computerwoche.de

Security

Messaging-Security

Vertrauliche E-Mails sicher zustellen

04.08.2008
Von Ulf Lorenzen
Um ihre elektronische Post vor Manipulationen zu schützen, müssen Unternehmen ihre E-Mails signieren und verschlüsseln - entweder dezentral (Client-basierend) oder zentral (Gateway-basierend). Beide Ansätze haben Vor- und Nachteile.

Die Kommunikation via E-Mail ist bequem, schnell, unabhängig und preisgünstig. Derzeit werden weltweit rund 30 Milliarden elektronische Nachrichten pro Tag verschickt. Ungefähr die Hälfte ist geschäftlicher Natur. Das ist die gute Nachricht.

Die schlechte: Technisch gesehen sind E-Mails nichts weiter als virtuelle Postkarten. Und ebenso wie die Postkarte auf dem Weg vom Absender zum Empfänger "offen" ist, lässt sich auch die elektronische Nachricht ohne weiteres abfangen, lesen und manipulieren.

Drei Kernfragen

Der Empfänger einer geschäftlichen E-Mail muss sich deshalb folgende Fragen stellen:

  • Authentizität: Ist die E-Mail authentisch, stammt sie tatsächlich von diesem Absender, oder wurde die Absenderadresse gefälscht?

  • Vertraulichkeit: Wurde die Vertraulichkeit gewahrt, oder ist die E-Mail noch von anderen, dazu nicht berechtigten Personen gelesen worden?

  • Integrität: Ist die E-Mail auf dem Transportweg abgefangen und verändert worden?

Eine verlässliche Antwort auf diese Fragen ist für viele Unternehmen von existenzieller Bedeutung. Denn die gesetzlichen Bestimmungen zum Datenschutz gelten auch für Informationen, die in Form von E-Mails übertragen werden. Wer gegen diese Vorschriften verstößt, dem drohen neben wirtschaftlichen Schäden Imageverlust und Geld- oder sogar Gefängnisstrafen.

E-Mail-Sicherheit gewinnt an Bedeutung

Das Thema E-Mail-Sicherheit ist daher für immer mehr Unternehmen, unabhängig von der Branche, ein großes Thema - besonders für Firmen, die einer Informationspflicht unterliegen, wie Banken, Versicherungen, Finanzdienstleister oder Unternehmen aus dem Healthcare-Bereich. Um dieser Pflicht nachzukommen, versendet das Gros dieser Unternehmen sensible Inhalte wie Kontoauszüge, Rechnungen oder persönliche Gesundheitsinformationen häufig per Post. Dies verursacht allerdings immense Portokosten und hohen Verwaltungsaufwand, wenn die eingegangenen Daten manuell erfasst werden müssen. Ein Versand per E-Mail reduziert die Kosten deutlich.

In anderen Branchen, besonders bei Telekommunikationsunternehmen und Internet-Providern, werden Rechnungen vorzugsweise als PDF per E-Mail versandt. Rechtlich gesehen bewegen sich die Firmen mit dieser Praxis allerdings in einer Grauzone, denn einer Manipulation dieser E-Mails ist Tür und Tor geöffnet.

Wie können Unternehmen ihre E-Mails also manipulations- und damit rechtssicher machen? Sie müssen ihre elektronische Post mit einem privaten Schlüssel signieren und anschließend chiffriert versenden. Dafür gibt es zwei Möglichkeiten: eine dezentrale Lösung (das Client-basierende Verfahren) und eine zentrale Lösung (das Gateway-Verfahren).