Diesen Artikel bewerten: 

Sicherer Mailversand

Wie man E-Mails richtig verschlüsselt

Henning Reinecke (geb. 1968) studierte Betriebswirtschaftslehre an der Wirtschaftsakademie in Hamburg. Anschließend war er vier Jahre im Konzerneinkauf der Beiersdorf AG in Hamburg tätig. Von 1994 an sammelte über 16 Jahre nationale und internationale Projekt-, Vertriebs- und Führungserfahrung beim IT-Dienstleister CSC. Am 1.Oktober 2010 wechselte er als Vertriebsleiter Consulting zur INFO AG. Bis zu seiner Berufung in den Vorstand der INFO AG im Jahre 2012 verantwortete er den Consulting- und Outsourcing-Vertrieb in Norddeutschland. Im Vorstand der INFO AG war Reinecke für die Bereiche Vertrieb und Marketing verantwortlich. Henning Reinecke ist seit 1. September 2013 Vorstand der QSC AG und für den Vertrieb sowie die marktorientierte Weiterentwicklung des gesamten ITK-Angebots verantwortlich.
Für Unternehmen, bei denen mit hochsensiblen Daten gearbeitet wird, ist eine sichere E-Mailverschlüsselung unerlässlich. Verfahren wie S/Mime und PGP sind für viele Firmen aber zu kompliziert. Die richtige Verschlüsselungssoftware kann Abhilfe schaffen.

Virenscanner, Firewalls, Fingerprintsensoren - Unternehmen treffen viele Maßnahmen, um ihre IT zu schützen. Das Thema E-Mail-Verschlüsselung ist jedoch noch kaum in das Bewusstsein gerückt. Zu Unrecht. E-Mails sind so einfach mitzulesen wie eine Postkarte - wenn sie unverschlüsselt verschickt werden. Wenn sensible Daten wie Verträge, Businesspläne, Rechnungen oder Krankenakten das Postfach verlassen, ist das ein hohes Sicherheitsrisiko. Unternehmen riskieren nicht nur den Vertrauensverlust ihrer Kunden, sondern auch den Verlust von unternehmenskritischen Informationen.

Gerade Versicherungen und Finanzinstitute haben eine besondere Verantwortung gegenüber ihren Kunden und für deren vertrauliche Daten. Werden diese Daten per Mail verschickt, sollten diese deshalb sicher verschlüsselt (end-to-end) und wirklich nur autorisierten Personen zugänglich gemacht werden. Selbst der E-Mail-Anbieter, von dessen Systemen aus die Mail verschickt wird, sollte nicht in der Lage sein, die Daten mitzulesen.

Transportverschlüsselung versus End-to-End-Verschlüsselung

Das Bundesministerium für Verbraucherschutz will alle E-Mail-Anbieter dazu verpflichten, ihre Mails nahtlos (end-to-end) zu verschlüsseln. Sogar eine entsprechende EU-Richtlinie soll hierfür verankert werden. End-to-end-Verschlüsselung heißt: Sowohl der Text der Mail als auch Daten, die sich im Anhang befinden, werden verschlüsselt und bleiben auch im Unterschied zur bloßen Transportverschlüsselung auch dann verschlüsselt, wenn sie andere Mailserver passieren. Die E-Mail und deren Inhalt kann erst vom Empfänger mit Hilfe eines eigens generierten Keys in Klartext umgewandelt werden.

S/Mime oder PGP oft zu kompliziert

Ein Managed-File-Transfer kann dabei helfen, den Datenaustausch sicher zu gestalten. Verfahren wie PGP oder S/Mime sind aber für Unternehmen oft zu kompliziert, da sie zeitaufwendig sind und die Mitarbeiter entsprechend geschult werden müssen. Die Verschlüsselungssoftware von FTAPI, einem Tochterunternehmen der QSC AG, bietet eine lückenlos geschützte Datenübertragung an. Der Inhalt der Mail wird dabei chiffriert. Die Verschlüsselungssoftware von FTAPI lässt sich ganz einfach in bestehende CRM- und ERP-Systeme integrieren. Dem Unternehmen ist es selbst überlassen, ob es den SecuTransfer-Server im eigenen Haus unterbringt oder ihn im Rechenzentrum vom Dienstleister hosten lässt.

Um den sicheren Mailversand zu gewährleisten, werden automatisch Schlüssel (Keys) generiert. Bei der Generierung der Keys kommen unterschiedliche Krypto-Verfahren (AES 256 und RSA-4096) zum Einsatz. Die Daten bleiben dabei auch auf dem Server verschlüsselt und werden erst beim Empfänger wieder in Klartext umgewandelt.

Sicherer Mailversand

Um FTAPI zu nutzen, muss keine extra Software auf dem Rechner installiert werden. Nutzer melden sich lediglich an und erstellen einen kostenpflichtigen Account. Das Programm kann nun direkt in Outlook per Java-Plug-in integriert werden. Firmen, die kein Outlook einsetzen, können FTAPI entweder als Desktop-App, die gleichzeitig auch gegen Phishing schützt, nutzen oder über eine passwortgeschützte Benutzeroberfläche im Browser verwenden.

Beim Versand der Mail kann der Nutzer zwischen vier verschiedenen Sicherheitsstufen wählen: Bei Sicherheitsstufe 1 erhält der Empfänger einen Downloadlink per Mail, über den der Anhang abrufbar ist. Bei Sicherheitsstufe 2 muss der Empfänger selbst FTAPI im Einsatz haben, da der Downloadlink passwortgeschützt ist. Mit der Sicherheitsstufe 3 findet echte End-to-End-Verschlüsselung statt: Alle Daten bleiben durchgehend verschlüsselt. Neben den Login-Daten wird auch der SecuPass-Key des Empfängers abgefragt. Bei Sicherheitsstufe 4 wird neben der Datei im Anhang auch die Nachricht in der E-Mail selbst verschlüsselt. Auch hier benötigt der Empfänger einen SecuPass-Key um die Datei herunterladen zu können.

Auf diese Weise lassen sich mit der Verschlüsselungssoftware Anhänge, Nachrichten und mehrere Gigabytes an Daten risikofrei verschicken. Die Lösung ist speziell für Versicherungen und Finanzinstitute, aber auch für die Fertigungsindustrie, den Einzelhandel oder mittelständische IT-Unternehmen ausgerichtet.

Besonders für Versicherungen und das Finanzwesen ist die Software interessant, denn in diesen Branchen ist neben der eigentlichen Verschlüsselung auch die Dokumentation des Datentransfers ein wichtiger Aspekt. Mit der FTAPI-Anwendung kann genau dokumentiert werden, wer welche Dateien an wen geschickt hat und wann derjenige sie bekommen und abgeholt hat. Sie bietet den Kunden eine volle Transparenz und ein revisionssicheres Reporting der Kommunikation.