shield

Wir nehmen den Schutz Ihrer Daten ernst. Wir haben uns Strategien zur Sicherheit Ihrer Daten überlegt und uns dabei auch andere Mitbewerber angeschaut. Das Ergebnis war überraschend, einige installieren einfach ein SSL-Zertifikat von irgendwo und behaupten dann, alles sei sicher.

Es wird vollkommen ignoriert, dass der Benutzer teilweise bewußt auf dritte Server oft ins Ausland stellenweise sogar in der USA umgeleitet wird. Ebenso übersehen die Betreiber, dass sie letztendlich sämtliche Kundenanfragen dann unverschlüsselt per Email weiterverschicken. Nur ein Anbieter gab keinerlei Versprechen zum Thema Sicherheit. Seine Angaben waren zwar zutreffend, aber nicht wirklich transparent.

Bei einem solchen Vorgehen wird die ganze Verschlüsselung der Website via SSL zur Farce. Was nutzt es, das Lesen der ohnehin öffentlichen Website, auf der der Benutzer keinerlei eigenen Daten eingeben kann, zu verschlüsseln, wenn man dann die privaten und vertraulichen Daten doch unverschlüsselt weiterverarbeitet.

Privacy ist sowas von 1980… (gefunden auf Atari Frosch)

Wir unterscheiden uns von diesen Anbietern in 2 Punkten:

Erstens bieten wir eine starke Ende-zu-Ende-Verschlüsselung an. Sie und Ihr Geschäftspartner können mit uns via verschlüsselter Email (PGP) kommunizieren. Sie können sich daher sicher sein, dass Sie mit uns in Kontakt stehen und auch kein Dritter unbefugt mitließt.

Snake oil bild wikipedia

Ihcoyc@en.wiki / PD-US

Zweitens sind wir ehrlich. Auf unseren Seiten finden Sie Schönfärben, keine Augenwischerei, kein Snake Oil.

Im Hinblick auf die Kundensicherheit bedeutet das, dass wir eine sehr sichere Kommunikationsform anbieten, aber niemanden zu dieser Kommunikationsform zwingen können.

Da die meisten unserer Kunden ohnehin schon vorab sensible Daten via unverschlüsselter Email mit ihrem Vertragspartner ausgetauscht haben, sehen sie keinen Nutzen jetzt auf eine Verschlüsselung umzusteigen. Diese Kunden können weiterhin unverschlüsselt kommunizieren und damit auch das bequemere Onlineformular nutzen.

Aber wir tun nicht so, als wäre dies sicher. Denn die Daten müssen irgendwie weitergeleitet werden und dies geschieht, wie bei den anderen Anbietern im Moment noch mittels unverschlüsselter email.

Wir evaluieren gerade 2 alternative Lösungen, welche nicht die anfängliche Hürde von PGP haben, einen solchen Schlüssel erstellen zu müssen und im Mailclient zu installieren. Bevor dies jedoch nicht genauso sicher ist wie PGP, bleiben wir bei PGP.

1. Datensparsamkeit

Um Ihre Daten zu schützen, beginnen wir erst einmal damit, dass wir keine Daten von Ihnen forcieren, wenn wir diese nicht zur Fallbearbeitung brauchen. Manche Daten sind evtl. praktisch und es steht Ihnen frei, uns diese Daten zukommen zu lassen, aber dies bleibt jederzeit in Ihrem eigenen Ermessen.

Wir beginnen bei der Datensparsamkeit schon bei unserem Hoster. Dieser pflegt ähnlich strikte Regeln zum Datenschutz. Damit verhindern wir, dass man uns nicht umgeht und die potentielle (Meta-)Daten einfach woanders abgreift.

2. SSL Zertifikat mit eV

Unsere Website ist mit SSL  exteded Validation (SSL eV) verschlüsselt. Ein SSL- Zertifikat ist die Grundlage dafür. Die Website ist dann per https verschlüsselt. Das bedeutet, dass die Inhalte von und zur Website versctrustsiegel comodohlüsselt übertragen werden und Dritte nicht unbemerkt diese Verbindung belauschen können bzw. Inhalte abändern oder unterschieben kann. Ein Standard-SSL-Zertifikat gibt Ihnen jedoch nicht die Gewissheit, mit wem Sie kommunizieren.

Daher haben wir ein SSL-Zertifikat mit EV. Bei einem EV nimmt die Zertifizierungsstelle Kontakt zu mehreren Stellen, wie etwa dem Gewerbeamt, der Hausbank oder dem Steuerberater auf und überprüft, ob es das Unternehmen wirklich gibt und ob die Daten mit denen der Domainregistrierung übereinstimmen. Nach erfolgreichem Abschluss gibt es als Belohnung die grüne Browserleiste.

ssl_ev

Es ist dann zwar immer noch denkbar, dass eine solche eV trotz all dieser Maßnahmen unterwandert wird, Aber es erhöht die Hürde für einen Missbrauch beachtlich. Daher können Sie als Nutzer mit einem Blick auf die Browserleiste recht sicher sein, keinem Missbrauch (z.B. Phishing) ausgeliefert zu sein.

Btw. wir sind absolute Fans von CaCert und finden die engagierte Arbeit der Assurer vorzugswürdig. Aber solange die CaCert es nicht schafft, ihre Zertifikate standardmäßig im den Browser integriert zu bekommen, bieten sie für ein Schlichtungsstelle keine vertrauensbildende Grundlage.

3.  Wahl des Hostingproviders

Die Wahl des Hostingproviders ist ebenfalls ein wichtiger Faktor bei der Absicherung des Onlineangebotes. Wir haben unseren jetzigen Provider ein Jahr vorab getestet hinsichtlich seines Angebotes, der Aktualität, ob und wie Sicherheitsupdates gefixed wurden und auch der generellen Umsetzung des Hostingangebotes.

denn das System wird von einem versierten und entsprechend sensibilierten Team des Hostingproviders gewartet.

4. PGP

Soweit Sie eine wirklich sichere, Ende-zu-Ende-Verschlüsselung wünschen, können wir Ihnen anbieten uns eine verschlüsselte Email zu schicken.

Hierzu gibt es einen etablierten Standart PGP. (S/Mime unterstützen wir nicht)

Sie können sich unseren offiziellen Schlüssel von einem Schlüsselserver importieren (z.B. Heise, Direktlink), oder hier herunterladen.

Unser öffentlicher Schlüssel lautet

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.3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==
=KLla
-----END PGP PUBLIC KEY BLOCK-----

Beachten Sie bitte, dass Sie ebenfalls einen PGP-Schlüssel brauchen und uns den öffentlichen Schlüssel zur Verfügung stellen müssen, damit wir Ihnen verschlüsselt anworten können.

Das gleiche gilt auch für Ihren Geschäftspartner. Es besteht immer noch ein Sicherheitsleck, wenn nur die Hälfte der Kommunikation verschlüsselt ist.

Da wir wissen, dass email-Verschlüsselung nicht sehr verbreitet ist, bieten wir in Einzelfällen auch den Austausch via FAX an.

5. Berufsgeheimnisträger

Iudica wird von zugelassenen Rechtsanwälten geführt. Das sind Berufsgeheimnisträger. Diese sind im Bereich Datensicherheit besonders sensibel und bei Ihnen werden Verstöße gegen die Verschwiegenheitspflicht strafrechtlich sanktioniert – § 203 StGB, § 43a BRAO -.

Darüber hinaus haben sie je nachdem gegenüber dem Staat besondere Privilegien, wie etwa ein Zeugnisverweigerungsrecht – § 53 StGB .