S/MIME und PGP kommen bis heute nicht flächendeckend zum Einsatz

Im Internet wird viel über die Frage S/Mime vs. PGP sowie das Thema der Verschlüsselung von E-Mails im Allgemeinen diskutiert. 

Komplexität

Ein Beitrag aus dem Internet-Blog „Gizmodo“, den wir an dieser Stelle zitieren möchten, schildert sehr bildhaft, warum die führenden Technologien zur Verschlüsselung von E-Mails - S/MIME und PGP – bis heute nicht flächendeckend zum Einsatz kommen.

„Kein Wunder, wenn ich sehe, was alles notwendig ist, bis ich bereit bin, eine verschlüsselte Mail zu versenden:
* Thunderbird herunterladen und installieren
* GnuPG herunterladen und installieren
* EnigMail herunterladen und installieren
* Ein Schlüsselpaar aus Public Key und Private Key und ein Widerrufszertifikat erstellen.
* Das Widerrufszertifikat gut geschützt zu speichern.
* Den Private Key für sich behalten und gut geschützt zu speichern.
* Den Public Key auf einen Schlüsselserver hochladen oder allen Gesprächspartnern mitteilen.
* Public Keys aller Mail-Empfänger besorgen.
* Mail schreiben, mit dem Public Key des Empfängers verschlüsseln.
…und das erkläre jetzt mal dem Durchschnitts-E-Mail-Sender und seinem Durchschnitts- E-Mail-Empfängern. Verschlüsselung kann nur funktionieren, wenn sie für den Anwender extrem einfach – am besten unsichtbar – zu verwenden ist.“

(Quelle: www.gizmodo.de/2014/07/02/verschluesselung-sicherer-e-mail-versand-ist-die-grosse-ausnahme.html)

Diese Komplexität ist der Grund, warum viele Implementierungen scheitern – wenn nicht bereits bei Administratoren, dann spätestens an den Endbenutzern. Die Aufwände, die dieser Blog-Eintrag schildert – auch wenn sie je nach verwendeter Verschlüsselungslösung und verwendetem E-Mail Client im Detail variieren – sind zu hoch, die Anforderungen zu technisch und damit die Benutzerakzeptanz zu gering.

Wir haben dieses Problem erkannt und mit Cryptshare von Beginn an eine Lösung konzipiert, die einen anderen Weg geht, der ohne diese Komplexität auskommt. Cryptshare ermöglicht es, ohne die Installationen von Software auf Client-Seite, ohne den Austausch von Zertifikaten, ohne die Anlage von Benutzerkonten und auch ohne Vorkenntnisse ad-hoc bidirektional zu kommunizieren.

Cryptshare stellt so eine interessante Alternative zu herkömmlichen E-Mail Verschlüsselungslösungen dar und ist konsequent auf Benutzerfreundlichkeit ausgelegt, was zu sehr hoher Benutzerakzeptanz führt.

Keine Lösung für große Dateianhänge

Im Geschäftsalltag sind es häufig nicht mehr so sehr die E-Mail Texte selbst, die die vertraulichen Informationen enthalten, sondern vielmehr die Dateien, die wir versuchen per E-Mail zu versenden: Präsentationen, Fotos, Videos, CAD-Dateien, Dossiers, Gutachten, Dokumentationen, Kalkulationen, Vertragsentwürfe etc. Schnell gelangen wir dabei an den Punkt, wo Dateien zu groß für E-Mail sind.

Cryptshare ermöglicht daher nicht nur die bidirektionale, verschlüsselte Übertragung von E-Mails. Cryptshare ermöglicht es auch, Dateien beliebiger Größe verschlüsselt und bidirektional zu übertragen - inklusive Virenscan. Dabei werden die Inhalte der Nachrichten und Dateien verschlüsselt transferiert.

Benutzerakzeptanz ist entscheidend

Wie im oben zitierten Blog-Eintrag gefordert, muss eine Lösung für die verschlüsselte Kommunikation also extrem einfach zu bedienen sein. Idealerweise bietet sie jedoch mehr, als nur eine völlig unsichtbare Verschlüsselung. Benutzerakzeptanz wird erzielt, wenn für die Benutzer ein Mehrwert ohne Mehraufwand entsteht. Dieser ist für Benutzer in einer Verschlüsselung allein oft nicht erkennbar, auch (oder gerade) dann nicht, wenn sie unsichtbar funktioniert. Denn das bedeutet im Umkehrschluss, dass sie dem Benutzer nur zu Gesicht kommt, wenn sie fehlschlägt.

Benutzer möchten Kontrolle und Benutzer möchten Erfolgserlebnisse. Mit Cryptshare haben die Anwender eine Wahrnehmung, dass ihre Daten sicher übertragen wurden, ohne dass ihnen dadurch ein Aufwand entsteht. Durch die integrierten Möglichkeiten, den Status der Übertragung von Dateien und Nachrichten bis zum Empfang nachvollziehen zu können, entsteht für die Benutzer ein Gefühl von Vertrauen und Kontrolle, welches die Akzeptanz sicherstellt, da die täglichen Arbeitsabläufe effizient unterstützt werden. Dies gilt für die Kommunikation mit beliebigen Partnern – intern wie extern - und nicht nur mit solchen, die über eine Installation der gleichen Technologie verfügen.

Wenn Sie mehr darüber erfahren möchten, wie Cryptshare Ihr Business sicherer macht, kontaktieren Sie uns!

Auch wir als Hersteller sprechen immer wieder mit Unternehmen, die an der Einführung oder flächendeckenden Verwendung von Lösungen für den sicheren E-Mail Verkehr wie S/MIME oder PGP gescheitert sind. Häufig sind die Lösungen einfach zu komplex, zu teuer oder beides um flächendeckend zum Einsatz zu kommen. Gerade wer viel mit wechselnden Kommunikationspartnern in Kontakt ist, benötigt eine Lösung, die ad-hoc mit jedem externen Teilnehmer funktioniert, ohne dass im Vorfeld Zertifikate beschafft, Schlüssel ausgetauscht, Lizenzen erworben oder Benutzerkonten angelegt werden müssen. Der Zeitdruck, dem jeder Mitarbeiter heute ausgesetzt ist, überwiegt oft die Bedenken wegen möglicher Risiken.

Doch selbst wenn bereits klassische E-Mail Verschlüsselungslösungen wie S/MIME oder PGP bei beiden Kommunikationspartnern im Einsatz sind, ist nicht jede Kommunikation zu sichern. Oft sind es nicht die E-Mails, die vertrauliche Daten enthalten, sondern die Dateianhänge. Und ob verschlüsselt oder nicht – Dateien werden schnell zu groß für den E-Mail Versand. Spätestens dann bleibt der Anwender mit S/MIME oder PGP im Regen stehen.

Menschen werden dann gerne kreativ und weichen auf alternative Methoden aus, wie beispielsweise den Versand von Datenträgern per Post. Auch hier sind die Risiken nicht fern:

„So gaben 55 % der Unternehmen an, ihre IT bei der Verbindung mit mobilen Datenträgern überhaupt nicht zu schützen. Eine Sicherung der Daten mit Passwörtern ist sogar rückläufig - von 26 % (2011) auf 21 % (2014). Lediglich bei der Verschlüsselung der Daten gibt es Steigerung um 5 Prozentpunkte – auf nunmehr 24 % etabliert.“

Doch sichere E-Mail Kommunikation und verschlüsselte Datenübertragung muss nicht kompliziert sein. Cryptshare löst die aufgeführten Herausforderungen auf sehr einfache Art und Weise und kann einen wesentlichen Beitrag leisten, elektronische Kommunikation sicher, zuverlässig und nachvollziehbar zu machen, ohne Anwender und Administratoren zu überfordern.

Die Lösung ist so einfach konzipiert, dass Anwender mit unterschiedlichsten IT-Vorkenntnissen ohne Schulung oder Einweisung mit dem System umgehen können.

Es werden weder eine Software-Installation, noch der Austausch von Zertifikaten oder das Anlegen von Benutzerkonten vorausgesetzt. Auch fallen für externe Teilnehmer keine Lizenzkosten an – gleich ob diese Teilnehmer als Absender oder als Empfänger in Erscheinung treten.

Wenn die Information, die Sie austauschen möchten, zu groß ist für den E-Mail Versand, ist Cryptshare ebenfalls die Lösung. Cryptshare kann neben E-Mails auch Dateien beliebiger Größe übertragen – bis zu mehreren Gigabyte.

Die sehr einfache Konzeption von Cryptshare macht es nicht nur den Anwendern leicht. Auch auf administrativer Seite sind die Aufwände minimal. Einmal installiert sind kaum regelmäßigen Wartungsarbeiten vorzunehmen, da keine Benutzer verwaltet werden müssen und sich die zu übertragenden Dateien und E-Mails selbst vom Server bereinigen. Das Know-how, welches für den Betrieb der Lösung aufgebaut werden muss, ist minimal.

Testen Sie die hohe Benutzerakzeptanz von Cryptshare selbst! Gerne stellen wir Ihrem Unternehmen kostenlos und unverbindlich einen Zugang zu unserem Demo-System zur Verfügung. Hier können Ihre Anwender selbst erfahren, wie einfach sichere Kommunikation sein kann – ganz ohne Software-Installation, Benutzerkonten, Schulung oder sonstige administrativen Aufwände.

Internationale Kunden unterschiedlichster Branchen und Unternehmensgrößen vertrauen deshalb schon heute auf Cryptshare. Wir sind überzeugt, dass Cryptshare auch Ihre elektronische Kommunikation revolutionieren kann.

Lasst PGP sterben!

forderte Heise Security Chefredakteur bereits 2015

Der Chefredakteur der Security-Sparte des Heise Verlags, Jürgen Schmidt, fordert in einem Editorial neue Ansätze zur Verschlüsselung von E-Mails und einen zeitgemäßen Nachfolger für PGP. Gibt es bereits heute alltagstaugliche Alternativen?

Die Idee, den Inhalt von E-Mails zu verschlüsseln, ist ähnlich alt wie die E-Mail selbst. Seit Beginn der 90er Jahre steht PGP als Technologie für diesen Zweck zur Verfügung. Die Verbreitung von PGP jedoch ist gemessen an der Verbreitung von E-Mail minimal. Ursache dafür ist die relativ komplexe Handhabung der Technologie, die Anwender ohne tieferes IT-Verständnis vor Rätsel stellt. Längst ist die elektronische Kommunikation per E-Mail jedoch nicht mehr nur IT-Experten vorbehalten und wichtige Geschäftsprozesse in allen Bereichen eines Unternehmens erfordern den schnellen, einfachen und sicheren elektronischen Austausch von Informationen.

PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall.

Jürgen Schmidt

Hinzu kommen weitere Defizite. Die Möglichkeit, ungehindert falsche öffentliche Schlüssel für existierende E-Mail Adressen auf den Key-Servern einzuspielen sowie die teilweise mangelnde Qualität von PGP-Implementierungen führen dazu, dass PGP in der Praxis oft einfach nicht funktioniert.

Doch selbst wenn eine PGP-Verbindung zwischen zwei Kommunikationspartnern erfolgreich etabliert ist, bietet PGP keine Lösung für den Austausch großer Dateien. Diese werden in der Unternehmenskommunikation jedoch immer häufiger und wichtiger. Dennoch propagieren viele IT-Experten die Nutzung von Ende-zu-Ende Verschlüsselung auf Basis von PGP als das Allheilmittel gegen Ausspähung und Überwachung jeglicher Form.

Wer diesem Ratschlag zu folgen versucht, stellt schnell fest, dass diese Form der Verschlüsselung vom Absender bis zum Empfänger für Unternehmen gar nicht praktikabel ist. Sie verhindert beispielsweise die Möglichkeit, Inhalte in der DMZ auf Schadcode zu prüfen oder auch zu archivieren. Daher kommt hier die Nutzung von PGP derzeit nur in Form einer Gateway-Lösung in Frage, die die Verschlüsselung automatisch in der DMZ des Unternehmens durchführt und eine site-to-site oder site-to-end Verschlüsselung ermöglicht.

Das erforderliche Know-How und der Aufwand für die Verwaltung von PGP-Schlüsseln wird durch eine Gateway-Lösung von den Mitarbeitern auf den Administrator verlagert, der entsprechend ausgebildet sein muss. Da zur Kommunikation jedoch immer zwei Parteien gehören, setzt der Einsatz von PGP voraus, dass die Gegenpartei ebenfalls eine kompatible Lösung einsetzt. Hier wird die mangelnde Verbreitung jedoch schnell wieder zum Showstopper, insbesondere bei der Kommunikation mit Privatpersonen wie Endkunden.

Gerade für Unternehmen existiert mit Cryptshare bereits heute eine sehr attraktive Möglichkeit, im Einklang mit Unternehmensvorschriften verschlüsselt E-Mails und große Dateien mit jedermann austauschen zu können, ohne dafür großen technischen Aufwand zu betreiben. Dabei wird ebenfalls ein Server in der DMZ des Unternehmens installiert. Dieser verfügt über eine intuitiv zu bedienende Web-Oberfläche, über die vertrauliche Nachrichten und auch Dateien beliebiger Größe zwischen dem Unternehmen und dessen Kunden oder Geschäftspartnern ausgetauscht werden können. Hierfür ist auf Seite der externen Kommunikationspartner lediglich ein Browser und eine E-Mail Adresse erforderlich. Noch komfortabler als die Nutzung der Web-Oberfläche ist jedoch die Verwendung des zugehörigen Outlook Add-Ins oder der HCL Notes Integration.

Bei Verwendung dieser Integration erstellen Mitarbeiter ihre Nachrichten wie gewohnt im E-Mail Programm. Durch den Klick auf einen Cryptshare-Button wird das Größenlimit für Dateianhänge aufgehoben und die Nachricht samt der Dateien kann verschlüsselt an beliebige Empfänger außerhalb des Unternehmens gesendet werden. Hierfür werden Einmalpasswörter verwendet, die der Benutzer eingeben oder automatisch generieren lassen kann. Auch ein regelbasierter Betrieb ist möglich, so dass Nachrichten, die bestimmte Kriterien erfüllen, automatisch von Cryptshare verarbeitet werden.
Dem Empfänger wird ein Download Link zugesendet. Eine per Cryptshare verschlüsselt versendete E-Mail wird als Datei ausgeliefert, die sich im E-Mail Programm des Empfängers öffnet und in den Mail-Ordnern ablegen lässt, wie eine regulär empfangene Nachricht. Eine zukünftige Version des Add-Ins wird den direkten Import empfangener Nachrichten in die Inbox von Outlook ermöglichen, ohne den Umweg über den Browser gehen zu müssen.

Das für den Abruf erforderliche Passwort kann aus einem im Vorfeld vereinbarten Geheimnis bestehen. Zusätzlich erhält der Empfänger jedoch auch die Kontaktdaten des Absenders, so dass er bei Bedarf mit diesem in Verbindung treten und das Passwort erfragen kann.

Für Endanwender bedeutet dies, dass sichere Kommunikation ohne die Erfüllung von komplexen technischen Voraussetzungen und ohne den Aufbau von spezifischem Know-how jederzeit möglich wird. Dabei ist der Gewinn an Sicherheit nur ein wichtiger Faktor. Die Aufhebung der Größenlimits bei E-Mail stellt sicher, dass nicht nur Nachrichten, sondern alle Inhalte, die geschäftliche Kommunikation heute ausmachen, auf diesem Wege austauschbar sind und garantiert hohe Benutzerakzeptanz.
Auch in puncto Security kann sich Cryptshare mit PGP messen. Der Datenaustausch zwischen Absender/Empfänger und dem Cryptshare Server erfolgt direkt über https-gesicherte Verbindungen, die Perfect Forward Secrecy (PFS) unterstützen und so neuesten Standards zum Schutz gegen Ausspähung entsprechen. Diese direkte Verbindung reduziert deutlich die Zahl potentieller Angriffspunkte gegenüber E-Mail basierenden Ansätzen, wo Nachrichten über eine nicht vorhersehbare Anzahl von Mail Servern verschiedener Betreiber von A nach B übertragen werden. Durch den Einsatz des Standard-Protokolls https wird gleichzeitig ein Maximum an Interoperabilität gewährleistet. Ferner werden alle Meta-Daten der E-Mail verschlüsselt übertragen.

Cryptshare macht verschlüsselte Kommunikation so einfach wie E-Mail.