Die Kommunikation via E-Mail ist bequem, schnell, unabhängig und preisgünstig. Derzeit werden weltweit rund 30 Milliarden elektronische Nachrichten pro Tag verschickt. Ungefähr die Hälfte ist geschäftlicher Natur. Das ist die gute Nachricht.
Die schlechte: Technisch gesehen sind E-Mails nichts weiter als virtuelle Postkarten. Und ebenso wie die Postkarte auf dem Weg vom Absender zum Empfänger "offen" ist, lässt sich auch die elektronische Nachricht ohne weiteres abfangen, lesen und manipulieren.
Drei Kernfragen
Der Empfänger einer geschäftlichen E-Mail muss sich deshalb folgende Fragen stellen:
-
Authentizität: Ist die E-Mail authentisch, stammt sie tatsächlich von diesem Absender, oder wurde die Absenderadresse gefälscht?
-
Vertraulichkeit: Wurde die Vertraulichkeit gewahrt, oder ist die E-Mail noch von anderen, dazu nicht berechtigten Personen gelesen worden?
-
Integrität: Ist die E-Mail auf dem Transportweg abgefangen und verändert worden?
Eine verlässliche Antwort auf diese Fragen ist für viele Unternehmen von existenzieller Bedeutung. Denn die gesetzlichen Bestimmungen zum Datenschutz gelten auch für Informationen, die in Form von E-Mails übertragen werden. Wer gegen diese Vorschriften verstößt, dem drohen neben wirtschaftlichen Schäden Imageverlust und Geld- oder sogar Gefängnisstrafen.
E-Mail-Sicherheit gewinnt an Bedeutung
Das Thema E-Mail-Sicherheit ist daher für immer mehr Unternehmen, unabhängig von der Branche, ein großes Thema - besonders für Firmen, die einer Informationspflicht unterliegen, wie Banken, Versicherungen, Finanzdienstleister oder Unternehmen aus dem Healthcare-Bereich. Um dieser Pflicht nachzukommen, versendet das Gros dieser Unternehmen sensible Inhalte wie Kontoauszüge, Rechnungen oder persönliche Gesundheitsinformationen häufig per Post. Dies verursacht allerdings immense Portokosten und hohen Verwaltungsaufwand, wenn die eingegangenen Daten manuell erfasst werden müssen. Ein Versand per E-Mail reduziert die Kosten deutlich.
In anderen Branchen, besonders bei Telekommunikationsunternehmen und Internet-Providern, werden Rechnungen vorzugsweise als PDF per E-Mail versandt. Rechtlich gesehen bewegen sich die Firmen mit dieser Praxis allerdings in einer Grauzone, denn einer Manipulation dieser E-Mails ist Tür und Tor geöffnet.
Wie können Unternehmen ihre E-Mails also manipulations- und damit rechtssicher machen? Sie müssen ihre elektronische Post mit einem privaten Schlüssel signieren und anschließend chiffriert versenden. Dafür gibt es zwei Möglichkeiten: eine dezentrale Lösung (das Client-basierende Verfahren) und eine zentrale Lösung (das Gateway-Verfahren).
Der dezentrale Ansatz
Bei dem Client-basierenden Verfahren erfolgen E-Mail-Signierung und -Verschlüsselung direkt auf dem Desktop des Mitarbeiters. Bei größeren Unternehmen ist dies allerdings mit hohem technischem, organisatorischem und finanziellem Aufwand verbunden, der vor allem aus der zeitaufwändigen Administration und den häufig erforderlichen Anwenderschulungen resultiert.
Wenn ein Mitarbeiter aus der Firma ausscheidet oder neu eingestellt wird, sind Zertifikate zu widerrufen beziehungsweise neu zu erteilen. Zudem muss jeder Empfänger einer chiffrierten E-Mail über denselben Schlüssel verfügen, um die Nachricht öffnen zu können, so dass der Schlüssel mit jedem neuen Geschäftspartner ausgetauscht werden muss.
Problematisch ist jedoch, dass es dem Mitarbeiter überlassen bleibt, ob er eine E-Mail verschlüsselt. Eine zentrale, unternehmensweite Security-Policy, nach der bestimmte Inhalte zu chiffrieren sind, lässt sich zwar definieren, technisch aber nicht durchsetzen.
Auch das Viren- und Content-Scannen wird beim Client-basierenden Ansatz auf den Desktop jedes einzelnen Mitarbeiters verlagert. Aus Sicht von IT-Experten ist es allerdings weit besser, die elektronische Post auf einem zentralen Server zu scannen, als hierfür den Mitarbeitern die Verantwortung zu übertragen.
Der zentrale Ansatz
Angesichts dieser Nachteile zumindest für größere Unternehmen setzt sich das zentrale Gateway-Verfahren zunehmend durch. Nach diesem Ansatz werden die Signierung und Prüfung der E-Mail-Signatur sowie Ver- und Entschlüsselung von einem zentralen Vermittlungs-Server (dem Gateway) ausgeführt - und nicht mehr von den PCs der einzelnen Mitarbeiter.
Der Vorteil: Die Anwender können ihre Mails absenden und empfangen, ohne sich um deren Signierung und Verschlüsselung zu kümmern. Die Regeln für die Verschlüsselung lassen sich zentral definieren, so dass keine Gefahr besteht, dass sie vergessen oder ignoriert wird. Der Aufwand für die Systemimplementierung ist deutlich geringer - und Mitarbeiterschulungen entfallen ganz. Auch die Viren- und Spam-Prüfung wird bei der Gateway-Lösung automatisch zentral und nicht mehr auf den einzelnen Arbeitsplatzrechnern vorgenommen.
Wermutstropfen Implementierung
Im günstigsten Fall läuft das Gateway diskret im Hintergrund, so dass die Mitarbeiter nicht bemerken, dass ihre E-Mails signiert und verschlüsselt werden. Voraussetzung ist allerdings, dass das Gateway perfekt in die bestehende IT-Infrastruktur des Unternehmens integriert ist, was für die meisten IT-Abteilungen eine große Hürde darstellt. Denn die Implementierung eines Gateways ist weit anspruchsvoller und komplexer als die Installation einer Software.
Die technische Herausforderung besteht darin, das Gateway in die bestehenden E-Mail-Infrastrukturen einzufügen, ohne den laufenden Mail-Verkehr zu gefährden. Kritisch sind in diesem Kontext die oft unterschiedlichen Mail-Systeme und die multiplen Sicherheitsebenen der Mail-Prüfung (Spam, Content-Filter, Virenscanner). Auch im Hinblick auf das Zusammenspiel von Betriebssystem, Datenbank und Gateway stoßen Administratoren ohne spezielles Know-how häufig an ihre Grenzen.
Während die technischen Anforderungen schnell transparent werden und damit zunächst im Mittelpunkt stehen, wird der organisatorischen Einbindung des Gateways meist zu wenig Aufmerksamkeit geschenkt. Um einen hohen Automatisierungsgrad des Gateways zu erreichen, ist dieses an die bestehenden E-Mail-Prozesse des Unternehmens anzupassen. Letztere müssen dazu analysiert und auf das Gateway übertragen werden. In diesem Zusammenhang muss ein Unternehmen über folgende Aspekte entscheiden:
-
die Art des Verfahrens,
-
die Art der automatisierten Registrierung,
-
das Design des Webmail-Systems,
-
die Einbindung der vorhandenen Administration,
-
die Prozesse im Fehlerfall,
-
die eventuelle Einbindung eines Helpdesks,
-
die Umsetzung und Pflege zentraler Security-Policies,
-
Design und Inhalt der vom Gateway an die Mitarbeiter und die externen Kommunikationspartner versandten Informations-E-Mails.
Welches Verfahren für wen?
Eine dezentrale Lösung ist eher für sehr kleine Unternehmen mit wenigen Rechnern geeignet, denn dort würden die Implementierungskosten des Gateway-Verfahrens den Nutzen übersteigen. Mit steigender Mitarbeiter- und damit Rechnerzahl amortisieren sich die anfänglichen Kosten einer zentralen Lösung in der Regel aber recht schnell. (kf)