E-Mail Verschlüsselung privat und im Unternehmen – was wird versprochen und gehalten

Einer der Vorteile des NSA Skandals sind, dass sich private Personen wie auch Unternehmen etwas mehr dem Thema Sicherheit widmen. Nach langer Zeit werden die Unternehmen wach und überlegen häufig erstmalig über die Sensibilität ihrer Daten und der damit verbundene Werte für das Unternehmen. Lange Zeit wurden Themen wie Industriespionage in kleinen wie in mittelständigen Betrieben einfach ignoriert. Der Schutzbedarf steigt und damit auch die Herausforderungen für Administratoren.

Für private Nutzer wie auch für die großen Unternehmen versprechen die Provider Lösungen zum Schutz für Daten. Aber was steckt wirklich hinter den Versprechungen?

E-Mail Made in Germany

Ein großer Verbund von Providern tritt an mit einem Produkt „E-Mail Made in Germany“. Das ganze klingt laut TV-Werbung für den Endanwender nach vollständiger Sicherheit sollte ich den ein Konto bei diesem Provider nutzen. Leider sichert „E-Mail Made in Germany“ nur die Transportwege speichert aber die Daten auf ihren Servern in unverschlüsselter Form. Weiterhin sind beim Verlassen der Nachricht an andere Provider in Deutschland und besonders im Ausland keine Sicherheiten mehr gewährt. Ich kenne keine Behörde und nur ein Hand voll von Unternehmen welche E-Mails über diese Provider senden. Das bedeutet für Benutzer ein intransparentes System bei welchen mit ein wenig Glück wenigstens die Transportwege gesichert sind.

Mein persönliches Fazit zu E-Mail Made in Germany: Einfach nur ein Werbegag welcher dem Benutzer scheinheilige Sicherheit suggeriert. Weder für privat wie auch im Unternehmen wirklich nutzbar.

DE-Mail

Schon seit mehreren Jahren versucht insbesondere die deutsche Telekom DE-Mail in Deutschland zu etablieren. DE-Mail wird vom Bund gefördert und gestützt. Selbst eigene Gesetze zur Regelung für DE-Mail Übertragungen und Aufbewahrung wurden geschrieben. DE-Mail Anbieter werden vom BSI (Bundesamt für Sicherheit in der Informationstechnik) geprüft und müssen schwere Auflagen zur Sicherheit erfüllen. Nur wenige große Anbieter haben die Möglichkeit diesen Auflagen gerecht zu werden. Dieser Mehraufwand muss finanziert werden wobei das versenden von DE-Mails nicht kostenfrei sein wird. Zurzeit lockt zum Beispiel die Telekom mit dem Angebot alle DE-Mails kostenlos bis zum 01.01.2015. Später wird mit dem Slogan „Einfach wie E-Mail, günstiger wie Briefpost“ geworben. Die tatsächlichen Kosten sind schwer zu finden und unterscheiden sich von den einzelnen Providern.

Nicht nur die DE-Mail Provider sondern auch die Nutzer müssen sich bei DE-Mail akkreditieren. So wird sichergestellt, dass es den Benutzer oder das Unternehmen wirklich gibt. Spam sollt hier also nicht das Problem sein. Jedoch erhält jeder Benutzer eine neue E-Mail Adresse die auf @ANBIETER.de-mail.de endet. Diese Adresse ist bis auf spezielle Gateways für Unternehmen nur per Webbrowser aber nicht mit einem klassischen E-Mail Client abzurufen. Eine Benachrichtigung für eingehende Mails an das klassische E-Mail Konto ist aber möglich.

DE-Mail erfüllt ein hohes maß an Sicherheit. Fast so hoch, dass mich die Anmeldung in Kombination von E-Mail, Captcha Code, PIN und mobileTAN fast in den Wahnsinn treibt. Wer keinen Kennwort Tresor nutzt kommt um das aufschreiben der Daten nicht umher. DE-Mail nutzt man als Normalanwender ja schließlich auch nicht täglich. Beim Senden einer DE-Mail Nachricht kann man unterscheiden zwischen Absenderbestätigung, Einschreiben und Persönlich/Vertraulich.

Wobei sich mir die einzelnen Punkt auch beim genaueren lesen nicht klar sind. Durch das Akkreditierungsverfahren sollte doch der Absender bestätigt sein? Unter Persönlich/vertraulich verstehe ich die der Daten. Aber ist nicht genau das der Grundgedanke dieses Systems? Warum muss ich dies hier extra auswählen und natürlich auch bezahlen?

Weiterhin kann man natürlich nur mit Nutzern einer DE-Mail Adresse kommunizieren. Hier werden zurzeit besonders Behörden auf DE-Mail vorbereitet. Die Suche nach DE-Mail Adressen ist aber nicht so einfach. Wie beim normalen E-Mail Verkehr muss man die Adresse schon kennen. Die Verzeichnissuche von DE-Mail blieb bei mir erfolglos. Weitere Versuche mit dem Telekom Kundensupport über DE-Mail zu kommunizieren blieben bis jetzt ebenfalls erfolglos. Mein DE-Mail Konto blieb mehrere Wochen leer. Ich musste also wieder zum Brief greifen.

Mein Fazit zur DE-Mail: DE-Mail erfüllt beim Thema Sicherheit hohe Standards. Die Implementierung im Unternehmen ist schlecht dokumentiert und mit Einschränkungen im gewohnten Umgang mit E-Mails verbunden. Im privaten Bereich ist die Nutzung umständlich und kompliziert. Man wird DE-Mail nur sehr selten nutzen können.

Für den Umgang von verschlüsselten E-Mails im Unternehmen nutzen wir für Unternehmen jetzt eine Gateway-Lösung welche als Relay alle ein- und ausgehenden E-Mails anhand diverser definierbarer Parameter verschlüsselt bzw. bei eingehenden E-Mails auf öffentliche Schlüssel prüft und die Entschlüsselung übernimmt. Für den Benutzer, automatische E-Mail-Verarbeitung oder z.B. E-Mail Archivierung bleibt dieser Vorgang transparent und erleichtert so die Administration und die Sicherung von privaten Schlüsseln. Weitere Informationen erhaltet Ihr gerne von uns oder über www.datom.de.

 

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.