E-Mail-Sicherheit

Das digitale Postgeheimnis wahren

29.04.2009
Von Michael  Silvan und Martin  Huber
E-Mail-Verschlüsselung und -Signaturen helfen, Integrität, Authentizität und Vertraulichkeit der elektronischen Firmen-korrespondenz sicherzustellen.

Das Kommunikationsmittel E-Mail ist in nahezu allen Unternehmen zur Selbstverständlichkeit geworden. Vom reinen Informationsaustausch bis hin zur Abwicklung rechtsgültiger Geschäfte - für heutige Geschäftsprozesse wird die elektronische Post zur immer wichtigeren Komponente. Entscheidend ist daher, dass

  • die E-Mail-Systeme rund um die Uhr verfügbar sind;

  • die Kommunikationspartner eindeutig zu identifizieren sind (Authentizität);

  • die Inhalte der Nachrichten auf dem Übertragungsweg nicht verändert werden (Integrität);

  • die Inhalte nicht in die Hände unberechtigter Dritter fallen (Vertraulichkeit).

Was das Medium E-Mail betrifft, sind Verfügbarkeit, Integrität (inklusive Authentizität) und Vertraulichkeit durch viele Bedrohungen gefährdet. Dazu gehören Malware, Spam, Phishing, unberechtigte Zugriffe und menschliches Versagen. Im Folgenden werden die Schutzmaßnahmen Verschlüsselung und Signatur und ihr Einfluss auf diese Bedrohungen beschrieben. Ein umfassender Schutz erfordert aber stets auch ergänzende Maßnahmen gegen Malware und Spam, auf die hier jedoch nicht näher eingegangen wird.

Das Projektvorgehen

Um bei der Auswahl von Schutzmaßnahmen möglichst alle Anforderungen der eigenen Organisation berücksichtigen und deren Implementierung hinsichtlich Zeit- und Kostenaufwand planen zu können, empfiehlt es sich, in zwei Phasen vorzugehen: Analyse und Umsetzung.

In der Analysephase wird ermittelt, welche Fachbereiche wie viel E-Mail-Schutz brauchen. Wie die Anforderungen umzusetzen sind, entscheidet sich in Phase zwei. (Quelle: Secaron)
In der Analysephase wird ermittelt, welche Fachbereiche wie viel E-Mail-Schutz brauchen. Wie die Anforderungen umzusetzen sind, entscheidet sich in Phase zwei. (Quelle: Secaron)
Foto: Secaron

In der Analysephase werden zunächst die Sollwerte bestimmt, was im Wesentlichen durch Interviews mit den Fachbereichen des Unternehmens erfolgt. Dabei gilt es zu analysieren, welchen Einfluss die E-Mail-Kommunikation auf das operative Geschäft hat. Zudem müssen das Schutzniveau der Daten sowie die Anforderungen an die Verfügbarkeit des E-Mail-Systems und an die Architektur festgelegt werden. Das Soll kann darüber hinaus von gesetzlichen Bestimmungen und internen Richtlinien wie etwa Sicherheitsvorgaben beeinflusst werden.

Eine möglichst vollständige Analyse ist ein wesentlicher Faktor für den Erfolg und die Akzeptanz der Lösung. Daher sollte unmittelbar auf die Soll-Analyse ein Vergleich mit dem Ist-Stand folgen, um zu eruieren, inwieweit die definierten Anforderungen bereits realisiert sind.

In der Umsetzungsphase wird ermittelt, wie sich die fachlichen, technischen und administrativen Anforderungen erfüllen lassen. Hierzu müssen entsprechende Architekturkonzepte erstellt, Prozesse entworfen und die zugehörigen Rollen definiert werden. Das stellt die Basis für die Evaluierung geeigneter Produkte dar. Im Anschluss ist mittels Proof of Concept zu überprüfen, ob die gewählte Architektur alle fachlichen und technischen Anforderungen erfüllt. Erst dann kann die unternehmensweite Implementierung beginnen.