Fazit

Welche der beschriebenen Maßnahmen zu treffen sind, hängt stark von den sicherheitsbezogenen und funktionalen Anforderungen des jeweiligen Unternehmens ab. Daher ist vor der Einführung eine umfassende und detaillierte Anforderungsanalyse erforderlich. Die Absicherung des Übertragungskanals ist sicher die Variante, die sich mit dem geringsten Aufwand implementieren lässt und somit schnell einen Sicherheitsgewinn bringt ("Quick win").

Allerdings ist sie in der Regel nur dann geeignet, wenn es um die Absicherung des E-Mail-Verkehrs zwischen zwei Unternehmen geht, die in einer festen vertraglichen Beziehung zueinander stehen (etwa zwischen verschiedenen Standorten eines Konzerns oder zwischen Lieferant und Auftraggeber). Eine Signatur einzelner Nachrichten ist in diesem Fall nicht möglich. Bei ständig wechselnden Kommunikationspartnern und wenn Nachrichten signiert werden müssen, kommt nur eine End-to-End-Lösung oder ein zentrales Gateway auf Basis von OpenPGP oder S/MIME in Frage. Diese Variante verursacht allerdings viel Aufwand hinsichtlich Aufbau und Betrieb der zugehörigen Infrastruktur und Prozesse.

Technik allein bietet jedoch keinen vollständigen Schutz vor Bedrohungen in der Informationssicherheit - nicht zu vergessen ist der Faktor Mensch. Ein akzeptables Schutzniveau lässt sich nur mit einer Kombination aus technischen Vorkehrungen und geschulten sensibilisierten Mitarbeitern erreichen, die verantwortungsbewusst mit den Firmendaten umgehen. (kf)