Skip to main content

Aus der Sicht und mit den Worten von ...
Kim Müller, Fachanwalt für Strafrecht


Kleine Einblicke, was sich manchmal alles hinter den Kulissen so abspielt.

Datensicherheit in Rechtsanwaltskanzleien – Ergänzung zum Vortrag „Richtiges Verhalten bei Kanzleidurchsuchungen“

Hier nochmal als „best practice“, mit welchen technischen Mitteln Sie als Anwalt, Strafverteidiger oder Steuerberater Ihre eigenen Daten, und die Ihrer Mandanten, vor dem unbefugten Zugriff durch staatliche Strafverfolgungsorgane oder sonstige unbefugte Dritte schützen können und sollten.

Wichtig: Sofern Sie im Rahmen von Durchsuchungen aufgefordert werden, Ihre PCs durch Kennworteingabe zu entsperren, insbesondere, wenn ansonsten eine Beschlagnahme angedroht wird: Lassen Sie sich den Namen des Spaßvogels geben, suchen Sie den Oberguru des Durchsuchungskommandos und bringen Sie zu Protokoll, dass die Person Sie gerade zur Begehung einer Straftat (!!!) aufgefordert hat (Verletzung von Privatgeheimnissen, §203 StGB).

Ansonsten gilt auch bei Durchsuchungen von Kanzleien und Steuerbüros das gleiche wie bei allen anderen Durchsuchungen: Seien Sie freundlich zu den Beamten, zeigen die denen das, was die sowieso finden werden (sofern es offen rumliegt), und vor allem: Lassen Sie sich nicht in Gespräche verwickeln !!!

Ermittlungsbeamte sind psychologisch geschult, Ihnen aufgrund des Schocks der Durchsuchung haushoch überlegen, und das, was Sie später in der Akte lesen werden, ist nicht das, was Sie gesagt haben, sondern das, was der Ermittlungsbeamte meint, was Sie gesagt haben.
Also: „Konzentrieren und Klappe halten.“

1. Ausgangskonstellation

Wir möchten ja, dass unsere Daten und die Daten unserer Mandanten geheim bleiben.

In der Regel reicht es hierzu aus, einen einzelnen PC in der Kanzlei zu schützen, nämlich den, auf dem die sensiblen Daten abgelegt sind. Bei Einzelanwälten ohne Personal ist das meist der eigene Anwalts-PC, bei kleinen und mittleren Kanzleien und Steuerberatern in der Regel der Server-PC, häufig auch genutzt als Server mit Einzelarbeitsplatz.

2. Das brauchen wir

  • SecurStar DriveCrypt PlusPack (DCPP), 125,00 EUR (www.SecurStar.de)
  • Online-Speicherplatz bei Dropbox, Microsoft (OneDrive) oder Google (Google Drive)
  • Cryptomator (www.cryptomator.org; kostenfrei) oder Boxcryptor Lizenz (www.boxcryptor.de, 5,99 EUR/Monat)
  • Synchredible (www.ascomp.de), 39,95 EUR
  • Funksteckdose mit mindestens zwei Fernbedienungen; besser: 4 Fernbedienungen (aus Baumarkt oder Amazon.de); Fernbedienungen ggf. separat kaufen

Nice to have:

  • Festplattenkäfig für zwei Wechselplatten (eingebaut im PC), ca. 90 EUR
  • Zwei gleichgroße Festplatten (SSD) für die Systempartition; z.B. Samsung SSD 4 TB (2x 319,00 EUR)

Für Paranoiker:

3. Absicherung des PC

a.) DriveCrypt PlusPack

Zunächst erhält der Haupt-PC oder Server-PC eine Vollverschlüsselung mit DriveCrypt PlusPack. Verschlüsselt wird dabei der komplette PC einschließlich Betriebssystem. Lediglich auf dem Bootsektor befindet sich ein kleine Bootloader mit einem Passwort-Bildschirm sowie vier (!!!) möglich Eingabefelder.

Es reicht aus, wenn Sie zwei beliebige der vier Felder mit Passwörtern versehen. Befüllen Sie eines mit Ihrem Standard-Passwort und das andere mit einem leicht zu merkenden Satz oder Songtext, welcher mindestens 20 Zeichen beinhalten sollte.
Meine Erfahrung aus über 17 Jahren Tätigkeit: Passwörter mit bis zu 8 Zeichen kriegt das Landeskriminalamt immer auf; bis zu 12 Zeichen gelegentlich, und einmal eines mit 13 Zeichen. Alles darüber scheint (noch) „safe“ zu sein (im Sinne des Datenschutzes).
Mit den vier möglichen Eingabefeldern von DCPP wird die digitale Forensik noch bis ins nächste Jahrhundert völlig überfordert sein, sodass ich Drivecrypt bis auf weiteres von der Verschlüsselung her für völlig sicher halte.

b.) Funksteckdose

Nun nützt uns die tolle Verschlüsselung gar nichts, wenn eine neugierige, aber unberechtigte Person einen funktionierenden PC vorfindet. Deshalb kommt zwischen PC-Netzstecker und Steckdose erstmal eine Funksteckdose.
Auf jedem Arbeitsplatz Ihrer Mitarbeiter platzieren Sie eine Fernbedienung für die Funksteckdose mit der Anweisung, sofort auf den Ausschalter zu drücken, sobald aufdringliche Herrschaften die Kanzlei betreten.
Diese kündigen sich übrigens gerne dadurch an, dass Sie nicht behutsam einmal die Klingel betätigen, sondern auffordernd mehrfach schnell hintereinander. Wahrscheinlich, damit gar nicht erst Bedenkzeit besteht, ob man den ungebetenen Besuch hereinlassen möchte.

Die Situation üben Sie bitte einmal im Monat mit dem Personal, und sobald der PC aus ist, schicken Sie die alle zum Kaffeetrinken außerhalb der Kanzlei, aber in Reichweite.

Eine weitere Fernbedienung kleben Sie nicht sichtbar unter einen Tisch oder Stuhl, so dass Sie notfalls selbst unauffällig im Vorbeigehen den PC zum Neustart und damit zum Erfordernis der Passworteingaben zwingen können.

c.) Cryptomator und Online-Speicherplatz

Nun droht jeder mittelklassige Beamte damit, den kompletten Rechner zu beschlagnahmen, und Sie können dann die nächsten Wochen sehen, wie Sie zurechtkommen.

Mit dem nachfolgenden eingerichteten Datensicherungsvorgang lächeln Sie einfach, und strecken dem Beamten (bitte nur gedanklich) den erhobenen Mittelfinger entgegen.

  • Verzeichnis für Datensicherung auf Dropbox, OneDrive oder Google Drive einrichten
  • Dieses Verzeichnis mit Boxcryptor oder Cryptomator verschlüsseln (wir wollen ja unsere Daten auch nicht mit amerikanischen Firmen teilen).
  • Mit Syncredible eine stündliche Datensicherung einrichten in das Sicherungsverzeichnis. Aber Achtung: Das Ziel der Sicherung muss das virtuelle Boxcryptor-Laufwerk sein, nicht der originäre Online-Speicher !!!

Ich habe das selbst mal getestet, als ich einen neuen Server-PC gekauft und aufgesetzt hatte: Nach 54 Minuten war der neue Rechner komplett einsatzbereit, einschließlich Windows-Installation.

d.) Für Bequeme

Im Optimalfall sollten Ermittlungsbeamte erkennen, dass sie mit der Entschlüsselung des Computers nicht weiterkommen, aber auch eine Beschlagnahme nichts bringt.

Wenn Sie einen Festplattenkäfig mit einer oder besser zwei Wechselplatten haben, ziehen Sie die Platte einfach aus dem Fach, drücken die dem Beamten in die Hand, und wünschen ihm viel Vergnügen. Dann lassen die Ihren Computer in Ruhe.

Zwei Festplattenkäfige (und zwei gleiche Festplatten) deshalb, weil Sie hier Ihre Systempartition direkt clonen können. Ich halte das so, dass ich eine verschlüsselte Systemplatte immer bei einem Berufskollegen hinterlegt habe. Dann kann auch sofort weitergearbeitet werden.

e.) Für Paranoiker und Sicherheitsfanatiker

Besonders sensible Mandanteninformationen schützen Sie bitte zusätzlich ein einem virtuellen DriveCrypt-Laufwerk, welches Sie nur bei Bedarf öffnen, ansonsten aber geschlossen halten. Gerade für den Fall, dass jemand unberechtigten Zugriff auf Ihren laufenden (und dann unverschlüsselten) PC hat.

Hierfür benötigen Sie die Software DriveCrypt V6.1.x von SecurStar, welche sich von DriveCrypt PlusPack dahingehend unterscheidet, dass ein zusätzliches virtuelles Laufwerk im Rahmen des verschlüsselten Betriebssystems erstellt wird.

Den Dateinamen können Sie dabei geschickt wählen: Erstellen Sie z.B. in einem Verzeichnis mit einer MP3-Sammlung eine zusätzliche Datei mit einem Songnamen und der Endung .mp3.
Vermeintliche Systemdateien mit der Endung .dll eignen sich ebenso hervorragend.
Die Grunddatei für eine Verschlüsselung ist damit schon nichtmal auffindbar, sodass Sie sich um die Sicherheit der Daten keine Sorgen machen müssen. DriveCrypt speichert nichtmal die zuletzt geöffnete Datei.

4. Grenzen der Datensicherheit

Die Datensicherheit endet, wenn es zwielichtigen Gestalten gelingt, einen Keylogger an Ihrer Hardware zu installieren, oder einen Bundestrojaner auf Ihr System zu schleusen.

Wenn jemand soviel Mühe aufwenden sollte, dann hätte er es auch verdient, Zugriff auf die verschlüsselten Daten zu erlangen. Ob er damit was anfangen kann, wäre die zweite Frage.

In diesem Sinne: Einen 100%igen Schutz gibt es nicht. Man kann seine Haut aber so teuer wie möglich verkaufen.

Disclaimer:

Alle vorgenannten Produkte sind bei mir schon über 10 Jahre im Einsatz und wurden von mir käuflich erworben. Ich partizipiere weder an Käufen, Lizenzen, noch Klicks auf die Seiten.
Dieser Beitrag stellt dementsprechend keine Werbung dar, sondern lediglich einen Erfahrungsbericht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.