Anwendergerechte E-Mail-Verschlüsselung liegt im Trend
Milliarden ungesicherte E-Mails werden täglich über das Internet transferiert. Insbesondere Verwaltungen, Wirtschaftsprüfer, Notare und andere Unternehmen, die auf elektronischem Weg hochsensible Daten austauschen, sind jedoch gesetzlich zum Datenschutz verpflichtet. In der Vergangenheit scheiterte die Umsetzung der Sicherheitsrichtlinien oft an der Tatsache, dass die meisten E-Mail-Verschlüsslungslösungen zu komplex sind und IT-Infrastrukturen als Voraussetzung erfordern, über die viele Unternehmen nicht verfügen. Der Trend geht daher mittlerweile klar in Richtung anwenderfreundliche Konzepte.
Da es sich beim Übertragungsmedium Internet um ein offenes Netz handelt, in dem Daten leicht einsehbar sind, ist E-Mail-Verschlüsselung für den Schutz unabdingbar. Der größte Teil der E-Mail-Kommunikation geht ungeschützt über das Internet und stellt dadurch ein hohes unternehmenskritisches Risiko dar. Täglich werden ungesicherte Nachrichten milliardenfach auf Basis des E-Mail-Protokolls SMTP (Simple Mail Transfer Protocol) versendet – eine oft unterschätzte Gefahr.
Auch der Gesetzgeber setzt Unternehmen unter Zugzwang, indem er sie durch verschiedene Bestimmungen zur Absicherung sensibler Daten und Wahrung der Privatsphäre ihrer Kunden verpflichtet. Beispielsweise stellt der Versand personenbezogener Informationen durch unverschlüsselten E-Mail-Verkehr einen Verstoß gegen die Verpflichtung durch das BDSG (Bundesdatenschutzgesetz) zur Geheimhaltung bzw. der vertraulichen Behandlung von persönlichen Daten dar. Die strafrechtlichen Risiken sind dabei häufig nicht bekannt. Wurden im Unternehmen beispielsweise die erforderlichen IT-Sicherheitsstrukturen gar nicht oder nur unzureichend implementiert, so riskiert der IT-Verantwortliche die Haftung des Unternehmens und seiner eigenen Person, d.h. er muss ggf. mit seinem Privatvermögen für entstandene Schäden aufkommen. Anders als im Strafrecht haftet der IT-Verantwortliche im Zivilrecht auch für Fahrlässigkeit.
"Böhmische Dörfer"
Viele Betriebe und Organisationen können diese Sicherheitsanforderungen allerdings nur schwerlich erfüllen, da sie bzw. ihre Kunden und Geschäftspartner oft nicht über die erforderliche IT-Infrastruktur verfügen. Lange Zeit war E-Mail-Verschlüsselung daher eine komplexe Thematik, der viele Unternehmen aus dem Weg gegangen sind. Aus Hilflosigkeit wird die Verantwortung oft noch durch Klauseln in den Verträgen auf die Kunden bzw. Mandanten abgewälzt – und dies, obwohl die E-Mail-Verschlüsselung durch IT-Lösungen längst auf einfache Weise zu bewältigen ist.
Eine Möglichkeit, den gesamten ausgehenden E-Mail-Verkehr zu verschlüsseln und zu signieren, stellt der Einsatz einer zentral gesteuerten IT-Lösung dar. Um den administrativen Aufwand so gering wie möglich zu halten, muss die zentrale Lösung auch eingehende Nachrichten entschlüsseln und eine Signaturüberprüfung der signierten E-Mails durchführen. Hierzu gibt es andererseits clientbasierte IT-Lösungen, die sich allerdings auf Grund des extrem hohen administrativen Aufwands und der umständlichen Bedienung nicht als alltagstauglich erwiesen haben. Demzufolge haben sich die zentral gesteuerten IT-Lösungen, die eine Passwort- oder die PKI-basierte Verschlüsselung ermöglichen, durchgesetzt. Diese sind speziell auf die jeweiligen Anforderungen zugeschnitten und lassen sich daher nicht nur in großen und mittelständischen Unternehmen einsetzen, sondern mittlerweile auch ideal in kleineren Betrieben und SOHOs.
Die allgemein bekannte und gängige Methode, die sich für vertraulichen E-Mail-Austausch mit Empfängern und entsprechender Public Key Infrastructure eignet, ist die PKI-Verschlüsselung. Diese basiert auf den beiden international etablierten Standards für E-Mail-Verschlüsselung und -Signatur S/MIME und OpenPGP. Sie stehen für Secure Multipurpose Internet Mail Extensions sowie Open Pretty Good Privacy. Da diese Variante jedoch digitale Zertifikate, auch öffentliche Schlüssel genannt, auf Seiten der Kommunikationspartner voraussetzt, sind Unternehmen oft nicht in der Lage, die Sicherheitsrichtlinien adäquat umzusetzen. Die Probleme entstanden in der Vergangenheit dadurch, dass nicht jeder potenzielle Empfänger einer E-Mail über ein vertrauenswürdiges Zertifikat verfügt, welches für den Austausch von verschlüsselten E-Mails über PKI erforderlich ist.
E-Mail-Verschlüsselung leicht gemacht
Auf Grund der technologischen Voraussetzungen, die eine PKI-basierte Verschlüsselung erfordert, entwickelt sich der Trend in der Kommunikation mit kleineren Unternehmen, Organisationen und Einzelpersonen derzeit mehr und mehr hin zu vereinfachten Methoden. So ist die Passwort-basierte Verschlüsselung eine unkomplizierte und sichere Variante zur Übertragung sensibler Daten via E-Mail, die sich als Server-basierte Lösung mit vollautomatisiertem Passwort-Management für jedes Unternehmen eignet. Diese Methode erfordert keine Zertifikate auf Empfängerseite, um vertrauliche E-Mails verschlüsselt über das Internet zu externen Kommunikationspartnern zu befördern. Das Prinzip funktioniert wie folgt: Die vertrauliche Nachricht wird zum Beispiel in eine Passwort-verschlüsselte PDF-Datei umgewandelt und als Anhang selbst wieder per E-Mail übermittelt. Dabei ersetzt das automatisierte Passwortmanagement für die externen Empfänger den komplexen Zertifikats-Ausstellungsprozess bei Trust Centern. Einzige Voraussetzung: der Empfänger sollte über einen PDF-Reader verfügen.
Somit ermöglicht es diese anwenderfreundliche IT-Lösung Unternehmen, auf einfache Weise mit ihren Mandanten, Kunden und Lieferanten sensible Informationen und Daten auf dem schnellsten Wege via E-Mail auszutauschen. Vorteile wie Hochverfügbarkeit, Skalierbarkeit und Modularisierung tragen dazu bei, dass diese Methode beginnt, sich in unterschiedlichen Branchen wie Gesundheitswesen, Energieversorgung, aber auch beispielsweise bei Rollouts von Bundesländern durchzusetzen. Somit erhalten Unternehmen eine adäquate Lösung, um den gesetzlichen Anforderungen in vollem Umfang gerecht werden zu können.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER