Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Bremen (LfDI) hat auf ihren Webseiten der datenschutzkonformen Nutzung von Telefax eine Absage erteilt. Die entsprechende Veröffentlichung datiert auf den 13. März 2020, scheint jedoch erst in diesem Monat veröffentlicht worden zu sein.
Hintergrund der Bewertung durch die LfDI sind einerseits die technischen Änderungen innerhalb der Telefonnetze. Waren Faxe früher noch Ende-zu-Ende-Telefonleitungen vorbehalten, werden sie mittlerweile verstärkt über das Internet verschickt. Andererseits spielt der Umgang mit eingehenden Faxen bei der empfangenden Stelle eine große Rolle. Dort gibt es mittlerweile kaum noch reale Faxgeräte. Vielmehr werden eingehende Nachrichten bspw. von einem Fax-Server in E-Mails umgewandelt und an die entsprechenden Adressaten verschickt.
„Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten [und definitiv nicht für die Übertragung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)] geeignet.“
Mit dieser Einschätzung hat die LfDI grundsätzlich Recht, aber eben nur grundsätzlich.
Für eine detailliertere Betrachtung, und das nicht aus rechtlicher Hinsicht, müssen zwei Punkte herangezogen werden. Einerseits die Übertragung der Datenpakete zum Empfänger und andererseits die Verarbeitung der Nachricht durch den Empfänger.
Übermittlung der Nachricht zum Empfänger
Die LfDI kritisiert, dass keine verschlüsselte Kommunikation über die Telefonleitung vorhanden sei. Stichwort ist hier Voice over IP (VoIP) bzw. im Bereich des Faxes Fax over IP (FoIP). Technisch gesehen spielt es keine Rolle ob telefoniert oder gefaxt wird. In beiden Fällen werden die Informationen in Datenpakete umgewandelt und mittels Session Initiation Protocol (SIP) über das Internet versendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür einen Baustein veröffentlicht: NET.4.2: VoIP (Edition 2021). Zur Übertragung der Datenpakete wird ausgeführt:
„2.3 Abhören von Telefongesprächen
Wenn Telefongespräche oder Daten unverschlüsselt übertragen werden, könnten Angreifer grundsätzlich Informationen mithören oder mitlesen. So könnten sie beispielsweise die Telefonkabel direkt anzapfen oder an einer zwischen den Gesprächsteilnehmern vermittelnden TK-Anlage lauschen. Bei VoIP können Telefongespräche und Datenübertragungen sogar einfacher als bei klassischen TK-Anlagen abgehört werden. Alle Sprachinformationen werden innerhalb eines Medienstroms, beispielsweise mit dem Realtime Transport Protocol (RTP), übertragen. Durch Techniken wie Spoofing und Sniffing stehen bei VoIP den Angreifern auch alle Möglichkeiten von Angriffen in Datennetzen zur Verfügung.“Gerade bei einem erhöhten Schutzbedarf (insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten) sollten nach Ansicht des BIS folgende Maßnahmen getroffen werden:
„NET.4.2.A14 Verschlüsselung der Signalisierung (H)
Die Integrität und Vertraulichkeit der Signalisierungsinformationen SOLLTE durch geeignete kryptografische Verfahren gewährleistet werden. Nicht nur die Nutzdaten, sondern auch die Authentisierungsdaten SOLLTEN durchgängig verschlüsselt werden. Der Zugriff auf das VoIP-Gateway SOLLTE durch VoIP-Adressen und H.323-Identitäten so weit wie möglich eingeschränkt werden. Es SOLLTEN zusätzlich Ende-zu-Ende-Sicherheitsmechanismen für den Medientransport und die Signalisierung benutzt werden. Es SOLLTE dokumentiert werden, wie die Signalisierung geschützt wird.
NET.4.2.A15 Sicherer Medientransport mit SRTP (H)
Mediendaten und Informationen zur Steuerung dieser Daten, die über das Real-Time Transport Protocol (RTP) übertragen werden, SOLLTEN in geeigneter Weise geschützt werden. Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP) geschützt werden. Die sicherheitsrelevanten Optionen der Implementierung des Protokolls SOLLTEN dokumentiert werden.“
Allerding besitzen die vom BSI genannten Protokolle eine Einschränkung: Der Schlüsselaustausch erfolgt im Klartext über das Internet. Wer den Schlüssel abfängt kann die verschlüsselten Nachrichten mit geringem Aufwand entschlüsseln. Um dem entgegenzuwirken, ist das Session Initiation Protocol um Transport Layer Security (TLS) zu ergänzen. In diesem Fall werden die Datenpakete (wie auch bei einer E-Mail möglich) durch eine Transportverschlüsselung mit verschlüsseltem Schlüsselaustausch geschützt.
Trotz dieser Lösung besteht weiterhin ein Problem. Nicht alle Telekommunikationsanbieter bieten für VoIP/ FoIP das SIP-TLS an. Da der Absender eines Faxes nicht immer weiß, welchen Telekommunikationsanbieter der Empfänger nutzt, kann er nicht ausschließen, dass das Fax ohne Transportverschlüsselung übertragen wird.
Dieses Problem kann zumindest in den Fällen gelöst werden, in denen mit bestimmten Empfängern eine regelmäßige Faxkommunikation stattfindet bzw. stattfinden soll. Hier können die jeweiligen IT-Verantwortlichen die Rahmenbedingungen abstecken. In allen anderen Fällen kann, wie von der LfDI dargestellt, nur von einer Nutzung des Faxgerätes abgeraten werden.
Verarbeitung der Nachricht durch den Empfänger
Das weitere Problem, das die LfDI aufwirft, betrifft die Verarbeitung eingehender Faxe durch den Empfänger. Werden diese in E-Mails umgewandelt und an die Ziel-Adressaten verschickt, besteht wiederum die Problematik der unverschlüsselten Kommunikation über das Internet, wenn sich die Ziel-E-Mail-Adresse außerhalb der Mail-Server-Domains des Adressaten befindet. Hier wäre wiederum sicherzustellen, dass auch diese Kommunikation mittels TLS verschlüsselt ist. Die Nutzung von TLS kann vom absendenden Mail-Server erzwungen werden. Ist der empfangende Mails-Server nicht in der Lage, TLS zu verarbeiten, erfolgt demzufolge keine Zustellung der Nachricht. Mittlerweile haben (fast) alle E-Mail Provider TLS auf ihren Servern aktiviert. Die Problematik der Verarbeitung der Nachricht durch den Empfänger ist somit kaum noch gegeben.
Fazit
Die Aussage der LfDI Bremen ist nicht falsch, muss aber differenziert betrachtet werden. Elementar ist die Transportverschlüsselung der Datenpakete mittels SIP-TLS. Dies betrifft aber nicht nur das Faxen over IP sondern auch das Telefonieren. Im Ergebnis sollte sämtliche Kommunikation über das Internet auf den Prüfstand gestellt werden. Sich nur auf FoIP zu konzentrieren und VoIP auszuklammern, geht an der Wirklichkeit vorbei, da technisch gesehen keine Differenzierung besteht.
Gerade im Gesundheitswesen ist das Fax insbesondere in Notsituationen, in denen jede Sekunde relevant sein kann, (noch) nicht wegzudenken und kann, wie oben dargestellt, durchaus datenschutzkonform ausgestaltet werden.
Bernd
29. Juni 2022 @ 16:24
Das ist sehr traurig zu lesen. Ich bin Telekom-Kunde und musste vor ein oder zwei Jahren zwangsweise dem Voice-über-IP zustimmen, da die Telekom Kosten sparen wollte. (Sonst hätte man meinen Vertrag gekündigt) Für mich hatte das überhaupt keine Vorteile, im Gegenteil lese ich jetzt erschrocken, welche Nachteile damit verbunden sind. Ich verschicke immer wieder mal Faxe über mein Faxgerät, weil ich einige Dokumente – besonders gesundheitlicher Natur, nicht als E-Mail versenden möchte. Ärgerlich! Grmpf.
Nebenberufsdatenschützer
1. Juni 2021 @ 8:36
„Waren Faxe früher noch Ende-zu-Ende-Telefonleitungen vorbehalten, werden sie mittlerweile verstärkt über das Internet verschickt.“
Dieses „früher Ende-zu-Ende“ endete übrigens mit der Einführung von ISDN Mitte der 90er. Seitdem gab es in Deutschland keine Ende-zu-Ende-Telefonleitungen mehr, sondern nur noch Computer, die so taten, als wären sie Telefonleitungen.
Dass die Behörde das jetzt, 25 Jahre später mitbekommt, ist ein schönes Sinnbild für die Behäbigkeit des Datenschutzes in D.
Nebenberufsdatenschützer
1. Juni 2021 @ 8:32
„Die entsprechende Veröffentlichung datiert auf den 13. März 2020, scheint jedoch erst in diesem Monat veröffentlicht worden zu sein.“
Äh, nein?!? Wer Jahresberichte liest, wusste das am 20.03.2020, es steht nämlich schon im Jahresbericht 2019. Wir haben bereits im Mai 2020 die Konsequenten gezogen.
Anonymous
26. Mai 2021 @ 17:41
An den Autor:
Neues Altes bei Luca
https://netzpolitik.org/2021/it-sicherheit-schon-wieder-desastroese-sicherheitsluecke-in-luca-app/
Johannes
25. Mai 2021 @ 13:56
In dem Zusammenhang sollte man auch bedenken, dass das Fax selbst (bzw. aktuelle Fax-Geräte) auch aus Perspektive der IT-Sicherheit hochgradig riskant sind. Die Protokolle stammen aus den 1980ern, waren niemals für heutige Angriffsvektoren ausgelegt und wurden seit dem auch nicht angepasst.
Näheres dazu kann man dem Vortrag von Yaniv Balmas und Eyal Itkin vom 35. Chaos Communication Congress (35c3) entnehmen:
https://media.ccc.de/v/35c3-9462-what_the_fax
Wolfgang Ksoll
25. Mai 2021 @ 10:19
Mann sollte den Hinweis des bremischen Datenschützers nicht unterschlagen, dass besser als Fax der Versand personenbezogener Daten über Briefpost erfolgen solle. Ist der völlig sachunkundig oder ist das schon Beihilfe zur Spionage. Bei der Post arbeiten 1.500 IM der Geheimdeinste, die Post öffnen, lesen und ggf. an Geheimdienste weitergeben. 1.500 IM wegen Terror. Wer verdächtigt wird, ist natürlich geheim. Die Stasi würde jauchzen über solche „Datenschützer“.
https://www.tagesspiegel.de/politik/anfrage-der-linkspartei-1500-post-mitarbeiter-helfen-bei-ueberwachung-von-verdaechtigen/20337660.html