Traditionelle Verschlüsselungsverfahren für E-Mails

Sichere E-Mail-Übertragung ist nicht nur wünschenswert, sondern seit Inkrafttreten gesetzlicher Regelungen wie beispielsweise der europäischen Datenschutz-Grundverordnung (EU-DSGVO) sogar verpflichtend.

Leider sind herkömmliche Verschlüsselungsmethoden für Unternehmen und öffentliche Institutionen in der Praxis nur schwer umsetzbar: Die verwendeten Verschlüsselungsmechanismen sind inhomogen, die damit verbundenen Prozesse schwer zu vermitteln und im Ergebnis oft frustrierend für Sie und Ihre Kommunikationspartner.

Bei den herkömmlichen Verschlüsselungsmethoden wird im Allgemeinen zwischen der Transportverschlüsselung und der Inhaltsverschlüsselung unterschieden:

Innerhalb dieser Verschlüsselungstechniken ergeben sich im E-Mail-Versand folgende Probleme und Hürden:

  • Obligatorische Transportverschlüsselung ist bisher nur in Einzelfällen einsetzbar, da bei einem pauschalen Mindest-Sicherheitslevel der E-Mail-Kanal für einige Empfänger nicht mehr verfügbar wäre (sobald der E-Mail-Server des Empfängers keine oder nur eine veraltete TLS-Verschlüsselung anbietet).
  • Für Inhaltsverschlüsselung ist ein hoher Schulungsbedarf für die Mitarbeiter notwendig und zusätzlich oftmals eine Mitarbeit des Empfängers (z.B. Erzeugung/Austausch eines Zertifikats, Festlegen eines Passworts oder Anlegen eines Accounts).
  • Beide sind nicht verknüpfbar, da die Transportverschlüsselung üblicherweise nur von der IT-Abteilung gesteuert werden kann, die Inhaltsverschlüsselung dagegen die Mitwirkung der Mitarbeiter benötigt.

Aufgrund dieser Hürden und der fehlenden Möglichkeit, den kompletten E-Mail-Versand über einen einzigen technischen Ansatz abzudecken, war es bislang nahezu unmöglich, in Organisationen allgemeingültige, praxistaugliche und letztlich auch nachweisbare Prozesse zu definieren.

Prozess-Dilemma ohne Lösung?

Einen Ausweg bietet die adaptive Verschlüsselung mit dem comcrypto MXG E-Mail-Gateway. Erstmalig werden die Ebenen der Transport- und Inhaltsverschlüsselung miteinander verknüpft und können so automatisiert eingesetzt werden. Indem die adaptive Verschlüsselung zum Standard wird, kommt ein sinnvolles Mindest-Schutzniveau flächendeckend und automatisch zur Anwendung.

Unser MXG E-Mail-Gateway hilft Ihnen dabei:

  • so viele Ihrer E-Mails wie möglich auch ohne Passwörter und trotzdem sicher zu übertragen,
  • die wenigen Fälle, in denen die sichere Übertragung ohne Inhaltsschutz technisch nicht möglich ist, zu erkennen und in diesen Fällen automatisiert und nach Ihrer Unternehmens-Policy zu reagieren und
  • die gewünschten Prozesse in der E-Mail-Übertragung zu etablieren und die Wirksamkeit der technischen Maßnahmen nachzuweisen.

Zusätzlich wird das Sicherheitslevel der qualifizierten Transportverschlüsselung bereitgestellt, welches auch die E-Mail-Übertragung mit hohen Risiken ohne zusätzlichen Einsatz von Passwörtern oder anderen Mechanismen der Inhaltsverschlüsselung ermöglicht.

Verzicht auf unnötige Passwörter ist wirtschaftlich sinnvoll

Aufgrund der anhaltend geringen Verbreitung von S/MIME und PGP wurden in den vergangenen Jahren vermehrt passwortbasierte Verfahren (verschlüsselte Datei-Anhänge und Portal-Lösungen) zum Schutz der E-Mail-Übertragung eingesetzt. Für einzelne E-Mails stellen diese Verfahren auch durchaus eine praktikable Maßnahme dar.

passwortbasierte Verfahren führen meist zu komplizierten Prozessen im E-Mail-Versand

Immer mehr E-Mails mit Passwörtern zu schützen, trägt langfristig nicht dazu bei, dass sichere E-Mail-Übertragung in der Breite akzeptiert wird. Jede E-Mail mit Passwortschutz kostet den Absender und/oder den Empfänger mehrere Minuten Arbeitszeit. Hochgerechnet auf eine Vielzahl von E-Mails, ist dies nicht wirtschaftlich. Rechnen Sie gern nach, wie viel Kosten durch den Mehraufwand entstehen. Mit unseren Rechnern für verschlüsselte ZIP-Archive und verschlüsselte PDF-Anhänge.

E-Mail-Übertragung ohne Verschlüsselung schadet natürlich mindestens genauso sehr, einerseits den datenschutzrechtlich Betroffenen, aber letztlich auch Ihrem Unternehmen.

Weniger Aufwand mit traditionellen manuellen Verschlüsselungsmethoden bedeuten für Unternehmen erhebliche Einsparungen von Arbeitszeit.

Ronald Scholz CFO