Die E-Mail und die Sicherheit, das ist ein endloses Thema. Kaum eine Zeitschrift, kein TV-Magazin oder Blog, das nicht schon einmal darüber berichtet hat, dass man seine E-Mails verschlüsseln sollte. Dank Edward Snowden wissen wir heute, dass unsere E-Mails eifrig mitgelesen werden. Was wir nicht wissen ist, wer neben der NSA noch alles unsere E-Mails liest. Trotzdem scheint sich E-Mail-Verschlüsselung nicht durchzusetzen. Zumindest bei meinen Gesprächspartnern hält sich die Anzahl derer in Grenzen, die mir ihre öffentlichen PGP- oder S/MIME-Schlüssel senden, stark in Grenzen. Das ist nicht weiter verwunderlich, gibt es doch zumindet im Firmenumfeld starke Argumente, warum Verschlüsselung unpraktisch ist.
Jede Medaille hat zwei Seiten, auch die der E-Mailverschlüsselung
Noch einmal eine kurze Erklärung, wie E-Mailverschlüsselung funktioniert. Der Benutzer A erstellt sich ein Schlüsselpaar, das aus einem öffentlichen und aus einem privaten Schlüssel funktioniert. Den öffentlichen Schlüssel stellt er dann dem Benutzer B zur Verfügung. Benutzer B kann dann mit dem öffentlichen Schlüssel E-Mails verschlüsseln und an Benutzer A versenden. Benutzer A entschlüsselt dann die E-Mails mit seinem privaten Schlüssel.
Ist der Schlüssel weg, ist die E-Mail Schrott
Dieses System funktioniert super, zumindest so lange wie Benutzer A seinen privaten Schlüssel nicht verliert. Ist dieser weg, kann er die eigenen E-Mails nicht mehr entschlüsseln. Das ist aber nicht das einzige Problem. Verschlüsselte E-Mails können nur an Clients gelesen werden, in die der private Schlüssel eingespielt wurde. Das ist zwar nicht sonderlich kompliziert, doch muss man sich mit dem Thema beschäftigen. Der Spiegel hat zu dem Thema schon öfter Artikel geschrieben und verweist dabei auf drei Webseiten mit denen man sich beschäftigen solle. Mit Clients ist natürlich nicht nur das geliebte Outlook gemeint, in der Regel liest Du Deine E-Mails ja auch mit dem Webmailer, auf dem Handy oder dem Tablet. In jedem Gerät muss der private Schlüssel hinterlegt sein und zwar so, dass er nicht in falsche Hände geraten kann, wenn man sein Gerät verliert. Also solltest Du auch die Dateisysteme Deiner Geräte verschlüsseln.
Unternehmen müssen E-Mails archivieren, dafür müssen diese aber lesbar sein
Was früher die GdpDU war ist heute die GoBD und da steht drin, dass neben den außersteuerlichen und steuerlichen Büchern, auch Aufzeichnungen und Unterlagen zu Geschäftsvorfällen aufzubewahren sind, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind. Sind aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen im Unternehmen entstanden oder dort eingegangen, sind sie auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Sie dürfen daher nicht ausschließlich in ausgedruckter Form aufbewahrt werden und müssen für die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben (z. B. per E-Mail eingegangene Rechnung im PDF-Format oder eingescannte Papierbelege). Die Nachvollziehbarkeit und Nachprüfbarkeit muss für die Dauer der Aufbewahrungsfrist gegeben sein.
Das bedeutet, dass Firmen E-Mails in irgendeiner Form archivieren müssen. Das können sie aber nur, wenn Sie die E-Mails lesen können. Entschlüsselt jeder Mitarbeiter die E-Mails für sich selbst, kann eine durchgehende Archivierung nicht gewährleistet werden. Weitere Probleme für Firmen sind verlorene Schlüssel oder ausgeschiedene Mitarbeiter.
Portal-basierende Verschlüsselung als Lösung?!
Fast alle hier beschriebenen Probleme kannst Du durch eine portalbasierende Verschlüsselung lösen. Bei einem solchen Konzept versendest und empfängst Du alle Deine E-Mails über einen Dienstleister. Dieser verwaltet die öffentlichen und privaten Schlüssel und verschlüsselt bzw. entschlüsselt Deinen E-Mail-Verkehr. Das sorgt dafür, dass auf Deinem E-Mailserver die E-Mails unverschlüsselt liegen und dementsprechend einfach weiter verarbeitet werden können. Natürlich müssen Dir bei dieser Lösung einige Dinge bewusst sein:
- Dein privater Schlüssel liegt bei einem Dienstleister. Du solltest dieses Schlüsselpaar also für nichts anderes verwenden.
- Ab und zum Portal wird nur der Transportweg verschlüsselt.
- Die E-Mails liegen im Klartext auf dem Mailserver sowie auf deinem Client
Diese Lösung funktioniert also nur, wenn Du Deinem Dienstleister vertraust.
Eine Frage des Vertrauens und der Vertraulichkeit
Ob Portal-basierende Verschlüsselung was für Dich ist, hängt also von Dir ab. Vertraust Du Deinem Anbieter, dann steht dem nichts im Wege. Portal-basierende Verschlüsselung ist immer noch besser als gar keine Verschlüsselung. Für Firmen ist es in meinen Augen derzeit die einzige Möglichkeit überhaupt Verschlüsselung zu gewährleisten. Möchtest Du aber privat E-Mails mit hoher Vertraulichkeit senden, würde ich mich mit der Verschlüsselung im Client beschäftigen.
In eigener Sache – mit unseren Mail Security Tools können wir eine Portal-basierende E-Mail-Verschlüsselung für Deine Firma realisieren. Das funktioniert, wenn Du einen eigenen Mailserver nutzt oder mit unserem Business Mail Angebot.