Anwalts- und Steuerberaterkanzleien sollten den eigenen Internetauftritt einer Prüfung unterziehen. Grund ist eine neue gesetzliche Regelung zum Schutz vertraulicher Daten.
Im vergangenen Jahr verabschiedete der Gesetzgeber das IT-Sicherheitsgesetz. In diesem Zuge wurde auch das Telemediengesetz (TMG) um die Bestimmungen des § 13 Abs. 7 TMG ergänzt. Durch diese Neuregelung müssen alle Anbieter von Websites, also auch Steuerberatungs- beziehungsweise Anwaltskanzleien, beim Betrieb einer eigenen Website oder einer eigenen Kanzlei-App hohe Anforderungen umsetzen. Kanzleien, die eine eigene Website betreiben, sind durch die Neuregelung verpflichtet, mithilfe von technisch-organisatorischen Maßnahmen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese
- gegen Verletzungen des Schutzes personenbezogener Daten und
- gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Der Gesetzgeber schränkt ein, dass die zu treffenden technisch-organisatorischen Maßnahmen „technisch möglich und wirtschaftlich zumutbar“ sein müssen. Besonderen Wert legt der Gesetzgeber auf kryptographische Sicherungsmaßnahmen.
Wie ist eine Website technisch aufgebaut?
Moderne Websites wirken auf ihre Besucher simpel. In Wirklichkeit sind sie ein komplexes Zusammenspiel verschiedenster, komplizierter Techniken. Zur Darstellung einer einfachen Web-Seite müssen unterschiedliche Technologien eingesetzt werden: ein Rechner mit Internet-Zugang, ein Betriebssystem, ein Web-Server, ein Mail-Server, sehr wahrscheinlich auch serverseitig Programmiersprachen, Datenbanken, Programme zur Website-Pflege und eventuell auch eigene Programmierungen. Meist werden dann von fremden Rechnern noch Schriften, Programmbibliotheken, Bilder oder soziale Medien eingebunden. Dieses Technik-Konglomerat wird aufgrund der Komplexität in der Regel nicht von einem Techniker betreut, sondern von mehreren Spezialisten. Überdies teilen sich die meisten Websites einen Rechner mit anderen Websites. In diesem Fall laufen auf einem Rechner mehrere virtuelle Server. Hier wird der Technikeinsatz noch komplizierter.
Pflicht zur Aktualisierung
Ein Hauptgrund für den unerlaubten Zugriff auf Websites (§ 13 Abs. 7 Nr. 1 TMG) ist in den meisten Fällen veraltete Software. Beim Betrieb von Software im Internet durch die Kanzleien sind Hosting-Verträge so zu schließen, dass für die einzelnen Software-Module auch Pflegeverträge abgeschlossen werden. Hier sind die unterschiedlichen Zuständigkeiten zu beachten. Häufig ist der Provider für die Aktualisierung des Betriebssystems, des Web-Servers und der Mail-Server zuständig. Abhängig von dem jeweiligen Hosting-Paket der Kanzlei kann es sein, dass auch die Server-seitigen Programmiersprachen und Datenbanken vom Provider bereitgestellt werden. In einem Hosting-Vertrag einer Steuerberatungs- oder Anwaltskanzlei muss geregelt sein, dass alle diese Systeme vom Provider aktuell gehalten werden. Ferner empfiehlt es sich, vertraglich zu regeln, dass die einzelnen Software-Module vom Provider sicher konfiguriert und installiert werden. Zur Pflege von Websites werden Content-Management-Systeme (CMS) oder auch Blog-Software eingesetzt. Aus Kostengründen wird hier häufig auf freie oder auch kostenlose Software zurückgegriffen. Diese Software wird meist durch den Website-Programmierer ausgewählt und installiert. Kanzleien ist zu empfehlen, mit dem Website-Programmierer mittels eines Wartungsvertrags zu regeln, dass die Installation der CMS- oder Blog-Software gemäß den Richtlinien der Entwickler-Community der Software sicher erfolgt (Konfigurationsmanagement), ein permanentes Beobachten etwaiger Schwachstellen der eingesetzten Software erfolgt (Schwachstellenmanagement) und auf Schwachstellen oder Updates umgehend mit Aktualisierungen und entsprechenden Konfigurationen reagiert wird (Patch-Management).
Abhorchen des Datenverkehrs
Anwalts- und Steuerberatungskanzleien sind durch § 13 Abs. 7 Nr. 2 Buchst. a) TMG verpflichtet, den eigenen Web-Auftritt gegen das Abhorchen des Datenverkehrs abzusichern. Auf jeden Fall wird dieses Problem virulent, sofern auf der Kanzlei-Website eigene Kontaktformulare betrieben werden. Das Abhorchen der Kommunikation des Website-Besuchers bei Nutzung des Web-Formulars (Man-in-the-Middle-Angriff) ist bei ungesicherten Websites gar nicht unwahrscheinlich. Ruft ein Website-Besucher eine ungesicherte Web-Seite über einen öffentlichen Hotspot oder einen zugriffsbeschränkten Hotel-Hotspot auf, kann ein solcher Angriff sogar sehr einfach durchgeführt werden. Simple Anleitungen für einen solchen Angriff können zum Beispiel auf YouTube unter den Begriffen Network- oder Password-Sniffing gefunden werden. Um ein solches Abhorchen des Datenverkehrs zu unterbinden, empfiehlt es sich, die Website der Kanzlei unter dem verschlüsselten https-Protokoll zu betreiben und nicht unter dem ungesicherten http-Protokoll. Entsprechende Zertifikate konnten bisher gegen eine Gebühr in Höhe von etwa 100 Euro/Jahr erworben werden. Inzwischen gibt es Krypto-Kampagnen, von denen entsprechende Zertifikate kostenlos ausgegeben werden. Ein Beispiel hierfür ist die Kampagne „Let’s encrypt“. Durch Um- und Einsetzen eines https- oder eines ftps-Protokolls ist das Absichern der eigenen Website gegen Abhorchen so einfach wie nie zuvor.
Die eigenen Websites werden von den Kanzleien inzwischen auch häufig als Dokumentenaustauschportale zur Kommunikation mit Mandanten oder auch Website-Besuchern genutzt. So ist es zum Beispiel nicht ungewöhnlich, dass Kanzleien auf ihren Web-Servern eigene Bewerberportale betreiben. Die erläuterte und als ein sicheres anerkanntes Verschlüsselungsverfahren geltende https-Verbindung sollte sowohl dem Bewerber beim Hochladen seiner Bewerbungsunterlagen, als auch der Kanzlei beim Abrufen dieser Unterlagen oder Dokumente von Mandanten zur Verfügung stehen.
Absicherung von E-Mails gegen Abhorchen
Steuerberatungs- und Anwaltskanzleien sollten unbedingt darauf achten, dass die eigenen E-Mail-Server auf Basis der aktuellen Empfehlungen der Landesdatenschutzbehörden, beziehungsweise des Bundesamts für Sicherheit in der Informationstechnik, konfiguriert sind. Die Datenschutzaufsichtsbehörden haben bereits anlasslose Prüfungen von Mail-Servern durchgeführt. So veröffentlicht das LDA Bayern auf seinen Websites: „Insgesamt wurden [im September 2014] 2236 verantwortliche Stellen […] in ganz Bayern geprüft.“ Es wurde unter anderem geprüft, ob die Verschlüsselungsprotokolle SSL/TLS beziehungsweise STARTTLS eingesetzt werden.
Folgen bei Datenabfluss
Eine Pflicht zu einer strafbefreienden Selbstanzeige gegenüber der zuständigen Landesdatenschutzbehörde bestand bisher bei einem Datenabfluss von sensiblen personenbezogenen Daten, Bank- oder Kontodaten und Daten, die einem Berufsgeheimnis unterliegen oder die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehungsweise den Verdacht auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, und einer möglichen Kenntnisnahme dieser Daten durch Dritte und dem Drohen schwerwiegender Folgen für die Rechte oder schutzwürdigen Interessen der Betroffenen. Zusätzlich musste der Datenabfluss auch den Betroffenen angezeigt werden. Diese Auflistung wurde durch § 15a TMG auf die vom Diensteanbieter gespeicherten Bestands- oder Nutzungsdaten (zum Beispiel die IP-Adresse des Nutzers) erweitert.
Fotos: by_nicholas, Jaunty Junto / Getty Images, Luis Carlos Torres / Shutterstock.com