Informationssicherheit für Übersetzerinnen und Übersetzer

Daten auf dem Transportweg (Data in Motion)

Ob privat oder beruflich: Wir erhalten und senden immer mehr Dokumente auf elektronischem Weg. Dies ist zwar äusserst praktisch und von unserem Alltag nicht mehr wegzudenken, doch sind damit auch Gefahren verbunden.

So stellt sich etwa die Frage nach dem Schutz dieser Daten während deren Übermittlung (z. B. via E-Mail).

Das Problem

Grundsätzlich werden E-Mails im Klartext versandt und auf den Mailservern gespeichert – und zwar auch dann, wenn die Kommunikation mit dem Mailserver mit SSL verschlüsselt wird! So ändert etwa eine gesicherte Verbindung zum Gmail-Server nichts daran, dass Google die E-Mails lesen kann und dass die Übermittlung zwischen den Google-Servern und dem E-Mail-Server des Empfängers ungeschützt erfolgt. Es genügt also nicht, die Verbindung zu verschlüsseln. Es muss vielmehr auch die Nachricht verschlüsselt werden.

Doch wo liegt das Problem? Weshalb sollen Nachrichten und Dateien, die über das Internet übermittelt werden, verschlüsselt werden? Um nur ein paar mögliche Antworten zu nennen:

Als Privatperson kann ich der Meinung sein, dass Mitteilungen zwischen mir und einer anderen Person, einem Unternehmen oder einer Behörde grundsätzlich niemanden sonst etwas angehen.

Im Unternehmensbereich müssen Vereinbarungen und rechtliche Vorgaben zu Geheimhaltungspflicht und Datenschutz eingehalten werden: Wenn Daten, die unter diese Vereinbarungen und rechtlichen Bestimmungen fallen, ungesichert übers Netz versendet werden bzw. in die falschen Hände geraten, drohen zivil- und strafrechtliche Konsequenzen.

Dies ist keine Erfindung von mir. So steht beispielsweise in der Broschüre «Mehr Informationssicherheit für Klein- und Mittelbetriebe» des Vereins InfoSurance, die vom KMU-Portal des Bundes heruntergeladen werden kann (Punkt 10):

Schützen Sie Ihr Unternehmen mit weitergehenden Massnahmen zur Vertraulichkeit, wenn:

  • gesetzliche Auflagen, Vorschriften oder Verträge die Vertraulichkeit explizit fordern (z. B. Datenschutzgesetz, Urheberrechtsgesetz);
  • ein Missbrauch vertraulicher Daten zu hohen finanziellen Verlusten und zu breiter Ansehens- oder Vertrauensbeeinträchtigung führen würde, wie z. B. Veröffentlichung von Geschäftsgeheimnissen oder Offerten;
  • ein Missbrauch personenbezogener Daten erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen wie z. B. Veröffentlichung vertraulicher Kundendaten hätte;
  • Ihr Unternehmen generell auf den Schutz der Vertraulichkeit angewiesen ist. Das trifft beispielsweise auf Personalberatungsunternehmen, Verbände, Spitäler, Treuhänder, Arzt- und Anwaltspraxen zu.

Und weiter unten (Punkt 13):

Vertrauliche Daten können bei ungeschützter Übermittlung (z. B. E-Mail) von Dritten eingesehen werden. Mobile Geräte können verloren gehen und Ihre Daten geraten in falsche Hände. Um die Vertraulichkeit zu gewährleisten, ist eine Verschlüsselung der Daten auf den Geräten sowie der Übermittlung notwendig.

Dem würde ich hinzufügen, dass sich freiberufliche Übersetzerinnen und Übersetzer, die mit Unternehmen mit erhöhtem Schutzbedürfnis (siehe weiter oben) zusammenarbeiten und/oder ihr eigenes Geschäft schützen wollen, ebenfalls damit beschäftigen sollten oder gar müssen. Im Band «Berufsrecht der Übersetzer und Dolmetscher» des Bundesverbands der Dolmetscher und Übersetzer BDÜ, der von Manuel Cebulla herausgegeben wurde, steht hierzu auf Seite 382:

Freiberufliche Sprachmittler müssen (wie alle Unternehmer) den Datenschutz beachten.

Und auf Seite 401 schreibt er:

Erhalten Übersetzer die Ausgangstexte unverschlüsselt, dann berechtigt sie dies nicht dazu, ihrerseits die Übersetzungen auch unverschlüsselt an die Kunden zu senden. Vielmehr muss den Kunden die verschlüsselte Übersendung angeboten werden. Wenn der Kunde dies ablehnt, dann sollte mit ihm vertraglich vereinbart werden, dass der Übersetzer nicht verpflichtet ist, die Übersetzung verschlüsselt an den Auftraggeber zurückzusenden, und dass der Auftraggeber den Übersetzer von jeglicher Haftung für alle mit der unverschlüsselten Übersendung verbundenen Risiken freistellt. Beinhalten die Übersetzungen personenbezogene Daten, so muss der Kunde zusichern, dass die Betroffenen in die unverschlüsselte Übersendung eingewilligt haben.

Im Artikel Daten- und Geheimnisschutz: Doppeltes Muss für Übersetzer und Dolmetscher der in der Fachzeitschrift MDÜ veröffentlicht wurde, schlägt Manuel Cebulla unter anderem auch vor – zumindest für kleine Unternehmensstrukturen –, ganz auf die Unterscheidung zwischen sensiblen und anderen Daten zu verzichten und stattdessen mit einem eigenen technischen Schutzstandard dafür zur sorgen, dass die Sicherheit für alle Daten auf dem Rechner, im Büro und unterwegs gewährleistet ist:

Da auch der beste Sprachmittler nicht in der Lage ist, sensible von nicht sensiblen Informationen zweifelsfrei zu unterscheiden, und um der Regelungskomplexität möglichst pragmatisch Herr zu werden, sollte jeder Sprachmittler alle Daten, Informationen und Unterlagen seiner Kunden topsecret behandeln.

Nach diesem kurzen Überblick über die Ausgangslange sollen nun die möglichen Lösungen besprochen werden.

Lösungen

Die nachfolgend vorgeschlagenen Lösungen gewährleisten nicht nur, dass die übermittelte Nachricht ausschliesslich durch den berechtigten Empfänger einsehbar ist (Vertraulichkeit), sondern auch, dass deren Inhalt nicht abgeändert wurde (Integrität) und dass der Absender der ist, für den er sich ausgibt (Authentizität).

Unternehmensspezifische Serverlösung

Gewisse Unternehmen betreiben eine eigene Plattform. Das heisst, der Austausch mit diesem Unternehmen erfolgt über deren Server, der eine geschützte Verbindung mit dem Browser aufbaut und eine sichere Möglichkeit bietet, um Dokumente hoch- bzw. herunterzuladen und Mitteilungen auszutauschen. Sie kennen dies sicher von Ihrem E-Banking: Sie identifizieren sich und loggen sich so in einen geschützten Bereich ein, wo Sie Dokumente wie Kontoauszüge herunterladen oder Mitteilungen mit Ihrer Bank austauschen können.

Im Übersetzungsbereich bietet beispielsweise Supertext eine solche Lösung für den sicheren Austausch zwischen Kunden, Übersetzungsbüro und Übersetzerin bzw. Übersetzer an: Nach einer allfälligen ersten Kontaktaufnahme per E-Mail werden die Details zum Auftrag und die verschiedenen Dokumente ausschliesslich über den gesicherten Server von Supertext (mit SSL-Verschlüsselung) ausgetauscht. Dank dieser Infrastruktur wird zum einen die Vertraulichkeit gewahrt. Zum anderen kann so nachvollzogen werden, wer, wann, welche Dokumente hoch- oder heruntergeladen hat. Ein Schweizer Versicherungsunternehmen verfolgt eine vergleichbare Strategie: Dort erfolgt die Auftragsvergabe und der Dokumentenaustausch mit den externen Übersetzerinnen und Übersetzern via Extranet über eine verschlüsselte Verbindung. Jeder externe Partner verfügt über ein persönliches, passwortgeschütztes Extranet-Konto.

Für freiberufliche Übersetzerinnen und Übersetzer bietet eine solche Lösung den Vorteil, dass sie sich um nichts kümmern müssen (und dass zudem keine Installation von Software nötig ist). Im Gegenzug ist diese Lösung äusserst eingeschränkt, da sie naturgemäss nur für die Kommunikation mit dem betreffenden Unternehmen genutzt werden kann.

Webbasierte Kommunikationsplattformen

Eine weitere Möglichkeit besteht in der Nutzung eines Onlinedienstes, mit dem Sie Ihre Nachrichten (inkl. Anhänge) verschlüsselt senden und empfangen können. Anbieter in diesem Bereich sind etwa IncaMail der Schweizer Post oder PrivaSphere. Diese beiden Plattformen gelten als «anerkannte Zustellplattformen»1.

Vorteile sind: Es muss keine zusätzliche Software installiert werden. Es kann uneingeschränkt mit allen E-Mail-Partnern kommuniziert werden. Als Bonus (gegen Aufpreis) bieten diese beiden Anbieter die Möglichkeit des Versand- und Abholnachweises an (wie bei eingeschriebenen Briefen). Zu den Nachteilen würde ich folgende Punkte zählen: Das Versenden der Nachrichten kostet etwas (im Gegensatz zu den klassischen E-Mails). Und vor allem: Wer diese Dienstleistung nutzt, begibt sich in Abhängigkeit eines Anbieters.

PKI-basierte E-Mail-Verschlüsselung und -Signatur

Nicht zuletzt besteht auch die Möglichkeit, die E-Mails mit dem üblichen E-Mail-Programm (Outlook, Thunderbird, Apple Mail usw.) zu senden und zu empfangen, die Nachrichten (einschliesslich Anhänge) jedoch zu verschlüsseln. Am häufigsten kommt hierfür die PKI-basierte2 E-Mail-Verschlüsselung zur Anwendung. Dabei wird meist der Standard S/MIME oder OpenPGP eingesetzt.

Die beiden Standards sind nicht kompatibel miteinander (beide Parteien müssen mit anderen Worten denselben Standard nutzen, um die E-Mails des anderen lesen zu können), doch haben sie zahlreiche Gemeinsamkeiten. So erfolgt die Verschlüsselung bzw. Entschlüsselung in beiden Fällen mithilfe eines Schlüsselpaars, das aus einem öffentlichen und einem privaten Schlüssel besteht (diese Vorgehensweise wird auch als asymmetrische Verschlüsselung bezeichnet): Der Absender verschlüsselt die Nachricht mit dem öffentlichen Schlüssel des Empfängers, der wiederum die Nachricht mit seinem privaten Schlüssel entschlüsselt. Dies bedeutet auch, dass die öffentlichen Schlüssel vorgängig zwischen den beiden Parteien ausgetauscht werden müssen, während der private – wie der Name sagt – mit niemandem geteilt werden darf. Mit beiden Standards kann die Nachricht nicht nur verschlüsselt, sondern auch signiert werden (mit dem eigenen privaten Schlüssel). Damit kann der Empfänger die Echtheit und Unverfälschtheit der Nachricht feststellen.

Eine weitere Gemeinsamkeit ist: Während der eigentliche Inhalt der Nachricht und allfällige Anhänge verschlüsselt werden, ist der Header (gewissermassen der Umschlag mit Absender, Empfänger und Betreff) einer E-Mail immer unverschlüsselt3.

Kommen wir nun zu den Unterschieden.

Mit S/MIME muss der öffentliche Schlüssel von einer dazu berechtigten Organisation beglaubigt werden, bevor er wirklich nutzbar wird. Konkret bedeutet dies: Eine Zertifizierungsstelle gibt ein Zertifikat4 für den Schlüssel aus. Das Zertifikat dieser Zertifizierungsstelle wurde wiederum mit dem Zertifikat einer höher stehenden Organisation beglaubigt, das wiederum … – bis man zum obersten Glied der Kette gelangt. Die Vorteile von S/MIME gegenüber OpenPGP lauten: Die meisten gängigen Mailprogramme für die verschiedenen Betriebssysteme beherrschen diesen Standard von Haus aus. Es müssen somit keine Zusatzprogramme oder Plug-Ins installiert werden. Des Weiteren kommt in Behörden und Unternehmen überwiegend S/MIME zum Einsatz. Ganz allgemein ist die Handhabung eher bequemer als mit OpenPGP.

Eine Anleitung für die Verschlüsselung mit dem S/MIME-Standard finden Sie beispielsweise auf der Website von eqipe oder im Artikel Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein?

Bei OpenPGP wird die Echtheit der digitalen Schlüssel nicht hierarchisch gesichert, sondern durch ein Netz von gegenseitigen Bestätigungen, kombiniert mit dem individuell zugewiesenen Vertrauen in die Bestätigungen der anderen (man spricht auch von «Web of Trust»). Trotz der etwas umständlicheren Handhabung als mit S/MIME empfiehlt Stefan Thöni – Informatiker und Co-Präsident der Piratenpartei Schweiz – deshalb Freiberuflern, OpenPGP für die Kommunikation mit der Aussenwert einzusetzen: «Bei S/MIME verlässt man sich zur Authentisierung auf Zertifizierungsstellen, die man nicht persönlich kennt. Dabei gibt es bekanntermassen Zertifizierungsstellen, die von fremden Regierungen kontrolliert werden und solche, welche nicht sehr sicher sind. Bei OpenPGP prüft man Identitäten selbst oder vertraut persönlich bekannten Personen.»

Weitere Erklärungen zur E-Mail-Verschlüsselung sowie Anleitungen für die Nutzung von OpenPGP finden Sie beispielsweise auf der Website des Projekts Verbraucher sicher online.

Fazit

Es mag zwar bequem sein, die Dateien ohne Sicherheitsvorkehrungen über das Internet auszutauschen. Damit geht man aber besonders als Freiberufler bzw. Unternehmen ein Risiko ein. Ausserdem: Wenn man einmal die erste Hürde überwunden hat (so wie bei jeder neuen Technik, jedem neuen Programm), ist es gar nicht so schwierig, verschlüsselt zu kommunizieren.


  1. Diese Zustellplattformen ermöglichen es, die Vertraulichkeit und die Integrität von Eingaben und Mitteilungen zu wahren und sowohl den Versand als auch den Erhalt der über die Plattform versandten Nachrichten zeitgenau nachzuweisen. Weil sie nicht nur für den privaten Verkehr, sondern auch in Zivil- und Strafprozessen verwendet werden, ist eine vorgängige Anerkennung der Plattform vorgeschrieben. Seit dem 1. Juli 2013 ist dafür das Eidgenössische Justiz- und Polizeidepartement (EJPD) zuständig. Es hat dazu am 16. September 2014 die Verordnung des EJPD über die Anerkennung von Plattformen für die sichere Zustellung im Rahmen von rechtlichen Verfahren (Anerkennungsverordnung Zustellplattformen, SR 272.11) erlassen. Mehr dazu auf der Webseite des Bundes. [return]
  2. PKI steht für Public Key Infrastructure. [return]
  3. Dies ist eindeutig eine Einschränkung der Schutzwirkung, doch ist dies kein Grund, ganz auf die Verschlüsselung zu verzichten. [return]
  4. Die Zertifizierungsstellen geben in der Regel Zertifikate unterschiedlicher Klassen aus (Klasse 1: Verifizierung der E-Mail-Adresse; Klasse 2: Verifizierung mithilfe eines amtlichen Dokuments; Klasse 3: persönliche Authentifizierung). Für eine kommerzielle Nutzung sind in jedem Fall Zertifikate von kommerziellen Anbietern wie beispielsweise SwissSign zu empfehlen. [return]