Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Bremen (LfDI) hat auf ihren Webseiten der datenschutzkonformen Nutzung von Telefax eine Absage erteilt. Die entsprechende Veröffentlichung datiert auf den 13. März 2020, scheint jedoch erst in diesem Monat veröffentlicht worden zu sein.

Hintergrund der Bewertung durch die LfDI sind einerseits die technischen Änderungen innerhalb der Telefonnetze. Waren Faxe früher noch Ende-zu-Ende-Telefonleitungen vorbehalten, werden sie mittlerweile verstärkt über das Internet verschickt. Andererseits spielt der Umgang mit eingehenden Faxen bei der empfangenden Stelle eine große Rolle. Dort gibt es mittlerweile kaum noch reale Faxgeräte. Vielmehr werden eingehende Nachrichten bspw. von einem Fax-Server in E-Mails umgewandelt und an die entsprechenden Adressaten verschickt.

Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten [und definitiv nicht für die Übertragung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)] geeignet.“

Mit dieser Einschätzung hat die LfDI grundsätzlich Recht, aber eben nur grundsätzlich.

Für eine detailliertere Betrachtung, und das nicht aus rechtlicher Hinsicht, müssen zwei Punkte herangezogen werden. Einerseits die Übertragung der Datenpakete zum Empfänger und andererseits die Verarbeitung der Nachricht durch den Empfänger.

Übermittlung der Nachricht zum Empfänger

Die LfDI kritisiert, dass keine verschlüsselte Kommunikation über die Telefonleitung vorhanden sei. Stichwort ist hier Voice over IP (VoIP) bzw. im Bereich des Faxes Fax over IP (FoIP). Technisch gesehen spielt es keine Rolle ob telefoniert oder gefaxt wird. In beiden Fällen werden die Informationen in Datenpakete umgewandelt und mittels Session Initiation Protocol (SIP) über das Internet versendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür einen Baustein veröffentlicht: NET.4.2: VoIP (Edition 2021). Zur Übertragung der Datenpakete wird ausgeführt:

„2.3 Abhören von Telefongesprächen
Wenn Telefongespräche oder Daten unverschlüsselt übertragen werden, könnten Angreifer grundsätzlich Informationen mithören oder mitlesen. So könnten sie beispielsweise die Telefonkabel direkt anzapfen oder an einer zwischen den Gesprächsteilnehmern vermittelnden TK-Anlage lauschen. Bei VoIP können Telefongespräche und Datenübertragungen sogar einfacher als bei klassischen TK-Anlagen abgehört werden. Alle Sprachinformationen werden innerhalb eines Medienstroms, beispielsweise mit dem Realtime Transport Protocol (RTP), übertragen. Durch Techniken wie Spoofing und Sniffing stehen bei VoIP den Angreifern auch alle Möglichkeiten von Angriffen in Datennetzen zur Verfügung.“

Gerade bei einem erhöhten Schutzbedarf (insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten) sollten nach Ansicht des BIS folgende Maßnahmen getroffen werden:

„NET.4.2.A14 Verschlüsselung der Signalisierung (H)

Die Integrität und Vertraulichkeit der Signalisierungsinformationen SOLLTE durch geeignete kryptografische Verfahren gewährleistet werden. Nicht nur die Nutzdaten, sondern auch die Authentisierungsdaten SOLLTEN durchgängig verschlüsselt werden. Der Zugriff auf das VoIP-Gateway SOLLTE durch VoIP-Adressen und H.323-Identitäten so weit wie möglich eingeschränkt werden. Es SOLLTEN zusätzlich Ende-zu-Ende-Sicherheitsmechanismen für den Medientransport und die Signalisierung benutzt werden. Es SOLLTE dokumentiert werden, wie die Signalisierung geschützt wird.

NET.4.2.A15 Sicherer Medientransport mit SRTP (H)

Mediendaten und Informationen zur Steuerung dieser Daten, die über das Real-Time Transport Protocol (RTP) übertragen werden, SOLLTEN in geeigneter Weise geschützt werden. Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP) geschützt werden. Die sicherheitsrelevanten Optionen der Implementierung des Protokolls SOLLTEN dokumentiert werden.“

Allerding besitzen die vom BSI genannten Protokolle eine Einschränkung: Der Schlüsselaustausch erfolgt im Klartext über das Internet. Wer den Schlüssel abfängt kann die verschlüsselten Nachrichten mit geringem Aufwand entschlüsseln. Um dem entgegenzuwirken, ist das Session Initiation Protocol um Transport Layer Security (TLS) zu ergänzen. In diesem Fall werden die Datenpakete (wie auch bei einer E-Mail möglich) durch eine Transportverschlüsselung mit verschlüsseltem Schlüsselaustausch geschützt.

Trotz dieser Lösung besteht weiterhin ein Problem. Nicht alle Telekommunikationsanbieter bieten für VoIP/ FoIP das SIP-TLS an. Da der Absender eines Faxes nicht immer weiß, welchen Telekommunikationsanbieter der Empfänger nutzt, kann er nicht ausschließen, dass das Fax ohne Transportverschlüsselung übertragen wird.

Dieses Problem kann zumindest in den Fällen gelöst werden, in denen mit bestimmten Empfängern eine regelmäßige Faxkommunikation stattfindet bzw. stattfinden soll. Hier können die jeweiligen IT-Verantwortlichen die Rahmenbedingungen abstecken. In allen anderen Fällen kann, wie von der LfDI dargestellt, nur von einer Nutzung des Faxgerätes abgeraten werden.

Verarbeitung der Nachricht durch den Empfänger

Das weitere Problem, das die LfDI aufwirft, betrifft die Verarbeitung eingehender Faxe durch den Empfänger. Werden diese in E-Mails umgewandelt und an die Ziel-Adressaten verschickt, besteht wiederum die Problematik der unverschlüsselten Kommunikation über das Internet, wenn sich die Ziel-E-Mail-Adresse außerhalb der Mail-Server-Domains des Adressaten befindet. Hier wäre wiederum sicherzustellen, dass auch diese Kommunikation mittels TLS verschlüsselt ist. Die Nutzung von TLS kann vom absendenden Mail-Server erzwungen werden. Ist der empfangende Mails-Server nicht in der Lage, TLS zu verarbeiten, erfolgt demzufolge keine Zustellung der Nachricht. Mittlerweile haben (fast) alle E-Mail Provider TLS auf ihren Servern aktiviert. Die Problematik der Verarbeitung der Nachricht durch den Empfänger ist somit kaum noch gegeben.

Fazit

Die Aussage der LfDI Bremen ist nicht falsch, muss aber differenziert betrachtet werden. Elementar ist die Transportverschlüsselung der Datenpakete mittels SIP-TLS. Dies betrifft aber nicht nur das Faxen over IP sondern auch das Telefonieren. Im Ergebnis sollte sämtliche Kommunikation über das Internet auf den Prüfstand gestellt werden. Sich nur auf FoIP zu konzentrieren und VoIP auszuklammern, geht an der Wirklichkeit vorbei, da technisch gesehen keine Differenzierung besteht.

Gerade im Gesundheitswesen ist das Fax insbesondere in Notsituationen, in denen jede Sekunde relevant sein kann, (noch) nicht wegzudenken und kann, wie oben dargestellt, durchaus datenschutzkonform ausgestaltet werden.