Der Chefredakteur der Security-Sparte des Heise Verlags, Jürgen Schmidt, fordert in einem Editorial neue Ansätze zur Verschlüsselung von E-Mails und einen zeitgemäßen Nachfolger für PGP. Gibt es bereits heute alltagstaugliche Alternativen?

Die Idee, den Inhalt von E-Mails zu verschlüsseln, ist ähnlich alt wie die E-Mail selbst. Seit Beginn der 90er Jahre steht PGP als Technologie für diesen Zweck zur Verfügung. Die Verbreitung von PGP jedoch ist gemessen an der Verbreitung von E-Mail minimal. Ursache dafür ist die relativ komplexe Handhabung der Technologie, die Anwender ohne tieferes IT-Verständnis vor Rätsel stellt. Längst ist die elektronische Kommunikation per E-Mail jedoch nicht mehr nur IT-Experten vorbehalten und wichtige Geschäftsprozesse in allen Bereichen eines Unternehmens erfordern den schnellen, einfachen und sicheren elektronischen Austausch von Informationen.

Jürgen Schmidt wettert: „PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall.“ Hinzu kommen weitere Defizite. Die Möglichkeit, ungehindert falsche öffentliche Schlüssel für existierende E-Mail Adressen auf den Key-Servern einzuspielen sowie die teilweise mangelnde Qualität von PGP-Implementierungen führen dazu, dass PGP in der Praxis oft einfach nicht funktioniert.

Doch selbst wenn eine PGP-Verbindung zwischen zwei Kommunikationspartnern erfolgreich etabliert ist, bietet PGP keine Lösung für den Austausch großer Dateien. Diese werden in der Unternehmenskommunikation jedoch immer häufiger und wichtiger. Dennoch propagieren viele IT-Experten die Nutzung von Ende-zu-Ende Verschlüsselung auf Basis von PGP als das Allheilmittel gegen Ausspähung und Überwachung jeglicher Form.

Wer diesem Ratschlag zu folgen versucht, stellt schnell fest, dass diese Form der Verschlüsselung vom Absender bis zum Empfänger für Unternehmen gar nicht praktikabel ist. Sie verhindert beispielsweise die Möglichkeit, Inhalte in der DMZ auf Schadcode zu prüfen oder auch zu archivieren. Daher kommt hier die Nutzung von PGP derzeit nur in Form einer Gateway-Lösung in Frage, die die Verschlüsselung automatisch in der DMZ des Unternehmens durchführt und eine site-to-site oder site-to-end Verschlüsselung ermöglicht.

Das erforderliche Know-How und der Aufwand für die Verwaltung von PGP-Schlüsseln wird durch eine Gateway-Lösung von den Mitarbeitern auf den Administrator verlagert, der entsprechend ausgebildet sein muss. Da zur Kommunikation jedoch immer zwei Parteien gehören, setzt der Einsatz von PGP voraus, dass die Gegenpartei ebenfalls eine kompatible Lösung einsetzt. Hier wird die mangelnde Verbreitung jedoch schnell wieder zum Showstopper, insbesondere bei der Kommunikation mit Privatpersonen wie Endkunden.

Gerade für Unternehmen existiert mit Cryptshare von befine Solutions bereits heute eine sehr attraktive Möglichkeit, im Einklang mit Unternehmensvorschriften verschlüsselt E-Mails und große Dateien mit jedermann austauschen zu können, ohne dafür großen technischen Aufwand zu betreiben. Dabei wird ebenfalls ein Server in der DMZ des Unternehmens installiert. Dieser verfügt über eine intuitiv zu bedienende Web-Oberfläche, über die vertrauliche Nachrichten und auch Dateien beliebiger Größe zwischen dem Unternehmen und dessen Kunden oder Geschäftspartnern ausgetauscht werden können. Hierfür ist auf Seite der externen Kommunikationspartner lediglich ein Browser und eine E-Mail Adresse erforderlich. Noch komfortabler als die Nutzung der Web-Oberfläche ist jedoch die Verwendung des zugehörigen MS Outlook Add-Ins oder der IBM Notes Integration.

Bei Verwendung dieser Integration erstellen Mitarbeiter ihre Nachrichten wie gewohnt im E-Mail Programm. Durch den Klick auf einen Cryptshare-Button wird das Größenlimit für Dateianhänge aufgehoben und die Nachricht samt der Dateien kann verschlüsselt an beliebige Empfänger außerhalb des Unternehmens gesendet werden. Hierfür werden Einmalpasswörter verwendet, die der Benutzer eingeben oder automatisch generieren lassen kann. Auch ein regelbasierter Betrieb ist möglich, so dass Nachrichten, die bestimmte Kriterien erfüllen, automatisch von Cryptshare verarbeitet werden.
Dem Empfänger wird ein Download Link zugesendet. Eine per Cryptshare verschlüsselt versendete E-Mail wird als Datei ausgeliefert, die sich im E-Mail Programm des Empfängers öffnet und in den Mail-Ordnern ablegen lässt, wie eine regulär empfangene Nachricht. Eine zukünftige Version des Add-Ins wird den direkten Import empfangener Nachrichten in die Inbox von Outlook ermöglichen, ohne den Umweg über den Browser gehen zu müssen.

Das für den Abruf erforderliche Passwort kann aus einem im Vorfeld vereinbarten Geheimnis bestehen. Zusätzlich erhält der Empfänger jedoch auch die Kontaktdaten des Absenders, so dass er bei Bedarf mit diesem in Verbindung treten und das Passwort erfragen kann.

Für Endanwender bedeutet dies, dass sichere Kommunikation ohne die Erfüllung von komplexen technischen Voraussetzungen und ohne den Aufbau von spezifischem Know-how jederzeit möglich wird. Dabei ist der Gewinn an Sicherheit nur ein wichtiger Faktor. Die Aufhebung der Größenlimits bei E-Mail stellt sicher, dass nicht nur Nachrichten, sondern alle Inhalte, die geschäftliche Kommunikation heute ausmachen, auf diesem Wege austauschbar sind und garantiert hohe Benutzerakzeptanz.
Auch in puncto Security kann sich Cryptshare mit PGP messen. Der Datenaustausch zwischen Absender/Empfänger und dem Cryptshare Server erfolgt direkt über https-gesicherte Verbindungen, die Perfect Forward Secrecy (PFS) unterstützen und so neuesten Standards zum Schutz gegen Ausspähung entsprechen. Diese direkte Verbindung reduziert deutlich die Zahl potentieller Angriffspunkte gegenüber E-Mail basierenden Ansätzen, wo Nachrichten über eine nicht vorhersehbare Anzahl von Mail Servern verschiedener Betreiber von A nach B übertragen werden. Durch den Einsatz des Standard-Protokolls https wird gleichzeitig ein Maximum an Interoperabilität gewährleistet. Ferner werden alle Meta-Daten der E-Mail verschlüsselt übertragen.

Cryptshare macht verschlüsselte Kommunikation so einfach wie E-Mail. Wenn Sie mehr darüber erfahren möchten, wie Cryptshare Ihr Unternehmen sicherer macht, kontaktieren Sie uns!