüsselung: durchgehend“ aktiviert ist. Klicken Sie auf „Verifizieren“ so erscheint ein Sicherheitscode, den sie mit den anderen Teilnehmern austauschen können, ist dieser identisch, ist alles sicher.

7. Keine fremde IT-Infrastruktur bei sehr hohen Sicherheitsanforderungen

Auch hier gilt, wenn sie extrem vertraulich Kommunikation benötigen, sollten Sie keine fremde Infrastruktur nutzen. Sie kommen nicht um hin den Server in ihrem eigenen Haus zu betreiben. Nur damit haben sie alles unter Kontrolle, einschließlich der Meta Daten. Damit verlassen die Gespräche und Chats bestenfalls ihr Firmennetz niemals und Sie können Home-Office-Mitarbeiter verschlüsselt per VPN an der Kommunikation sicher teilnehmen lassen. Erreichen können Sie das zum Beispiel auch, neben der o.g. „Briar Project“ Lösung, mit der Videokonferenz Lösung Jitsi. Sie verwendet Open Source Software man kann auf dem eigenen Server betrieben werden. Passende Clients gibt es dann für iOS und Android ebenso, wie für Ihren Browser. Allerdings wird hier gerade (Mai 2021) erst die EzE Verschlüsselung implementiert. Ausprobieren kann man sie jedoch bereits.

8. Per Festnetz sicher telefonieren, geht das?

Grundsätzlich sind alle per Festnetz vermittelten Gespräche unverschlüsselt. Sie werden per Voice over IP (VoIP) übertragen. Diese Daten können auf dem Transportweg zum Ziel abgegriffen und problemlos mitgehört, sogar manipuliert werden. Eine EzE ist nicht ohne weiteres möglich. Die Ausnahme bieten hier die bewährten AVM Fritz Boxen. Wenn Sie die Version 7.2 der Software installieren, können Sie dort verschlüsselte Telefonie aktivieren. Dazu muss allerdings auch ihr VoIP Anbieter mitspielen. Dazu bedarf es dem SIP-over-TLS Protokoll (SDES-sRTP). Ggf. lesen Sie sich dazu bei AVM weiter ein. Diesbezüglich als sicher gelten WhatsApp, Signal und Threema.

WhatsApp nutzt zum Beispiel das so genannte Security Real-Time Transport Protokoll (SRTP) für die Audio und Video Kommunikation. Damit sind diese Gespräche Ende zu Ende verschlüsselt und lassen sich, nach derzeitigen Stand der Technik, nicht belauschen. Es ist also sicherer über WhatsApp zu telefonieren, als das klassische Handy Netz oder das Festnetz zu verwenden.Dies funktioniert immerhin auf Smartphone und Tablet, allerdings nicht auf dem Browser. 

9. Fazit über die Nutzung von Messengern zu sicheren Kommunikation.

Auch als Anwalt können Sie bereits heute, durch die Wahl des richtigen Tools, mit ihren Mandanten sicher und verschlüsselt kommunizieren. Sicherer als es jeder Brief oder gar ein Fax jemals gewesen sein könnte sind alle o.g. Messenger.  Allerdings wird man im Falle eines Datenlecks ggf. prüfen, ob man sich bei der Nutzung eines Tools dem “Stand der Technik” bedient hat, was dann über die Fahrlässigkeit entscheiden könnte. Übrigens sind auch browserbasierte Tools wie MS-Teams, Slack oder Stackfield mit den selben, o.g.  Kriterien zu bewerten

10.Was tun, wenn ich mein Handy verliere oder ein Neues verwende?

Sichern Sie Ihr Mobil Gerät durch eine zwei Faktor Authentifizierung oder eine Multifaktor-Authentifizierung. Wenn Sie Ihr Gerät einmal verlieren, ist es damit für den Finder unbrauchbar. Aber das gilt, unabhängig von Messengern, ohnehin für jedes Device.

Sollten Sie Ihr Mobil Gerät wechseln, halten Sie sowohl das alte als auch das neue Gerät bereit, so lange bis sie ihre jeweiligen Messenger (und Banking-Apps) umgezogen haben. Denn aus Sicherheitsgründen wird häufig das alte Gerät benötigt, um einen Sicherheitscode an das neue zu senden. Damit kann garantiert werden, dass sie ihren eigenen Account auch wirklich behalten. Meist werden auch nur dann die „alten Daten“ mit umgezogen.

11. Die bedeutendsten Messenger in der Prüfung (westliche Hemisphäre)

Telegram

Bei Telegramm zum Beispiel funktioniert dies nur, wenn man das ausdrücklich für wählbare geheime Chats aktiviert. Ansonsten sendet dieser Messenger alles unverschlüsselt. Die Verschlüsselung gibt es aber nur zwischen zwei Personen, nicht für die Gruppenchats. Der Serverstandort ist unbekannt und der Quellcode ist nur für die Clients „Open Source“ (wenn auch der aktuelle Code stets hinterherhinkt) also für Dritte überprüfbar. Der Code für die Server ist geheim, also nicht überprüfbar. Dafür bietet er sehr viele Features wie Filesharing oder „Telegram-Bots“ (die automatische Antworten senden können). Als „sicher“ kann Telegram jedoch nicht empfohlen werden, denn die Firma könnte mitlesen.

  • Führend in Features
  • Mit Bots automatisierbar
  • Nicht durchgängig verschlüsselt
  • Unbekannter Serverstandort
  • Nur Clients arbeiten mit Open Source Software

Signal

Wenn Sie zu dem Wert auf Datenschutz legen, könnten Sie zu Signal greifen. Dieser Messenger verwendet ebenfalls Ende-zu-Ende Verschlüsselung, nutzt dazu aber so wenig Meta Daten wie möglich. Der wohl bekannteste Whistleblower Snowden nutzt und empfiehlt Signal, weil er mit Open Source Software arbeitet, so dass man eigenhändig im Quellcode nach Backdoors suchen könnte. Damit werden auch Sicherheitslücken ggf. schnell entdeckt. Signal wurde von einer gemeinnützigen Organisation um den WhatsApp Gründer Brian Acton entwickelt, um mehr Sicherheit und Anonymität zu erreichen. Auch hier können Sie mit Ton und Bild telefonieren, sogar von ihrem Desktop-Rechner aus. Signal lässt zudem Gruppen mit bis zu fünf Teilnehmern zu. So können Sie auch mit mehreren Mandanten oder anderen Anwälten gemeinsam und sicher kommunizieren. Es gibt clients für Android und iOS, sowie eine Desktop-App. Die Server stehen in den USA.

  • Verschlüsselung hervorragend
  • Durchweg Open-Source
  • Anrufe und Videochats 
  • Videotelefonie nur mit zwei Teilnehmern

Threema

Mit Threema kommuniziert man per se Ende-zu-Ende verschlüsselt, allerdings nur mit einer einzigen Person. Die Server stehen in der Schweiz. Auf die Authentifizierung der Kontakte wird hier besonderer Augenmerk gelegt. Der gesamte Quellcode ist offen gelegt. Man kann damit chatten, anrufen – auch mit Video – machen. Threema ermöglich sogar „Umfragen“ zu erstellen. Neue Features, die andere bieten, dauern hier aber etwas länger. Die App gibt es für iOs und Android und muss einmalig käuflich erworben werden (ca. 4 €). Im Browser kann man Threema nicht nutzen, ohne eine „Webversion“ herunterzuladen. Grundsätzlich ist Threema ein zu empfehlender, sicherer Messenger für Anwälte und andere Freiberufler.

  • Durchgängig Open Source
  • Server stehen in der Schweiz
  • Wenige Funktionen
  • Einmalig kostenpflichtig 

Element

Wenn Sie als Anwalt besonders geheim zu halten Informationen austauschen müssen, kommen Sie kaum um Element herum, der eigentlich kein „Messenger“ an sich ist. Er ist ein sog. Matrix-Client. Dieses offene Netzwerk, genannt „Matrix“ unterstützt sowohl IRC- und XMPP-Chats, als auch Videotelefonie – jeweils mit Ende-zu-Ende-Verschlüsselung. Wenn Sie Element darauf basieren aufsetzen, können Sie diesen Messenger auf Android, iOS, sowie Windows nutzen. 

Sie können dafür den öffentlichen Matrix-Server nutzen oder auch einen Drittanbieter-Server. Der Vorteil aber ist, das Sie selbst einen aufzusetzen können. Die Geräte aller Nutzer werden dabei mittels Cross-Signing verifiziert. Die Anmeldung erfolgt dabei stets über eine Zwei-Faktor-Authentifizierung.

Zudem können Sie viele Features aktivieren, wie z.B. Bots und Widgets. Element beherrscht zudem nicht nur Anrufe und Videotelefonie, sondern auch Gruppen-Videochat, alles Ende-zu-Ende-verschlüsselt! Mit Programmierkenntnissen kann man mit seinen eigenen Server kann Element auch mit anderen Messengern wie Slack, Skype oder Discord verbinden. Und die braucht man für das Aufsetzen des Servers ohnehin.

  • Kompatibel zu anderen Messengern
  • Eigener Server machbar
  • Videochat und Anrufe sind verschlüsselt

Wire

Wire dagegen ermöglicht Gruppen-Anrufe mit bis zu 25 Teilnehmern, für Video Calls immerhin noch zwölf. Auch Wire bietet Ende-zu-Ende verschlüsselte Unterhaltungen, Glasklare Audio- und Videoanrufe, Dateiaustausch und Bildschirmfreigabe, sowie temporäre Nachrichten und Unterhaltungen. Alle mit Wire ausgestatteten Geräte werden synchronisiert, auf Mobilgeräten und Desktop. Die Server stehen in Europa, er ist werbefrei und 100% Open Source. Die Telefonnummer muss nicht weitergegeben werden, sondern man kann dafür einen anonyme Emailadresse verwenden (vorsicht, das könnte ein Authentifizierungsproblem sein). Die Apps laufen DSGVO konform. Wire sendet aber die Userdaten an die Firma. 

  • temporäre Nachrichten
  • Open Source
  • 25 (12) Teilnehmer
  • Bildschirmfreigabe
  • wenige Nutzer

Apple Facetime

Bis zu 32 Apple Nutzer können übrigens gleichzeitig über FaceTime durchgängig Ende zu Ende verschlüsselt kommunizieren. Über diesen Apple-Messenger lassen sich neben Text-Chats auch Videotelefonate mit guter Verschlüsselungstechnik führen. Die Kritikpunkte sind dieselben wie bei iMessage: kein offener Code, keine Echtheitsprüfung (Authentifizierung).

  • Standarmäßig auf jedem Apple Gerät
  • Gute Sprach-/Videoqulität
  • Einfach zu handhaben
  • Gute Verschlüsselung 
  • Kein Open Source
  • Keine echte Authentifizierung
  • Server in den USA

Google Duo

Natürlich gibt es auch von Google ein entsprechendes Pendant, welches sich „Google Duo“ nennt. Es bietet App für Android und iOS und kann ebenfalls per Web App auf dem Browser benutzt werden. Hiermit können bis zu 32 User gleichzeitig miteinander kommunizieren. Diese können per Link in eine Gruppe eingeladen werden. Natürlich „speichert es Metadaten wie Telefonnummern und Geräte ID’s der Gesprächsteilnehmer für ungefähr einen Monat lang sicher auf Google Servern“, wie man bei Google lesen kann. Damit wohl eher nichts für geheime Chats…

  • unsicher, Finger weg
  • Server in den USA

Facebook Messenger

Der Messenger des Datenkraken Facebook soll an dieser Stelle nur der Vollständigkeit halber erwähnt sein. Die Firma könnte alles mitlesen, was kommuniziert wird. Und verschlüsselt wird auch nichts. Für private Belanglosigkeiten ok, für Anwälte ungeeignet.

  • Vorsicht Datenkrake liest mit 
  • Server in den USA

Microsoft Skype

Skype wird demnächst eingestellt, soll in „MS-Teams“ (s.u.) aufgehen. Zudem ist es unsicher, da MS alles mitlesen könnte und die Metadaten nicht verschlüsselt werden. Kein Anwalt sollte darüber vertrauliche Gespräche führen und oder Daten versenden.

  • relativ gut verbreitet
  • Anbindung an das Telefonnetz
  • Server in den USA
  • Wird bald eingestellt
  • unverschlüsselt

Microsoft Teams

Microsoft Teams ist kein klassischer Messenger – eher vergleichbar mit Slack. Teams ist in die MS Office-Suite integriert und bietet damit sehr viele hilfreiche Integrationen. Man kann es aber zum Chatten sowohl per Apps auf dem Handy, als auch vom Browser aus benutzen. Es unser Tool der Wahl um innerhalb der Firma zu kommunizieren. Sowohl per Ton, Video, als auch im Chat. Es entschlüsselt alle Nachrichten auf dem MS-Server und verschlüsselt lediglich wieder bei der Zustellung, was für sensible Daten und Informationen keine 100%ige Sicherheit darstellt. Für die Kommunikation Innerhalb der Kanzlei jedoch durchaus geeignet und hilfreich. Wie Sie Teams und MS Office 365 sicherer einstellen lesen sie „Boxcryptor“.

  • Messenger Apps für alle Plattformen
  • Office 365 Integration
  • Sehr gute Video und Sprachqualität
  • Stabiles System
  • Server in Deutschland
  • noch etwas unübersichtliche Usability
  • Nicht für alle Daten eine EzE Verschlüsselung

Vergleichstabelle Messenger Apps

Sie wünschen einen Überblick über die gängigen Messenger? Bitte, hier finden Sie eine weiterführende Vergleichstabelle sicherer Messender Apps in englischer Sprache. 

 

Anwaltsnews abonnieren

Kostengünstige Rechtsberatung durch Fachanwälte

  • Verbindliche Auskunft vom Rechtsanwalt
  • Festpreis - garantiert
  • innerhalb von 24 Stunden

Beratung durch Anwalt am Telefon

Antwort auf konkrete Fragestellung.
Spezialisierter Anwalt ruft Sie zügig an.

Zur Auswahl der Anwaltshotline 15 min. zum Festpreis ab 29€