22.06.2016 | Kanzleimanagement

Kanzleimanagement: ITK-Investitionen lieber schieben

Von Alexandra Buba *

Die Telekom hat angekündigt, ab 2018 nur noch VoIP-Anschlüsse anbieten zu wollen, bei Vodafone soll dies ab 2022 der Fall sein. Für Kanzleien bedeutet dies, dass sie sich eines weiteren Sicherheitsthemas annehmen müssen. Denn bei normalen VoIP-Telefonaten kann jeder mithören. Was Steuerberaterinnen und Steuerberater zu diesem Thema wissen sollten, klären wir im Gespräch mit dem zertifizierten Datenschutzbeauftragten René Floitgraf.

(Foto: © marog-pixcells - Fotolia.com)

STB Web:
Herr Floitgraf, warum sind VOIP-Anschlüsse für Kanzleien ein Problem?

René Floitgraf:
Während bei ISDN-Verbindungen eine direkte Verbindung mit dem Gesprächspartner über die Vermittlungsstellen aufgebaut wurde, werden bei VoIP die Gespräche als Datenpakete über das Internet übermittelt. Konnte man bei ISDN-Anschlüssen daher allenfalls mit Zugriff auf die Telefonleitung die Gespräche mithören, besteht nun das Risiko auch ohne direkten Kontakt lauschen zu können.

Das Problem sind dabei nicht die Provider, da diese den strengen Regeln des Telekommunikationsgesetzes unterliegen. Die Provider sind daher datenschutzrechtlich relativ unproblematisch. Der Knackpunkt ist eher die Verschwiegenheitsverpflichtung dem Mandanten gegenüber, da die Kommunikation in den allermeisten Fällen unverschlüsselt erfolgt.

VoIP-Telefonie:

VoIP-Telefonie, IP-Telefonie oder Internettelefonie beschreibt ein Verfahren, bei dem ausschließlich über Computernetzwerke telefoniert wird. Es kann die klassische ISDN-Telefonie vollständig ersetzen. In der Vergangenheit galt VoIP als unzuverlässiger als ISDN, diese Einschätzung ist mittlerweile überholt. Ungeklärt sind jedoch Sicherheitsfragen, da anders als bei der klassischen Telefonie Daten über das Internet abgeschöpft und ausgelesen werden können.

STB Web:
Warum ist das so?

René Floitgraf:
Meines Wissens nach unterstützen nur wenige Anbieter die verschlüsselte Kommunikation mittels SRTP/TLS. Selbst wenn dies der Fall ist und die Verbindung vom Anrufenden bis zur TK-Anlage in der Vermittlungsstelle verschlüsselt ist, ist nicht sicher gewährleistet, dass die Verbindung auch bis zum Angerufenen verschlüsselt bleibt. Unterstützt die Gegenseite keine Verschlüsselung, ist diese auch nicht vorhanden. Damit ist der Nutzer zwar in der Lage seinen eigenen Teilbereich abzusichern, ein Garant für eine vertrauliche Kommunikation ist dies jedoch nicht.

STB Web:
Wie funktioniert SRTP genau?

René Floitgraf:
Für VoIP-Telefonate brauchen Sie technisch gesehen zwei Protokolle: das SIP-Protokoll, das Session Initiation Protocol und das RTP, das Realtime Transport Protocol. Das SIP baut die Verbindung auf, mit Hilfe von RTP werden die Audio- und Videodaten übertragen. In den heutigen Angeboten werden fast immer diese normalen Protokollvarianten eingesetzt. Das führt dazu, dass SIP-Nachrichten und RTP-Strom mitgeschnitten und abgehört werden können.

Bei der sicheren Variante der beiden Protokolle, SIPS und SRTP, können die Daten zwar auch immer noch abgeschöpft werden, aber sie sind durch die Verschlüsselung nicht ohne weiteres lesbar. SRTP kodiert die Sprache und verpackt sie in verschlüsselte Datenpakete.

STB Web:
Wie wird sich der Markt weiter entwickeln?

René Floitgraf:
Im Moment ist die Bereitschaft, sich mehr um den Datenschutz zu kümmern, gewachsen. Daraus werden sich neue Angebote und Lösungen entwickeln. Es macht also Sinn, noch abzuwarten, um dann den richtigen Anbieter zu finden.

Daher raten wir Steuerberatern im Moment, Investitionen zu schieben. Es macht keinen Sinn, sich jetzt noch eine klassische Telefonanlage zu kaufen, ist das Ende für ISDN doch bereits unausweichlich.

STB Web:
Wird das Thema Verschwiegenheit und Datenschutz in der Zukunft für Steuerberater überhaupt drängender?

René Floitgraf:
In rechtlicher Hinsicht ist die Verschwiegenheit ein wichtiges Gut und ist bereits heute zu gewährleisten. Daher wird das Thema aus meiner Sicht im Allgemeinen auch bereits heute intensiver beleuchtet. Im Bereich der Telefonie mittels Voice over IP, wage ich eine vorsichtige Prognose, dass dies in den kommenden drei bis fünf Jahren jedoch noch nicht der Fall sein wird. Denn das, was Steuerberater in die sichere Kommunikation investieren, orientiert sich an dem, was Mandanten von ihnen fordern. Beide Seiten müssen prinzipiell zuerst aufgeklärt werden und über die Risiken und Möglichkeiten informiert sein. Hier sehe ich noch Beratungsbedarf durch die bestellten Datenschutzbeauftragten der jeweiligen Firmen und Kanzleien, damit das Bewusstsein für möglichen Gefahren der Internettelefonie geschaffen wird.

STB Web:
Trotzdem sollten sie das Thema nicht auf die leichte Schulter nehmen?

René Floitgraf:
Ich sage an der Stelle das, was ich als Datenschützer immer sage: Wer sich viel Aufwand sparen will und sich auf Anhieb zumindest halbwegs im sicheren Bereich bewegen möchte, sollte auf einen Anbieter aus der EU setzen. Idealerweise fällt die Wahl daher direkt auf einen Anbieter aus Deutschland. Bei der Beauftragung von Unternehmen in Drittstaaten sind vertragliche Vereinbarungen zu treffen, die entweder umstritten oder aufwändig sind. Beispielsweise wird mit den USA derzeit Privacy Shield, der Nachfolger von Safe Harbor, ausgehandelt. Schon jetzt werden Zweifel daran laut, ob dieser Ersatz Rechtssicherheit bringt.

Auch wenn Microsoft beispielsweise die Daten europäischer Kunden in europäischen Rechenzentren ablegt, ist derzeit nicht endgültig geklärt, ob die USA Zugriff auf die Daten in diesen Rechenzentren erhalten. Ohne diese rechtliche Regelung ist die Nutzung von Cloud-Diensten, die von US-Unternehmen erbracht werden, für alle die mit Verschwiegenheit zu tun haben, für mich ein absolutes No-Go. Das gilt damit auch für das Microsoft-Produkt Skype für Business. Natürlich gibt es Leute, die Skype im Geschäftsleben nutzen, aber entweder sind sie sich des Risikos nicht bewusst, oder es ist ihnen egal.

René Floitgraf ist zertifizierter Datenschutzbeauftragter nach DIN EN ISO/IEC 17024:2012 und Geschäftsführer der Spider Network Consulting GmbH aus Stolberg. Er berät Kanzleien nicht nur zu allen Fragen des Datenschutzes, sondern auch zur Kanzlei-IT-Infrastruktur.

* Das Gespräch führte Alexandra Buba, M. A., freie Wirtschaftsjournalistin

Weitere Informationen unter: www.medientext.com

(STB Web)

Hinweis: Beachten Sie bitte das Datum dieses Artikels. Er stammt vom 22.06.2016, sodass die Inhalte ggf. nicht mehr dem aktuellsten (Rechts-) Stand entsprechen.