E-postsikkerhetsstandarder i advokatbransjen

E-post er uunnværlig i dagens forretningshverdag for advokatfirmaer og juridiske avdelinger. Ofte utveksles sensitiv og konfidensiell informasjon. Desto viktigere er det å iverksette egnede tekniske tiltak for å sikre kommunikasjonens sikkerhet og konfidensialitet.

Problemet med lav utbredelse av ende-til-ende-kryptering (E2E) via SMIME eller PGP er kjent. Ønsket om å kommunisere E2E-kryptert med klienter (spesielt privatpersoner) mislykkes som regel på grunn av ren gjennomførbarhet.

Juridiske krav til advokatbransjen ved kommunikasjon via e-post

Advokater er yrkeshemmelighetsbærere. Ikke minst på grunn av denne egenskapen må de i særlig grad sørge for at kommunikasjonsinnholdet mellom dem og klienten forblir konfidensielt.

Veiledningen fra konferansen til de uavhengige datatilsynsmyndighetene i forbundet og delstatene fra 27. mai 2021 skiller mellom forpliktelser ved normale risikoer og forpliktelser ved høye risikoer. Avhengig av dette kan transportkryptering være tilstrekkelig beskyttelse, eller det kan være nødvendig med kvalifisert transportkryptering og eventuelt E2E-kryptering.

Fordi tilstedeværelsen av en yrkeshemmelighet kan være en indikasjon på høy risiko, må yrkeshemmelighetsbærere særlig vurdere nivået på den respektive risikoen.

Kvalifisert transportkryptering bør brukes som standard

Det finnes i dag praktisk talt ingen e-posttjenester lenger hvor transportkryptering ikke er aktivert. Dette betyr at ved normal risiko kan det overveiende antas at kommunikasjonen med klienten er i orden med hensyn til personvern. Likevel gjenstår det høy risiko i det enkelte tilfellet: Kunne sykemeldingen i den normale kommunikasjonen i en arbeidsrettssak nå også mottas eller sendes per e-post?

Med dette som bakgrunn anbefales det i alle tilfeller at et advokatfirma tar de tekniske forholdsreglene for kvalifisert transportkryptering.

Kvalifisert transportkryptering etter BSI TR-03108

BSI stiller med den tekniske retningslinjen TR-03108 krav til sikker e-postkommunikasjon og definerer state of the art. En del av sikkerhetstiltakene skal tilbys eller implementeres av e-postleverandørene. For at de ulike sikkerhetsprotokollene skal fungere og gripe inn i hverandre, er det imidlertid nødvendig å tilpasse de domenespesifikke DNS-oppføringene.

Implementeringsinnsats for kvalifisert transportkryptering oppstår bare én gang

Med tanke på at kvalifisert transportkryptering som forutsetning bare må settes opp én gang av advokatfirmaet og deretter uten ytterligere interaksjon muliggjør et betydelig høyere beskyttelsesnivå i e-posttrafikken, er det overraskende at bare ca. 4 prosent av advokatfirmaene i Tyskland har aktivert dette.

I mange tilfeller kunne firmaadministratorene gjennomføre installasjonen uten ekstra kostnader og uten nedetid.

Studie: Utbredelse av e-postsikkerhetsteknologi i advokatbransjen

Forfatterne har i forkant av opprettelsen av denne artikkelen lest ut ca. 25 000 datasett fra datasettet til det landsdekkende offisielle advokatregisteret fra Bundesrechtsanwaltskammer og analysert e-postadressene som finnes der. Dermed ble de e-postspesifikke oppføringene til domenserverne for domenene tilknyttet e-postadressene hentet, og de identifiserte e-postserverne ble analysert (ikke-påtrengende).

Datainnsamling via søketjenesten til Bundesrechtsanwaltskammer

I Tyskland er ca. 165 800 advokater godkjent og kan finnes via BRAKs søketjeneste. Nettsiden til det landsdekkende offisielle advokatregisteret tilbyr muligheten til å få listet opp alle godkjente advokater for én av 29 kammerdistrikter. Disse vises i grupper på seks oppføringer per side. Via webskraping har vi for hvert kammerdistrikt lastet ned og lagret e-postadressene til alle seks listede personer på hver femte side i advokatregisteret. På denne måten er altså ca. 20 % av advokatene godkjent i Tyskland registrert.

Ikke for hver oppføring kunne en e-postadresse registreres. Veldig mange personer lagret i registeret bruker det samme domenet i sin e-post. Enten fordi de uten eget domene bruker e-postserveren til f.eks. T-Online, eller fordi de som medlem av et stort advokatfirma som f.eks. Fresh*** hadde oppgitt en e-postadresse "@fresh***.com".

Etter at de innhentede dataene ble renset for feil og duplikater, kunne et totalt antall på 12 105 forskjellige e-postdomener genereres fra dataene. E-postdomene betegner her delen av en e-postadresse etter "@"-tegnet, altså f.eks. "t-online.de" for "ra-schmidt2341@t-online.de".

Analyse av implementerte sikkerhetsprotokoller per e-postdomene

Sikkerhetsprotokollene som presenteres i videre forløp av artikkelen kan verifiseres for et respektivt e-postdomene gjennom målrettede DNS-serverforespørsler samt tilkoblingsforsøk på postserveren som er lagret i DNS-oppføringen.

Her brukes Linux-verktøyet "dig" samt en open source-programvare mecsa-st publisert av EU-kommisjonen som del av en studie fra 2020. (Lenke til verktøyet på GitHub)

Hvert av de 12 105 domenene ble deretter undersøkt med begge verktøyene, og resultatene ble mellomlagret for videre analyser.

På grunn av undersøkelsens natur kunne bare delområder av sikkerhetsprotokollene undersøkes. For en fullstendig analyse av korrekt implementering av de respektive sikkerhetsprotokollene ville en faktisk gjennomført kommunikasjon per e-post med den undersøkte postserveren vært nødvendig. Analysen begrenser seg derfor til tilstedeværelsen av de "utenfra" gjenkjennelige DNS-oppføringene, som så lar en slutte til (korrekt) implementering på postserveren.

Med hensyn til TLS må det tilføyes at analysen bare registrerer om en postserver støtter TLS, men ikke om den obligatorisk bare mottar eller sender via TLS.

Rensing og evaluering av analyseresultatene

Analyseresultatene av de 12 105 forespurte domenene krevde noen rensesteg før evalueringen. Det viste seg etter analysen at noen ofte forespurte postservere tydeligvis returnerte et negativt resultat for STARTTLS-testen, selv om de støtter STARTTLS. Dette kunne spores tilbake til at analysen utført av forfatterne overskred forespørsler-per-tid-grensen på de tilsvarende serverne.

Disse inkonsekvensene i dataene kunne elimineres gjennom manuelle oppfølgingsverifiseringer.

Resultater av analysen: Utbredelse av sikkerhetsprotokollene

Studien utført av forfatterne fremmer et grunnleggende positivt bilde:

Av de 11 546 domenene som skal evalueres etter feilrensing, har 11 436 av de brukte e-postserverne implementert TLS med gyldige sertifikater (over 99 %). (På dette punktet må det bemerkes at det ikke sikkert kan konkluderes med at de andre ikke har implementert TLS i det hele tatt. Det kan være forskjellige grunner til at testen leverer falsk-negative resultater ved individuelle tilkoblinger.)

Et stort flertall har også implementert de viktige protokollene DKIM og SPF. Interessant nok er den korresponderende DMARC-oppføringen bare satt med verdien "quarantine" eller "reject" i knapt en fjerdedel av de testede domenene. Dette er overraskende, siden den bygger direkte på DKIM og SPF og ikke betyr noen ekstra implementeringsinnsats for den respektive advokaten eller advokatfirmaet.

Langt på etterskudd finner vi imidlertid DANE og DNSSEC. Det finnes noen leverandører som allerede implementerer disse sikkerhetsprotokollene som standard. Hvis et advokatfirma eller en advokat bruker denne tjenesten direkte (altså uten eget domene), drar han eller hun umiddelbar nytte av det.

Implementering for advokatfirmaer

De fleste advokatfirmaer og juridiske avdelinger driver ikke egne postservere, men bruker tjenester fra tredjepartsleverandører som Microsoft 365 eller Google Workspace. Likevel har de som regel et eget domene.

For å kunne bruke tiltak som SPF, DKIM, DMARC eller DANE, må de nødvendige DNS-oppføringene for eget domene opprettes og registreres. De faktiske kontrollene og handlingene utføres deretter av tjenestelleverandørenes postservere. Det handler i kjernen om innstillinger som bare må gjøres én gang.

TLS er allerede standard hos alle vanlige postservere og krever som regel ingen handling fra advokatfirmaets side. En observert, praktisk talt fullstendig implementering av denne standarden er derfor ikke overraskende.

Dermed kan de nødvendige innstillingene registreres av administratorene (eller erfarne advokater) i DNS-systemet til eget domene.

DANE og DNSSEC støttes allerede av mange domeneregistrarer. Implementeringen er imidlertid forskjellig: Noen leverandører tilbyr praktisk aktivering med et knappetrykk og foretar de nødvendige innstillingene automatisk. Andre krever en mer kompleks konfigurasjon som skal utføres av advokatfirmaets administrator.

For å kunne implementere DANE må de såkalte TLSA-postene settes etter aktivering av DNSSEC. Vi har ikke en fullstendig markedsoversikt, men måtte ut fra egen (smertefull) erfaring konstatere at for eksempel Microsoft med sitt postservertilbud (Exchange 365) ikke enkelt kan tilrettelegge den nødvendige informasjonen:

Med tanke på at den tekniske retningslinjen BSI-TR-03108 anser implementeringen av DANE som nødvendig for sikker e-posttrafikk, vil advokatfirmaer eventuelt måtte sette seg inn i de støttede sikkerhetsaspektene til e-posttjenesteleverandørene.

Konklusjon

E-postsikkerhet er et viktig tema for ethvert advokatfirma. Tiltak som TLS, SPF, DKIM og DMARC kan implementeres med overkommelig innsats og tilbyr effektiv beskyttelse mot mange trusler. DANE og DNSSEC er juridisk allerede nødvendig i dag, men med tanke på deres utbredelse og implementeringshindringene å betegne som fremtidsrettet for tiden.

MaraDocs Upload-plattform

Som supplement til vårt nåværende produkt MaraDocs utvikler vi for tiden aktivt en opplastingsplattform for å muliggjøre utveksling av filer mellom advokatfirmaer og klienter. Plattformen vil sikre at filene som utveksles mellom advokatfirmaer og klienter er konfidensielle og sikre.

Hold deg oppdatert med oss og registrer deg for vårt nyhetsbrev.