Eklatante Sicherheits­lücken bei Anwälten: Kaum verschlüsselte Kontakt­formulare im Test

Erschreckend viele Anwälte bieten auf Ihren Webseiten Kontaktformulare an, deren Inhalte über unverschlüsselte Verbindungen übertragen werden. Die eventuell sensiblen Inhalte können so von jedermann gelesen werden. Das ist insbesondere für Strafverteidiger ein unhaltbarer Zustand. Wir haben die Situation beleuchtet.


Sicherheit in der Kommunikation Sicherheit in der Kommunikation Stevepb über Pixabay, CC0, https://pixabay.com/de/users/stevepb-282134/

Schon klar: Datenschutz ist ein bisschen wie radioaktive Strahlung. Man schmeckt ihn nicht, man sieht ihn nicht und man hört ihn nicht. Und wenn man ihn bemerkt ist es meistens schon zu spät. Diesen Luxus der Unberührtheit sollte sich in Zeiten der massenhaften Datenausspähung durch Regierungen und Wirtschaftskriminelle eigentlich keiner mehr leisten. Manche jedoch noch weniger.

Zu diesen gehören insbesondere auch Berufsgeheimnisträger, wie Rechtsanwälte und Ärzte. Der sächsische Beauftragte für Datenschutz hat in seinem Tätigkeitsbericht darauf hingewiesen, dass die unverschlüsselte Kommunikation über E-Mail mit Mandanten den Straftatbestand des § 203 StGB erfüllen kann (Punkt 8.13 im Bericht). So oder so: Im Interesse der Datensicherheit sowie der Abmahnsicherheit sollten Anwälte hier dringend aktiv werden. Was Sie als Webseitenbetreiber tun können, erfahren Sie weiter unten.

Was haben wir getestet und warum?

Für unseren Test haben wir die jeweils ersten zwei Seiten der Google-Treffer für Rechtsanwälte und Strafverteidiger in Darmstadt und Freiburg geprüft. Das Ergebnis ist somit natürlich nicht repräsentativ, vermittelt jedoch ein gutes Bild. Die Auswertung ist ganz unten zu finden. Getestet haben wir, weil uns Datensicherheit am Herzen liegt und dies ein Bereich ist, indem keinerlei Spielraum für Versagen besteht. Wer einen Anwalt kontaktiert, befindet sich in einer besonderen Lebenssituation. Insbesondere die Kontaktaufnahme zu Strafverteidigern sollte absolut sicher und vertraulich sein, denn hier muss sich ein Mandant ggf. gegen die Staatsmacht und seine Möglichkeiten wehren. Dabei ist grundsätzlich ein wenig Fatalismus mit Blick auf Überwachung ein guter Berater bei der Entwicklung der gesicherten  Kommunikation.

Unverschlüsselte Kontakformulare und die Risiken

Auch Anwälte wollen Geld verdienen und Mandanten online akquirieren. Für die praktische und ungezwungene Anfrage eignen sich auch hier zwei Methoden. Ein Button mit einer Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! Anweisung, die jedoch ein eingerichtetes E-Mailprogramm auf dem Endgerät erfordert oder aber ein Kontaktformular, das direkt auf der Seite ausgefüllt werden kann. In letzterem Fall wird der Inhalt des Formulars direkt aus dem Browser des Besuchers an die Seite gesendet und dort entsprechend der Anweisungen weiterverarbeitet.

SSL erfreut sich bei Anwälten in unserem Test noch keiner großen Beliebtheit

Sichere HTTP-Verbindungen (wie SSL) haben bei Anwälten scheinbar kaum Einzug gehalten. Das ist zwar nicht gerade Stand der Technik, aber auch nicht weiter schlimm, wenn keine Daten vom Besucher zum Server übertragen werden sollen, wie das z.B. bei Kontaktformularen der Fall ist. Kritisch wird die Situation also erst, wenn (A) kein SSL verwendet wird und (B) ein Kontaktformular angeboten wird.

Wie kann der Inhalt eines Kontaktformulars mitgelesen werden und von wem?

Gehen wir davon aus, dass ein potentieller Mandant sich in einem offenen WLAN-Netzwerk (hundertfach zu finden) einloggt. Nun besucht er eine entsprechend ungesicherte Seite. Er gibt eine Nachricht in das Kontaktformular ein, in der er seine Situation ausführlich beschreibt und um einen Termin bittet. Er sendet das Formular ab.

Nun kann ein potentieller Angreifer durch mitsniffen des Datenverkehrs ohne weiteres die im Klartext übersendete Nachricht lesen. Glauben Sie nicht? Ist aber so. Wir haben das in einem kleinen eigenen Testaufbau mal nachgestellt, wobei wir ein eigenes Formular aufgesetzt haben und eine Nachricht mit dem Inhalt "SSM" versendet haben.

Formular auslesen

Die Kommunikation ist also absolut gar nicht sicher. Das ist auch keine Überraschung, denn genau hierfür wurde SSL ja schließlich eingeführt. Ein solcher Umgang mit möglicherweise hochsensiblen Daten ist völlig aus der Zeit gefallen.

Noch kein Mandantschaftsverhältnis - das befreit nicht von Schutzpflichten

Zwar besteht zu diesem Zeitpunkt regelmäßig noch kein Mandantschaftsverhältnis, das erweiterte Schutzpflichten begründet, doch obliegen dem Anwalt auch hier sicherlich schon besondere vorvertragliche Schutzpflichten. Wer einen potentiellen Mandanten eines Strafverfahrens einlädt über ein ungesichertes Kontakformular Kontakt aufzunehmen, ohne einen Hinweis darauf zu geben, dass über diese Verbindung keine sensiblen Daten gesendet werden sollten, lässt sein gegenüber allermindestens moralisch ganz schön im Regen stehen. Rechtliche Verpflichtungen ergeben sich des weiteren ggf. auch aus § 43a BRAO. Weiterhin besteht gemäß § 9 BDSG eine Schutzpflicht!

Zeit zu handeln: Jetzt Kommunikation über Kontaktformulare schützen

Es besteht also dringender Handlungsbedarf. Wir empfehlen daher dringend:

  • die Aufrüstung auf forciert gesicherte HTTPS-Verbindungen
  • optimalerweise mit HSTS-Header und Preload Direktive
  • Alternativ: Abschalten der Kontaktformulare und ersetzen durch Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! Button
  • Das Mindeste ist jedoch ein Hinweis auf die unsichere Verbindung. Darüber sollte man nicht mal nach der Uhrzeit fragen ;).

Einen durchschnittlichen Rechtsanwalt stellt die Anschaffung eines SSL-Zertifikates nicht vor unstemmbare finanzielle Hürden. Auch die Sparfüchse haben kein Argument mehr: Über Let´s Encrypt können solche mittlerweile sogar spielend einfach kostenfrei angefordert werden.

Und wer jetzt noch mehr Motivation braucht, der sollte wissen, dass öffentliche Stellen begonnen haben ungesicherte Kontaktformulare (auch auf einfachen Webseiten) abzumahnen. Wenn dies bereits für normale Webseiten gilt, sollten sich Stellen mit potentiell sehr sensiblen Daten wirklich spurten.

Umso erschreckender ist es, dass wir sogar Anwälte kontaktiert haben, bei denen die Sicherheitslücken in Zusammenhang mit den Aufforderungen neben dem Formular und dem Fachgebiet besonders gravierend waren, und absolut keine Reaktion über viele Monate hinweg bis heute erhielten. Es scheint hier schlicht egal zu sein.

So erkennen Sie, ob Ihr Formular sicher ist

Auch Laien können einfach checken, ob Sie betroffen sind. Öffnen Sie Ihre Webseite und navigieren Sie zu Ihrem Kontaktformular. Wenn Sie in Ihrer Browserleiste nun ein grünes Schloss sehen (am PC), ist SSL aktiv. Ihr Formular ist gut geschützt. Wenn nicht, sollten Sie aktiv werden.

sslakti

Testergebnisse der Kontaktmöglichkeiten

Die hier dargestellten Ergebnisse sind objektive Werte des Besuchs der Seiten, Stand 03.01.2018. Wir haben geprüft, ob SSL aktiv ist und ob ein Kontaktformular angeboten wird. Wir haben die jeweils ersten zwei Seiten der Google Ergebnisse besucht.

Kontaktseiten der Rechtsanwälte Freiburg im Test

SeiteSSL aktiv?Kontaktformular aktiv?Ergebnis
https://lamster-kanzlei.de/anfahrt/ Nein Nein Okay
http://www.strafverteidiger-hammerstein.de/ Nein Nein Okay
http://www.kanzlei-kaspar.de/de/kontakt Nein Ja Schlecht
https://www.kanzleisek.de/anfahrt-und-kontakt Ja, aber durchbrochen Ja Okay
http://www.raeknapp.de/kontakt.html Nein Nein Okay
http://www.anwalt-freiburg.de/kontakt.htm Nein Nein Okay
http://fettweis.eu/kontakt/ Nein Ja Schlecht
http://www.jeutter-kollegen.de/kontakt-anfahrt.html Nein Ja Schlecht
http://www.rak-freiburg.de/rak-freiburg/kontakt/ Nein Nein Okay (aber Anmeldeformular ungesichert!)
http://www.kanzlei-glathe.de/kontakt/ Nein Ja Schlecht
http://strafverteidiger-glathe.de/ Nein Ja Schlecht
http://www.anwalt-greiner.de/Kontakt/1/ Nein Ja Schlecht
https://www.pohl-sitzler.de/kontakt.php Ja Ja Sehr gut!
http://www.rechtsanwaelte-mm.de/de/kontakt Nein Nein Okay

Kontaktseiten der Rechtsanwälte Darmstadt im Test

SeiteSSL aktiv?Kontaktformular?Ergebnis
http://www.strafverteidiger-sanders.de/kontakt.html Nein Nein Okay
http://strafverteidiger-doering.de/?q=kontakt Nein Nein Schlecht
http://www.strafverteidigung-darmstadt.com/kontakt/ Nein Ja Schlecht
http://kanzlei-sachse.de/Kontaktformular Nein Ja Schlecht
http://www.strafverteidigerkanzlei.de/kontact Nein Ja Schlecht
https://davut-yildiz.de/ Ja Ja Sehr gut!
http://www.rae-engelbrecht.de/kontakt/ Nein Nein Okay
http://www.fachanwaelte-darmstadt.de/rechtsanwalt-strafrecht.html Nein Ja Schlecht
https://www.ghk-rechtsanwaelte.de/kontakt.php Ja Nein Sehr gut!
http://www.sauer-kunath.de/contact.html Nein Nein Okay
http://www.schwarz-kollegen.de/kontakt/kontakt.htm Nein Nein Okay
http://www.kanzlei-prof-rath.de/ Nein Nein Okay

Schlusswort

Der Schutz personenbezogener Daten ist eine wichtige Aufgabe jedes Webseitenbetreibers. Dies muss umso mehr  für Rechtsanwälte gelten. Für 2018 kann es hier keine Entschuldigung mehr geben: Umrüstung ist Pflicht! Wir setzen uns kontinuierlich für ein sicheres Internet ein und haben daher auf das in unseren Augen existierende Problem aufmerksam gemacht. Sollte es Kanzleien geben, die sich tatsächlich keine Beratung leisten können, bieten wir bei einer Tasse Kaffee im Rahmen unserer begrenzten Möglichkeiten gerne kostenlos Tipps an.

Letzte Änderung am Sonntag, 28 Januar 2018 19:26
iotex

THE DIGITAL TECHNOLOGY EXPERTS

iotex.co
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok