Der Versand vertraulicher Dokumente per Fax ist in Unternehmen üblich und gilt als sicher. Schließlich ist das Faxen als Dienst auf einer Telefonleitung durch das Fernmeldegeheimnis geschützt. Aber sind Faxe wirklich sicherer als Mails?
Unverschlüsseltes Faxen als Risiko
Beim Faxen wird oft vergessen, dass der Inhalt immer explizit und unverschlüsselt ist. Wie bei einem Telefonat kann der Anruf überwacht werden. In der Vergangenheit war das Risiko im ISDN-Zeitalter, zumindest wegen der direkten logischen Verbindung mit dem Empfänger, deutlich geringer als beim Versand unverschlüsselter E-Mails, die transparent über das Internet verschickt werden. Leider gilt dies im Zeitalter von VoIP nicht mehr uneingeschränkt. Bietet der VoIP-Provider keine verschlüsselte Übertragung an, muss die Übertragung zumindest teilweise auch ohne Verschlüsselung über das Internet erfolgen. Allerdings besteht auch bei einer verschlüsselten Verbindung ein gewisses Risiko beim Faxversand. Dies ist jedoch eher ein Fax- als ein Technologieproblem.
Weitere Risiken, die mit dem Versand von Dokumenten per Fax verbunden sind, ergeben sich oft aus den allgemeinen Organisationsbedingungen vor Ort:
Fax-Standort: Faxe befinden sich oft im Zentrum des Dienstes, sodass sie für jedermann zugänglich sind. Dies erhöht das Risiko, dass unbefugte Mitarbeiter oder Dritte, wie z.B. Dienstleister oder Besucher, über die Inhalte informiert werden. Faxe müssen daher immer in geschützten Bereichen installiert werden. Eingehende Faxe können dann von autorisierten Mitarbeitern an die richtigen Empfänger gesendet werden. Noch besser geeignet für die vertrauliche Verteilung sind computergestützte Faxlösungen (Faxserver), bei denen eingehende Faxe direkt per E-Mail an den gewünschten Empfänger zugestellt werden.
Falsche Faxnummer: Die Adressierung während des Faxversands erfolgt in der Regel durch Eingabe einer Nummernfolge (einer Faxnummer). Fehler können bei der Eingabe schnell unbemerkt bleiben und dazu führen, dass das Dokument an ein völlig anderes Ziel gesendet wird. Dies kann z.B. zu schwerwiegenden Datenproblemen in Arztpraxen führen, die Patientendaten in eine andere Praxis oder ein anderes Labor übertragen wollen. Ist der Versand eines Faxes unvermeidlich, ist bei der Eingabe der Zielrufnummer besondere Achtsamkeit geboten. Empfänger, an die häufiger Faxe gesendet werden, sollten im Rufnummernspeicher abgelegt werden. Damit wird eine Fehleingabe von Telefonnummern wirksam verhindert. Auch der Einsatz eines computergestützten Faxgerätes kann dieses Risiko minimieren.
Fax-Verschrottung: Oftmals werden Faxe einfach eliminiert, ohne die gespeicherten Daten vorher zu löschen. Neben Metadaten (Sende-/Empfangsprotokolle) speichern moderne Faxgeräte oder Multifunktionsdrucker oft auch den tatsächlichen Inhalt von Dokumenten über längere Zeiträume, betont der Output-Experte Printer Care. Es ist daher unerlässlich, dass Nutzer von einem qualifizierten Dienstanbieter die Faxeinstellungen vollständig auf die Werkseinstellungen zurücksetzen lassen und alle installierten Festplatten oder SSDs sicher entfernen.
Vorteile des Faxens
Wer etwas versendet, möchte, dass es ankommt. Das ist die Schwäche der E-Mail. Der Empfänger sieht nie mehr als 90% der von den Unternehmen empfangenen Nachrichten, da sie durch Anti-Spam-Filter gefiltert werden. Trotz der Fortschritte in der Sicherheitstechnik gehören „Fehlalarme“ zur Realität der E-Mail. Das Faxgerät widersteht Spam-Filtern, da der Textinhalt des Faxes nicht erkannt wird. Aber das Fax ist auch sicher, da es garantiert viren- und trojanerfrei ist. Fax bedeutet vertrauliche Kommunikation zwischen den Endgeräten. Das Faxprotokoll sendet Nachrichten direkt vom Absender an den Faxempfänger. Indirekte Lagerung, Überwachung, Manipulation oder Abfangen sind technisch kaum möglich und kommen in der Praxis noch nicht vor.
Zunächst noch eine schlechte Nachricht: In Deutschland sind Originalpapiere rechtssicher. Sobald der Faxcomputer eingeschaltet wird, ist eine elektronische Signatur erforderlich. Insofern behandelt das Gesetz Fax und E-Mail in gleicher Weise. Die Signatur speichert Informationen über das übertragene Fax. Alle Inhalte werden in einem zweidimensionalen Code gespeichert und dieser soll beweisen, dass das gleiche Fax gesendet wurde. Das macht beispielsweise Rechnungen fälschungssicher. Professionelle Unified Messaging-Lösungen ermöglichen daher die optionale Verarbeitung von elektronischen Signaturen auf Faxen.
Sicherheit von Mails
Bisher galten verschlüsselte Mails als vor dem Zugriff Dritter geschützt. Vertrauliche E-Mails könnten mit diesen Verschlüsselungstechniken so gesichert werden, dass davon ausgegangen werden kann, dass auch Sicherheitsdienste keinen Zugriff darauf haben. Die Dokumente des berühmtesten amerikanischen Informanten, Edward Snowden, zeigen zum Beispiel, dass die NSA nicht in der Lage war, verschlüsselte PGP-Nachrichten zu entschlüsseln.
Allerdings haben Informatiker bereits zwei gravierende Mängel entdeckt. In der Angriffsvariante wird die Verschlüsselung selbst nicht grundsätzlich gelöscht, sondern das E-Mail-Programm betrogen: Hat der Angreifer eine Verschlüsselung, die per E-Mail verschickt wird, ist die Tür bereits offen. Die Forscher versteckten die Verschlüsselung in einer E-Mail-Nachricht an einen Empfänger, dessen E-Mail-Programm die Verschlüsselung erkennt und dann entschlüsselt, was geschrieben wurde. Eine verschlüsselte Nachricht wird mit Hilfe von HTML-Code in den meisten E-Mails an die Website des Angreifers gesendet, die einen Link enthält. Wenn diese Bedingungen erfüllt sind, können Angreifer leicht vertrauliche Informationen überspringen, wenn HTML im E-Mail-Programm erlaubt ist. Besonders explosiv: Alte Nachrichten können später sogar entschlüsselt werden.
