Gateway-zu-Gateway- vs. Ende-zu-Ende-Verschlüsselung

Ob vertrauliche E-Mails oder der Austausch wichtiger Dokumente, Informationen müssen sicher übertragen werden. Viele Menschen sind sich aber nicht bewusst, dass dies nicht immer automatisch geschieht. Die sogenannte Ende-zu-Ende-Verschlüsselung (E2EE) sorgt dafür, dass Informationen ausschließlich für die beabsichtigten Empfänger zugänglich bleiben und gegen unerwünschte Zugriffe oder Manipulationen geschützt sind. Denn die verschlüsselten Informationen sind nur auf den Clients lesbar.

Jedoch stößt dieses Konzept im Unternehmensumfeld schnell an seine rechtlichen und organisatorischen Grenzen. Das Verschlüsselungskonzept der Gateway-zu-Gateway-Verschlüsselung (G2GE) leistet in diesem Zusammenhang schnelle Abhilfe. Was sind jedoch die genauen Unterschiede und wo liegen die Probleme?

Das Ende-zu-Ende-Verschlüsselungsverfahren beruht auf einem Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der Sender nutzt den öffentlichen Teil des Empfängers, um die Nachricht zu kodieren. Entschlüsselt wird sie anschließend mithilfe des privaten Schlüssels des Empfängers.

Damit dies funktioniert, müssen die öffentlichen Schlüssel der Kommunikationspartner vorab ausgetauscht und zuverlässig verfügbar sein. Dies kann zum Beispiel über lokale Verzeichnisse, manuell oder über Zertifizierungsstellen erfolgen. Eine standardisierte zentrale Verwaltung aller öffentlichen Schlüssel gibt es nicht. Der private Schlüssel verbleibt ausschließlich beim jeweiligen Nutzer und muss sicher und geschützt auf dessen Endgerät aufbewahrt werden, da nur er die Entschlüsselung ermöglicht.

Bei der Ende-zu-Ende-Verschlüsselung findet die gesamte Absicherung der Datenübertragung direkt zwischen den Endgeräten, also dem E-Mail-Client des Absenders und dem des Empfängers, statt. Das bedeutet, die Nachricht wird bereits auf dem Gerät des Senders verschlüsselt und erst beim Empfänger lokal wieder entschlüsselt. Dazwischen bleibt sie vollständig unlesbar, auch für Server, Netzbetreiber oder Dritte. Kein Zwischensystem hat Zugriff auf den Inhalt, wodurch maximale Vertraulichkeit gewährleistet ist. Diese direkte Verschlüsselung zwischen den Kommunikationspartnern erfordert jedoch, dass beide Seiten die entsprechenden Schlüssel korrekt hinterlegt und verwaltet haben.

Gebräuchliche Standards für E2E-Verschlüsselung sind S/MIME und PGP. Diese sind aber untereinander nicht kompatibel. Dazu kommt, dass oft auf eine Transportverschlüsselung zurückgegriffen werden muss, weil viele Empfänger gar nicht fähig sind mit E2EE zu arbeiten. Insgesamt entstehen so im Unternehmensumfeld eine Reihe von Problemen: Die Schlüssel müssen verwaltet werden, die richtige Verschlüsselungsmethode muss angewendet werden, E-Mails müssen archiviert werden und auch Anwendungsfehler müssen verhindert werden.

Um diese Hürden zu umgehen, setzen viele Unternehmen auf ein zentrales Verschlüsselungs-Gateway. Dieses übernimmt die Verwaltung der Schlüssel und berücksichtigt automatisch die Gegebenheiten des Empfängers. Die Verschlüsselung findet hier nicht zwischen den E-Mail-Clients statt, sondern zwischen den E-Mail-Encryption-Gateways der Unternehmen. Die Weiterleitung von den Gateways zu den Clients erfolgt dann jeweils innerhalb der geschützten Unternehmensnetzwerke. Die Sicherheit des Mail-Verkehrs kann so zentral an die Sicherheitsanforderungen des Unternehmens angepasst werden und menschliche Fehler bei der E-Mail-Verschlüsselung können ausgeräumt werden.

Der Unterschied besteht also nur im Ort der Ver- bzw. Entschlüsselung. In der Praxis ist die Trennung zwischen E2EE und G2GE häufig gar nicht so scharf, denn aus einem Unternehmensnetzwerk mit Verschlüsselungs-Gateway können selbstverständlich auch E-Mails an Empfänger mit clientseitiger Verschlüsselung gesendet werden. Genauso kann dies auch umgekehrt geschehen. Die Konstellation in solchen Fällen ist dann eine Gateway-zu-Ende- bzw. Ende-zu-Gateway-Verschlüsselung. Generell würde es aufgrund der realen Gegebenheiten fachlich eigentlich mehr Sinn machen von E2XE bzw. G2XE zu sprechen, denn die entschlüsselnde Stelle X des Empfängers ist dem Sender grundsätzlich unbekannt.

Fazit

Während die Ende-zu-Ende-Verschlüsselung (E2EE) einen hohen Schutz für persönliche Kommunikation bietet, stößt sie im geschäftlichen Umfeld aufgrund von Komplexitäts- und Kompatibilitätsproblemen an ihre Grenzen. Zudem wird häufig missverständlich über E2EE gesprochen, während sich im Unternehmensumfeld längst S/MIME über Verschlüsselungs-Gateways durchgesetzt hat.

Die Gateway-basierte Verschlüsselung mit Lösungen wie comcrypto MXG stellt eine praktikable Alternative zur klassischen Ende-zu-Ende-Verschlüsselung dar, die sowohl Sicherheit als auch Benutzerfreundlichkeit gewährleistet. Durch automatisierte Prozesse, zentrale Schlüsselverwaltung und umfassende Protokollierung erfüllt sie die Anforderungen an Datenschutz und Compliance, ohne den Arbeitsfluss zu beeinträchtigen.