Dominik Leibenger1 Stephan Ory2 Christoph Sorge1

Slides:

Advertisements

Ähnliche Präsentationen

Martin Köllner XMLCompany XML-Datenbanken Xindice als Datenquelle einer Website im Zusammenspiel mit Cocoon und authentic TM.

Advertisements

Projekt Web Engineering

Developer Day Office APPs entwicklen Simon Amrein Trivadis AG Die ersten Schritte in eine neue Office-Welt.

Webseiten mit PHP, SQL, XML und Webservices Anhand praktischer Beispiele.

Wissen praktisch ablegen

RATEME Suchen und Bewerten von Ausgangsorten. Inhalt RateMe - Pirmin Schürmann, Thomas Junghans - Hochschule für Technik Zürich 2 Unser Ziel.

Client-Server-Modell

HEX-code für die Farbe weiß: #FFFFFF Änderung von Inhalt & Darstellung Inhalt & Darstellung HTML Javascript CSS.

Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.

Mobile-Applikationen mit Agisviewer-Technologie Urs Richard, Stadtlandfluss.

Modul 6 Handy-Signatur: Anwendung. Anwendungsbereiche der Handy-Signatur „Eigenhändige Unterschrift“ Elektronische Behördenwege Rechtsgültiges Unterschreiben.

Rechen- und Kommunikationszentrum (RZ) Sicherheitsorientierte Webentwicklung am Beispiel der Matse-Dienste Jan-Frederic Janssen.

Funktionsweise eines Funambolservers Natascha Graf Aachen, 01. Februar 2010.

DatenschutzPC-VirenSpywareSchädlingeAbwehr

AMS confidential & proprietary International Business and Technology Consultants 1 Sicherheitskonzepte in Oracle Von der Entwicklung in die Produktion.

Der Einsatz von stunnel in den Verbund- Bibliotheken Seite 1 Der Einsatz von stunnel in den Verbund- Bibliotheken Von Frank Dietz (BVB/A)

Neuigkeiten in Reporting Services 2016 Frank Geisler The box is back…

Ein Freies Programm für Rechtsanwaltskanzleien. Zur Person Rechtsanwalt Dr. Michael Stehmann ● Studium der Rechtswissenschaft an der Universität zu Köln,

Piraten erklären das Internet Teil 2: … wie kommuniziert man über das Internet?

unter thw-schoeningen.de Überblick über die Möglichkeiten Autor: Kai Boever.

Microsoft Azure Die Cloud-Plattform für moderne Unternehmen ModernBiz 1 Kleine und mittlere Unternehmen (KMU) wünschen sich die Möglichkeit und Flexibilität,

Passwörter taugen nichts mrmcd100b, Hanno Böck,

D-SQL Vom Datenbank-Container zur SQL Server-Datenbank

Mehr als ein Modewort? Exzerpt nach Tim O‘Reilly, Michael Karrer

Digitale Selbstverteidigung

Ardan Boral, Dominik Kary und Lukas Libal

IT-Schulung Sophos SafeGuard: Harddisk- und Shareverschlüsselung

Betriebswirtschaftliche Analyse bayerischer PT-Praxen mit

Etwas Misstrauen und hohe Aufmerksamkeit

das Produkt Komplettlösung eines multimedialen Archivs

Azure Backup, Azure Backup Server und Azure Site Recovery

Gruppen Finden Sie sich zurecht Die ersten Schritte in Ihrer Gruppe

Sichere Brücken in die Cloud - Wie Sie mit CloudBridge hybride Cloud- Strategien unterstützen Peter Leimgruber, Senior Systems Engineer Citrix Systems.

Sicherheit im Internet Verschlüsselung ZPG INFORMATIK

Othmar Gsenger Erwin Nindl Christian Pointner

Datenschutz im Arbeitsalltag Arbeitsmaterialien

Inhalt Was ist SiXFORM ? Welchen Beitrag leistet SiXFORM im Projekt TREATS ? Wie sehen die Architektur und das Zusammenspiel aus ? eIDAS für Gewerbeanmeldungen.

Neue Entwicklungen im GeoPortal.rlp

Workshop: -Verschlüsselung

RSA public key encryption

Azure Countdown Und sie weiß nicht, was sie tut: Wie die Cloud auf verschlüsselten Daten der Bürger arbeitet.

Ein Tag im Leben des.

VPN (Virtual private Network)

Symmetrische Verschlüsselung

Die geschichtliche Entwicklung des Internets

Seminarvortrag René Schmid

Nordrhein-Westfalen macht Schule. IT-Sicherheit im Verwaltungsnetz

Änderungen im Urheberrecht und ihre Auswirkungen für die Fernleihe

Design Studio Zurbel Zwickauer Str Chemnitz

Webdienste Infrastruktur Motivation

Du kommst hier nicht rein!

Digital Business Coaching

Sicherer Datentransport & allgemeine Datensicherheitsstrategien

Datenbanken online sowie offline verfügbar machen

Wie funktioniert das Internet?

UTAX SolutionPacks UTAX Security-Pack.

Was ist ein eBook und wie löst man es ein

Aufbruch in den elektronischen Rechtsverkehr

Heller Christoph, Wimmer Kerstin

Anmeldung/Kostenkontrolle in Verbindung mit dem USB Karten-Leser

Risiko – Check Erkennung von Politisch exponierten Persönlichkeiten (PeP‘s) bzw. von Personen mit Verdacht auf Geldwäsche und/oder Terrorismusfinanzierung.

Teufelskreis der negativen Erfahrungen

SOFTWARE- UND WEB-LÖSUNGEN

IT-Trends Sicherheit - Bochum

Präsentation neue Homepage www. fwniederhasli. ch Mi

Cloud Computing SBV – Weitebildungskurse 2018.

Weiterentwicklung des Bilanzierungsmodells für den österreichischen Gasmarkt Stakeholderprozess 3. WS / Parameter des Bilanzierungsmodells

Siebenmeter von Handball4All -Spielbericht Online- Zeitnehmer/Sekretär

Hack2Sol – Powered by SAP

Präsentation transkript:

Dominik Leibenger1 Stephan Ory2 Christoph Sorge1 Mail vom Rechtsanwalt? Herausforderungen sicherer Mandantenkommunikation Dominik Leibenger1 Stephan Ory2 Christoph Sorge1

Mandantenkommunikation

Mandantenkommunikation Hintergrund Rechtslage Verschwiegenheitspflicht von Rechtsanwälten (§ 2 BORA, § 43 BRAO) Offenbaren von Mandantengeheimnissen strafbar (§ 203 StGB) Praxis Wie einhalten?

Mandantenkommunikation Kommunikationsmethoden Einfach f. Kanzlei Akzeptanz Mandanten Sicher Erlaubt E-Mail (unverschlüsselt) ✓ × E-Mail (verschlüsselt) ? (✓) Briefversand Webplattform (Kanzlei-Server) (Cloud) Gängige Praxis E-Mail (unverschlüsselt) + Einwilligung ✓ ? ×

Mandantenkommunikation Ziel Einfach f. Kanzlei Akzeptanz Mandanten Sicher Erlaubt Webplattform mit Ende-zu-Ende-Verschlüsselung ✓ (✓) Anforderungen Sicherheit Serverbetreiber erfährt nichts über Mandanten und hält damit keine personenbezogenen Daten vor (ADV) Nutzbarkeit / Akzeptanz keine Installation, Kryptographie transparent Funktionalität keine Einschränkung von Arbeitsabläufen

Mandantenkommunikation Sicherheitsmodell Konzept Agenda Inhalt Mandantenkommunikation Sicherheitsmodell Konzept Nutzer-Login Vertrauliche Formulare Schlüsselmanagement Benachrichtigungen Implementierung Diskussion

Sicherheitsmodell Sicherheitsmodell honest but curious Anrede Name Sicherheitsmodell Kanzleimitarbeiter E-Mail-Adresse Primärer Infrastruktur-betreiber Passwort honest but curious Mandant Anrede Name E-Mail-Adresse Sekundärer Infrastruktur-betreiber Passwort Akte Aktenzeichen Kanzlei- mitarbeiter Rubrum vertrauenswürdig Dokument / Nachricht Name Mandant Beschreibung Inhalt Beteiligte Parteien Anfallende Daten

Funktionsweise einer Webplattform Konzept – klassisch Funktionsweise einer Webplattform URL: https://www.example.org <!DOCTYPE html> <html> <head> <title>Webplattform</title> <link rel="stylesheet" href="layout.css" /> </head> <body> Hallo Frau Mustermandantin <script src="script.js"></script> </body> </html> App https://www.example.org/layout.css https://www.example.org/script.js layout.css: body { color: red; } script.js: document.write("etc. pp."); Hallo Frau Mustermandantin etc. pp. Browser Server

Ver- / Entschlüsselung (security.js) Konzept Überblick: vertrauliche Webplattform URL: https://www.example.org [...] Hallo <span data-js-security-encrypted-content='l1HnH7CVusQ0vuyV30Icxx+NSPWs44k1qucU/zXsEJAu4IScTei77oWOzw=='>(verschlüsselt)</span> [...] <script src="security.js"></script> [...] Security App Ver- / Entschlüsselung (security.js) Hallo Frau Mustermandantin Hallo (verschlüsselt) Browser Server

Konzept Nutzer-Login – klassisch PBKDF2 Pass Salt = ? Browser Server

= ? Zugriffsschlüssel PBKDF2 PBKDF2 pseud. Benutzername PBKDF2 Konzept Nutzer-Login – vertraulich PBKDF2 Pass Salt PBKDF2 Pass Salt = ? PBKDF2 Pass Salt pseud. Benutzername pseud. Passwort PBKDF2 Pass Salt || „secret“ Zugriffsschlüssel Local Storage Browser Server

Konzept Formulare – klassisch Browser Server

K (Objektschlüssel) PRNG ENC (AES-GCM) Konzept Formulare – vertraulich Zugriffsschlüssel Geschlecht: ENCK(„w“) Name: ENCK(„Mustermandantin“) E-Mail: ENCK(„mustermandantin@example.org“) Schlüssel: ENCZugriffsschlüssel(K) Browser Server

K (Objektschlüssel) DEC (AES-GCM) Konzept Formulare – vertraulich Zugriffsschlüssel Geschlecht: ENCK(„w“) Name: ENCK(„Mustermandantin“) E-Mail: ENCK(„mustermandantin@example.org“) Schlüssel: ENCZugriffsschlüssel(K) Browser Server

Konzept Schlüsselmanagement Kanzlei- mitarbeiter Zugriffs- schlüssel Akten- schlüssel Dokument- schlüssel Dokument- schlüssel Nutzer- schlüssel Akten- schlüssel Dokument- schlüssel Mandant Mandant Dokument- schlüssel Zugriffs- schlüssel Zugriffs- schlüssel Nutzer- schlüssel Nutzer- schlüssel Dokument- schlüssel

Benachrichtigungen – klassisch Konzept Benachrichtigungen – klassisch Mailserver Browser Server

? Konzept Benachrichtigungen – vertraulich Mailserver Browser Server keine vertraulichen Daten ? vertrauliche Daten Browser Server

? K K (E-Mail-Schlüssel) PRNG ENC (AES-GCM) Konzept Benachrichtigungen – vertraulich Mailserver K ? Geschlecht: ENCK(„w“) PRNG K (E-Mail-Schlüssel) Name: ENCK(„Mustermandantin“) E-Mail: ENCK(„mustermandantin@example.org“) ENC (AES-GCM) Browser Server

Erweiterung für Webanwendungs-Framework Django (Python) Software Implementierung Erweiterung für Webanwendungs-Framework Django (Python) JavaScript-Kryptographie unterstützt durch forge kryptographisch sichere Zufallszahlen auch auf älteren Browsern lauffähig auf allen modernen Browsern Chrome, Firefox, IE / Edge, Android Safari / iOS mit Einschränkungen Schlüsselgenerierung Dokumentschlüssel durch hochladenden Nutzer alle anderen Schlüssel durch vertrauenswürdige Kanzlei derzeit: primärer / sekundärer Infrastrukturbetreiber zusammengefasst

✓ (✓) Sicherheitsmodell erfüllt Einschränkungen Konklusionen Diskussion Einfach f. Kanzlei Akzeptanz Mandanten Sicher Erlaubt Webplattform mit Ende-zu-Ende-Verschlüsselung ✓ (✓) Sicherheitsmodell erfüllt sichere Kommunikation zwischen Anwalt / Mandant möglich Outsourcing an Cloud-Dienst rechtlich möglich durch Kryptographie auch Immunität gegenüber Datendiebstahl (passiver Angreifer) Verschleierung von Mandatsverhältnissen optional E-Mail-Benachrichtigungen möglich Einschränkungen Skalierbarkeit (derzeit max. 5000 Akten / Mandanten) Sicherheit „honest but curious“ starke Annahme, Browserkryptographie suboptimal mögliche Lösung: installierbare Software als Ergänzung

Diskussion Fragen? Live-Demo?

Bildquellen / Lizenzen http://findicons.com/icon/51302/open_folder Autor: Harwen Lizenz: gemeinfrei, nicht kommerziell http://findicons.com/icon/185522/network_server Autor: Silvestre Herrera Lizenz: GNU/GPL https://www.gnu.org/licenses/gpl.html http://findicons.com/icon/86771/database_3 Autor: gakuseiSean Lizenz: gemeinfrei, nicht kommerziell http://findicons.com/icon/237875/document Autor: Oxygen Team Lizenz: GNU/GPL https://www.gnu.org/licenses/gpl.html http://findicons.com/icon/22141/pre_mail Autor: Sebastiaan de With Lizenz: gemeinfrei, nicht kommerziell http://findicons.com/icon/226890/personal Autor: David Vignoni Lizenz: GNU/GPL https://www.gnu.org/licenses/gpl.html http://findicons.com/icon/51327/e_mail Autor: Harwen Lizenz: gemeinfrei, nicht kommerziell http://findicons.com/icon/64633/user_female Autor: Asher Lizenz: Creative Commons Attribution (by) http://icones.pro/en/beos-lock-png-image.html Autor: Matthew McClintock Lizenz: Design Science License https://www.gnu.org/licenses/dsl.html http://findicons.com/icon/64627/user_male Autor: Asher Lizenz: Creative Commons Attribution (by)