PGP-Schlüssel
(gültig bis 31. Dezember 2019)

In der heutigen Gesellschaft ist die Vertraulichkeit des Wortes vom Grundsatz zwar geschützt, den Ermittlungsbehörden (Polizei und Staatsanwaltschaft) sind jedoch weitreichende Eingriffsbefugnisse eingeräumt. So haben die Ermittlungsbehörden unter bestimmten Voraussetzungen das Recht, sowohl den Telefonverkehr als auch den Briefwechsel und die E-Mail Korrespondenz zu überwachen. Ferner besteht die Möglichkeit des kleinen und großen Lauschangriffs. Der "kleine Lauschangriff" bezieht sich nur auf die normale Wohnumgebung und die Büroräume, der “große Lauschangriff” auch auf die Wohnung selbst.

Das persönliche Gespräch zwischen einem Mandanten und einem Rechtsanwalt darf trotz kleinem und großen Lauschangriff nicht abgehört werden. Diese Vertraulichkeit gilt aber nicht für Telefongespräche mit einem Rechtsanwalt. Gleiches gilt für den Telefax- und E-Mail-Verkehr mit einem Rechtsanwalt. Sofern das Telefon eines Mandanten abgehört wird, können daher die erlangten Beweise verwertet werden.
Eine Ausnahme gilt lediglich dann, wenn der Rechtsanwalt als Strafverteidiger von einem Mandanten beauftragt worden ist. Denn der Grundsatz eines fairen Strafverfahrens ist höher zu bewerten, als das Interesse des Staates an der Erlangung von Beweismaterialien. Dies bedeutet aber nicht, das die bei einer Abhöraktion erlangten Informationen gar nicht verwertet werden dürfen. Die Ermittlungsbehörden dürfen vielmehr die erlangten Informationen für weitere Ermittlungen nutzen. Nur die bei der Abhöraktion erlangten Beweismittel selbst, wie Abhörprotokolle sowie Kopien der E-Mails und der Briefe, dürfen nicht in einen Prozess eingebracht werden.

Für den  Bundesnachrichtendienst, den militärischen Abschirmdienst und den Verfassungsschutz gibt es ohnehin keine Vertraulichkeit des Wortes. Das Post- und Fernmeldegeheimnis ist für diese Behörden im Rahmen der Notstandsgesetze vom 30.05.1968 aus Gründen der Staatsräson aufgehoben worden.

Eine Möglichkeit die Vertraulichkeit des Wortes zu sichern, ist die Verschlüsselung (Kryptografie) von E-Mails bzw. deren Anlagen mittels PGP (Pretty Good Privacy). Das Prinzip der PGP-Verschlüsselung ist einfach. Der Empfänger einer E-Mail erstellt einen Schlüssel und teilt diesen in 2 Teile. Einen Teil veröffentlicht er im Internet, den anderen Teil behält er unter Verschluss. Der Absender einer E-Mail benutzt den veröffentlichten Schlüssel zur Verschlüsselung seiner E-Mail. Die E-Mail kann dann nur noch mit dem privaten Schlüssel des Empfängers gelesen werden.

Die Sicherheit der Verschlüsselung ist trotz anderslautender Meldungen in der Presse im Jahr 2018 sehr hoch und meines Erachtens immer noch die einzige sichere Datenübermittlung, obwohl die PGP-Verschlüsselung aus den 90er-Jahren stammt und daher als betagt gilt.
Denn außer dem Absender und dem Empfänger der E-Mail ist kein Dritter an der Verschlüsselung beteiligt. Bei sog. End-to-End Verschlüsselungen mancher Messenger und einiger Chat-Programme ist weder der Absender noch der Empfänger sicher, dass es sich wirklich um eine End-to-End Verschlüsselung handelt und die Nachrichten nicht von Dritten gelesen werden. Das nach der Darstellung der Bundesrechtsanwaltskammer sicherste Kommunikationsmittel aller Zeiten, das beA (besondere Anwaltspostfach), bot im Jahr 2017 auch die Möglichkeit, sämtlichen Schriftverkehr noch nach Monaten mitzulesen. Die Bundesrechtsanwaltskammer räumte dieses schließlich ein, versicherte aber, dass niemand ein Interesse habe, den Schriftverkehr der Anwälte zu lesen.

Der Sicherheitsvorteil gilt meines Erachtens auch gegenüber einer Verschlüsselung mit einem Zertifikat, welches von einer vertrauenswürdigen dritten Person ausgestelltes wurde, wie z.B. bei s-mime, welches das Verschlüsselungsverfahren in diversen E-Mail Programmen (Outlook, Thunderbird pp.) ist. Denn PGP beruht auf dem Web-of-Trust Gedanken, der meines Erachtens bei der Verschlüsselung vorteilhafter ist, als die Zertifizierung durch vertrauenswürdige Stellen im Rahmen einer Public-Key-Infrastruktur. Denn lediglich Geheimnisse oder als geheim einzustufende Informationen müssen mit PGP verschlüsselt werden. Solche wird aber kein Absender einer E-Mail einem Fremden anvertrauen, sondern nur einer ihm bekannten Person. Sofern der öffentliche Schlüssel der dem Absender bekannten Person bei der Verschlüsselung der E-Mail verwendet wird, kann ihn auch nur die dem Absender bekannte Person öffnen. Irrläufer oder Manipulationen führen dazu, dass lediglich kryptographische Zeichen vom Empfänger gelesen werden können.
Die Public-Key-Infrastruktur ist hingegen vorteilhafter bei der Zuordnung einer Person zu einer versendeten E-Mail im Rahmen der Signierung sowie bei der Sicherstellung, dass diese E-Mail nicht nachträglich verändert wurde.

Die Nachteile der Verschlüsselung mit PGP sind, dass PGP für den alltäglichen Gebrauch zu umständlich ist und die Dateigröße der E-Mail mit der Verschlüsselung zunimmt, so dass es  zu längeren “up- and download” Zeiten kommt. Die Verschlüsselung mit PGP sollte deshalb nur erfolgen, wenn die zu versendende Information auf keinen Fall bekannt werden darf bzw. soll.
Die mit PGP-verschlüsselte E-Mail darf zudem nicht in einem E-Mail Client geöffnet werden, da die Gefahr besteht, dass im Falle der Manipulation auf dem Transportweg der E-Mail Client bei der Entschlüsselung die Nachricht an eine festgelegte Website sendet. Die mit PGP-verschlüsselte E-Mail muss mit einer Stand-Alone Software geöffnet werden.

Für die PGP-Verschlüsselung kann die kostenlose Software “gpg4win” verwendet werden. Diese läuft sowohl unter Windows als auch unter Linux. Die Bedienung ist einfach. Der auf dieser Website veröffentlichte Schlüssel muss nur mit Hilfe des Moduls Kleopatra (Datei - Zertifikate importieren) oder des Moduls GPA  (Schlüssel - Schlüssel importieren) importiert werden. Anschließend wird mit dem Modul Kleopatra (Datei - Dateien signieren/verschlüsseln) oder dem Modul GPA (Dateien - Verschlüsseln) die zu verschlüsselnde Datei geöffnet und verschlüsselt. Hierbei ist darauf zu achten, dass die Datei als ASCII-Datei gespeichert wird, indem ein Häckchen (Kleopatra: Ausgabe als Text (ASCII Mantel) und GPA: ASCII Verpackung) gesetzt wird. Beim Verschlüsseln sollte nur der Kanzleischlüssel und nicht auch der eigene Schlüssel verwendet werden. Die Verwendung des eigenen Schlüssels führt zu einer doppelten Verschlüsselung, die nach dem Kerckhoffs’schen Prinzip nicht mehr Sicherheit bietet. Zudem muss der öffentliche Teil des eigenen Schlüssels mit übersandt werden, was den E-Mail Verkehr umständlicher macht. Des Weiteren nimmt die Dateigröße durch die doppelte Verschlüsselung nochmals zu. Die E-Mail selbst sollte nicht verschlüsselt werden, sondern nur die als Anlage beigefügte Datei. Bei der Datei sollte es sich um eine PDF-Datei oder eine TXT-Datei handeln.

PGP ist freeware. Weiterführende Hinweise sowie die Möglichkeit des Downloads gibt es auf den Seiten “www.gpg4win.de”, “www.gnupg.org”, “www.pgpi.org” und “www.helmbold.de/pgp”.