català | česky | dansk | deutsch | english | español | زبان فارسی | français | lingála | magyar | nederlands | norsk | polski | português | svenska

CAcert unterstützt Kirchgemeinden

Vor nicht allzu langer Zeit war unsere Kommunikation in der Regel noch durch Papierumschläge und ein strenges Postgeheimnis geschützt. Doch heutzutage, wenn wir ein e-Mail oder ein SMS schreiben, schicken wir meistens eine Nachrichten im Klartext durch ein riesiges unbekanntes Netzwerk. Und spätestens seit Snowden wissen wir, dass es eine Vielzahl verborgener Stellen gibt, die sich für unsere Nachrichten interessieren und sie unerlaubt speichern. Die Gesetze die uns schützen sollen, werden einfach ignoriert. Unverschlüsselt durch das Internet zu Kommunizieren ist also mittlerweile so, als würden wir vertraulichen Daten auf eine Postkarte schreiben und diese dann an eine tratschbedürftige Menschenkette reichen – im naiven Glauben, dass die damit schon diskret umgehen werden.

Ausgangslage

Kirchgemeinden sind öffentlich-rechtliche Körperschaften*. Pfarreien sind zwar in die kirchenrechtliche Struktur eingebunden, aber, wie die Kirchgemeinden, verarbeiten sie vertrauliche Persondendaten ihrer Mitglieder. Dabei geht es nicht nur um Steuerdaten. Denken wir an die Freiwilligen, welche als Mitglieder der Besuchsgruppe Kranke und Einsame besuchen, oder an die Pfarreisekretärin, welche dem Pfarrer ein Mail schickt betreffend Herrn Z.

* Situation in der Schweiz, in anderen Ländern kann die formal-juristische Situation anders sein.

Vergleich virtuell - reell

Früher wurden solche Mitteilungen mündlich überbracht oder in einem Kuvert verpackt, sei es per Post verschickt, sei es vom Gemeindehelfer M. mit dem Velo verteilt. Das war vielleicht etwas hausbacken, aber aus Sicht der Privatsphäre und des Datenschutzes gar nicht so verkehrt. Heute, mit den Segnungen der virtuellen Welt, geht alles viel einfacher und schneller per e-Mail. Nur: Wo ist denn der Umschlag des e-Mails, der verhindert, dass die Adresse der kranken Frau F. oder die Mitteilung betreffend Herrn Z. nicht unterwegs von jemandem mitgelesen wird?

Um beim Vergleich der (alten) reellen Welt mit der (neuen) virtuellen Welt zu bleiben: e-Mails sind keine elektronischen Briefe, sondern elektronische Postkarten. Und da stellt sich ganz konkret die Frage:

Diese Ansicht teilen wir gerne. Und weil diese Aussage nicht nur für die althergebrachten papierenen Karten gelten, sondern auch für elektronische Postkarten (alias e-Mail), bitten wir Sie, noch den nächsten Abschnitt zu lesen!

Das e-Mail-Kuvert

Gäbe es doch nur e-Mail-Kuverts... Es gibt e-Mail-Kuverts. Sie sind sehr sicher, einfach abzufüllen und zuzukleben. Nur: zum öffnen braucht man den passenden Brieföffner. Daraus können wir folgendes folgern: e-Mail-Kuverts eignen sich ausgezeichnet für alle Sendungen

Die Funktion (e-Mail-Kuvert, technisch "GPG-Verschlüsselung" und Brieföffner, technisch "öffentlicher Schüssel") kann intern und auch bei Angestellten und freiwilligen Mitarbeitern vom IT-Verantwortlichen einfach eingerichtet werden. Sodann können selbst die privatesten Nachrichten bedenkenlos per e-Mail verschickt werden.

Elektronische Signatur schafft Sicherheit

Für "normale" e-Mails an Pfarreiangehörige und andere externe Stellen empfehlen wird die e-Mail-Kuverts nicht. Hingegen können alle e-Mails mit einer elektronischen Signatur versandt werden. Diese Funktion ist bei den e-Mail-Kuverts enthalten. Anhand der elektronischen Signatur erkennt das e-Mail-Programm des Empfängers, dass das e-Mail wirklich von Ihnen stammt und nicht von jemandem, der nur vorgibt, von der Kirche zu sein. Es kann in der Fußzeile des e-Mails darauf hingewiesen werden: z.B. "Anhand der digitalen Signatur erkennt Ihr E-Mail-Programm, dass diese Nachricht sicher von mir stammt und unverändert angekommen ist. Weitere Informationen siehe wiki.cacert.org/Phishing" (respektive eine Unterseite auf Ihrer Internetpräsenz).

Empfehlung für den Alltag:

Ein paar technische Worte (für Ihren IT-Verantwortlichen): Wir empfehlen die Umsetzung mit quelloffener und freier Software. Es ist nicht Aufgabe der Kirche, Großfirmen zu finanzieren. Wie auch die Kirchen arbeiten die Hersteller und Anbieter freier Lösungen mit Freiwilligen und decken die Infrastrukturkosten mittels Spenden. Die Lösung muss Open Source sein, damit der Quellcode und besonders die richtige Implementierung der Verschlüsselung von unabhängigen Stellen laufend kontrolliert werden kann.

Unter e-Mail-Kuvert verstehen wir die Verschlüsselung mit GPG/PGP. Auch die digitale Signatur erfolgt mit GPG/PGP. Nur die Ende-zu-Ende-Verschlüsselung garantiert, dass nur die gewünschten Gesprächspartner die Möglichkeit zur Entschlüsselung der Nachrichten haben und es keine Möglichkeit für uneingeladene Dritte gibt, mitzulesen. Das benötigte Zertifikat wird über die freie Zertifikatsstelle CAcert bezogen.

Schritt-für-Schritt

Für kleine Kirchgemeinden mit nur ganz wenigen Angestellten, können diese sich direkt selber Zertifikate mit ihrem eigenen Namen ausstellen lassen. Das geht sehr schnell mit nur drei Schritten (unabhängig ob Mac/Win/Lin):

  1. Konto bei CAcert erstellen, Identität überprüfen lassen ("assuren")
  2. Zertifikat erstellen
  3. e-Mail-Pogramm öffnen, Zertifikat importieren, Voreinstellung: immer signieren.

(IT-Verantwortlicher kann nötigenfalls helfen oder es mit wenigen Klicks direkt erledigen)

Alle oben genannten Funktionen sind so möglich. Für die interne Verschlüsselung braucht es nicht mehr. Bei der digitalen Signatur, mit der sich die Kirchgemeinde an die Öffentlichkeit wendet, wäre es in der Tat schöner, im Zertifikat nicht nur den Namen des Mitarbeiters, sondern auch denjenigen der Kirchgemeinde oder der Pfarrei zu haben. Der Auftritt ist so wesentlich professioneller. Für den Namen der Organisation im Zertifikat braucht es eine Organisations-Assurance. Das ist etwas aufwendiger, hat aber auch den Vorteil, dass Zertifikate für Mitarbeiter intern vergeben werden können. Details unter Organisations-Assurance.

Ein paar Worte über die Finanzen

CAcert ist eine Gemeinschaft zur Hilfe auf Gegenseitigkeit mit über 360 000 Mitgliedern (CAcert-Gemeinschaft). Die Zertifikatsstelle wird über einen gemeinnützigen Verein neusüdwalisischen Rechts geführt (CAcert Inc.). Alle Arbeit wird von Freiwilligen geleistet. Die Kosten des Rechenzentrums werden durch Mitgliederbeiträge und Spenden gedeckt.

Eine sichere Lösung, wie oben skizziert, kann auch mit kommerziellen Anbietern umgesetzt werden. Dann ist pro Mitarbeiter mit Zertifikatskosten von jährlich rund 70 Franken zu rechnen. Überschlagen Sie einmal kurz: Der Pfarrer, zwei Sekretärinnen, eine Pastoralassistentin, drei Katechetinnen, ein Gemeindehelfer, die Krankenbesuchsgruppe, ... Nur schon bei diesem Beispiel einer eher kleinen Gemeinde kommen wir schon in den vierstelligen Bereich.

Wir empfehlen Ihnen bei der Zusammenarbeit mit CAcert, sich an den Infrastrukturkosten mit einer jährlichen Spende zu beteiligen. Je nach Größe der Kirchgemeinde und ihrer Finanzkraft, mögen das 100, 200 oder sogar 500 sein.