computerwoche.de

Security

Messaging-Security

Vertrauliche E-Mails sicher zustellen

04.08.2008
Von Ulf Lorenzen

Der zentrale Ansatz

Ein- und ausgehende E-Mails werden von einem zentralen Gateway geprüft, signiert und ver- und entschlüsselt. So muss sich der Anwender nicht mehr selbst um Signierung und Verschlüsselung seiner elektronischen Post kümmern.
Ein- und ausgehende E-Mails werden von einem zentralen Gateway geprüft, signiert und ver- und entschlüsselt. So muss sich der Anwender nicht mehr selbst um Signierung und Verschlüsselung seiner elektronischen Post kümmern.

Angesichts dieser Nachteile zumindest für größere Unternehmen setzt sich das zentrale Gateway-Verfahren zunehmend durch. Nach diesem Ansatz werden die Signierung und Prüfung der E-Mail-Signatur sowie Ver- und Entschlüsselung von einem zentralen Vermittlungs-Server (dem Gateway) ausgeführt - und nicht mehr von den PCs der einzelnen Mitarbeiter.

Der Vorteil: Die Anwender können ihre Mails absenden und empfangen, ohne sich um deren Signierung und Verschlüsselung zu kümmern. Die Regeln für die Verschlüsselung lassen sich zentral definieren, so dass keine Gefahr besteht, dass sie vergessen oder ignoriert wird. Der Aufwand für die Systemimplementierung ist deutlich geringer - und Mitarbeiterschulungen entfallen ganz. Auch die Viren- und Spam-Prüfung wird bei der Gateway-Lösung automatisch zentral und nicht mehr auf den einzelnen Arbeitsplatzrechnern vorgenommen.

Wermutstropfen Implementierung

Im günstigsten Fall läuft das Gateway diskret im Hintergrund, so dass die Mitarbeiter nicht bemerken, dass ihre E-Mails signiert und verschlüsselt werden. Voraussetzung ist allerdings, dass das Gateway perfekt in die bestehende IT-Infrastruktur des Unternehmens integriert ist, was für die meisten IT-Abteilungen eine große Hürde darstellt. Denn die Implementierung eines Gateways ist weit anspruchsvoller und komplexer als die Installation einer Software.

Die technische Herausforderung besteht darin, das Gateway in die bestehenden E-Mail-Infrastrukturen einzufügen, ohne den laufenden Mail-Verkehr zu gefährden. Kritisch sind in diesem Kontext die oft unterschiedlichen Mail-Systeme und die multiplen Sicherheitsebenen der Mail-Prüfung (Spam, Content-Filter, Virenscanner). Auch im Hinblick auf das Zusammenspiel von Betriebssystem, Datenbank und Gateway stoßen Administratoren ohne spezielles Know-how häufig an ihre Grenzen.

Während die technischen Anforderungen schnell transparent werden und damit zunächst im Mittelpunkt stehen, wird der organisatorischen Einbindung des Gateways meist zu wenig Aufmerksamkeit geschenkt. Um einen hohen Automatisierungsgrad des Gateways zu erreichen, ist dieses an die bestehenden E-Mail-Prozesse des Unternehmens anzupassen. Letztere müssen dazu analysiert und auf das Gateway übertragen werden. In diesem Zusammenhang muss ein Unternehmen über folgende Aspekte entscheiden:

  • die Art des Verfahrens,

  • die Art der automatisierten Registrierung,

  • das Design des Webmail-Systems,

  • die Einbindung der vorhandenen Administration,

  • die Prozesse im Fehlerfall,

  • die eventuelle Einbindung eines Helpdesks,

  • die Umsetzung und Pflege zentraler Security-Policies,

  • Design und Inhalt der vom Gateway an die Mitarbeiter und die externen Kommunikationspartner versandten Informations-E-Mails.

Welches Verfahren für wen?

Eine dezentrale Lösung ist eher für sehr kleine Unternehmen mit wenigen Rechnern geeignet, denn dort würden die Implementierungskosten des Gateway-Verfahrens den Nutzen übersteigen. Mit steigender Mitarbeiter- und damit Rechnerzahl amortisieren sich die anfänglichen Kosten einer zentralen Lösung in der Regel aber recht schnell. (kf)