E-Mail Verschlüsselung, De-Mail und die Geheimdienste

Gastbeitrag:

Dieser Artikel wurde von Stefan Cink, Produktmanager bei Net at Work, mir zur Verfügung gestellt

In Europa, vor allem in Deutschland, herrscht große Aufregung, seitdem Edward Snowden sein Wissen über die Überwachungspraktiken der NSA veröffentlicht hat. Die Fachleute sehen sich in ihren schlimmsten Vermutungen bestätigt, der Rest der Welt schreit laut auf und echauffiert sich über die Datensammelwut der Geheimdienste. Es werden die wildesten Zugeständnisse und Maßnahmen sowohl von der NSA als auch von der nationalen Politik gefordert. Nüchtern betrachtet machen NSA und Co. aus geheimdiensttechnischer Sicht einen ordentlichen Job und ganz realistisch betrachtet wird kein deutsches Datenschutzgesetz oder die zahlreichen Ministerbesuche jemals etwas daran ändern. Es müssen also andere Vorkehrungen getroffen werden, um das Schnüffeln zu erschweren und damit unproduktiv zu machen.

Die Story mit der Postkarte

Folgendes Beispiel aus dem Alltag soll die Skurrilität der aktuellen Situation etwas verdeutlichen:

Vor gar nicht allzu langer Zeit, habe ich bei einer Versicherung einen Vertrag geschlossen. Dabei ist mir ein Fehler bei der Angabe meiner Kontodaten unterlaufen. Die Versicherungsgesellschaft konnte demzufolge den monatlichen Beitrag nicht einziehen. Nach wenigen Tagen erhielt ich einen Brief, in dem die Versicherung mich auf den Fehler hinwies und mich um Korrektur meiner Kontodaten bat. Die korrekten Kontodaten sollte ich durch folgendes, praktischerweise mitgeschicktes Medium zur Verfügung stellen:

Eine simple Postkarte. Nachdem ich meine Sprache wiedergefunden hatte, rief ich die Versicherung an und forderte eine Erklärung dieser Vorgehensweise. Die nette Dame in der Hotline empfahl mir den Einsatz eines Briefumschlags, um meine Daten auf dem Rückweg besser zu schützen. Auf meine Frage hin warum dieser nicht gleich beiliegen würde und so der Datenschutz der Kunden nicht unerheblich erhöht würde, erklärte sie mir, dass es für die Kunden so viel einfacher sei. Die meisten Kunden würden die Postkarte ausfüllen und einfach zurückschicken.

Im Nachhinein bin ich für diesen Zwischenfall mehr als dankbar. Diese Postkarte ermöglicht es mir, den Sinn der E-Mail-Verschlüsselung sehr anschaulich zu demonstrieren und den Menschen vor Augen zu führen, wie leichtfertig mit den privatesten Daten umgegangen wird. Und das lediglich aus Bequemlichkeit. Wenn bereits der Einsatz eines simplen Briefumschlags für den Schutz privater Daten zu viel verlangt ist, brauchen wir eigentlich über die E-Mail Verschlüsselung nicht weiter zu reden, bzw. es wird deutlich, warum S/Mime, PGP und Co. sich bislang nicht entscheidend durchgesetzt haben. In diesem Beispiel kommt zu der einfachen Datenausspähung der Kontodaten noch eine weitere, viel kritischere Komponente hinzu: Meine Unterschrift. Ein potentieller Angreifer hat meine Unterschrift und die damit verbundenen Möglichkeiten sind fast grenzenlos.

Nimmt man nun den gerade geschilderten Fall und erklärt den Firmen dass eine unverschlüsselte E-Mail nichts anderes ist als eine mit Bleistift geschriebene Postkarte (Bleistift = der Inhalt ist veränderbar), sollten in vielen, wenn nicht sogar allen unternehmen die Alarmglocken laut und schrill ertönen. Auch wenn die NSA angeblich keine Wirtschaftsspionage betreibt, so bleibt dennoch der bloße Verdacht im Raum. Die technischen Möglichkeiten sind in jedem Fall gegeben. Der Einsatz der E-Mail Verschlüsselung sollte daher genauso selbstverständlich werden, wie der Griff zum Briefumschlag. Kein unternehmen würde auf die Idee kommen,  Verträge, Kontodaten, Kundendaten, Firmengeheimnisse und anderes schützenswertes Material auf einer Postkarte zu versenden. Warum wird es dann aber mit einer E-Mail gemacht? Die technisch zudem wesentlich leichter auszuwerten ist, als ein Brief. Hier kommt die Bequemlichkeit oder schlichtweg Unwissenheit ins Spiel.

Die Lösung

Gerade im Firmenumfeld gibt es sehr attraktive und leicht umzusetzende Möglichkeiten. Der Einsatz eines E-Mail-Verschlüsselungsgateways ist eine hervorragende Möglichkeit, den Schutz der E-Mail an zentraler Stelle zu gewährleisten. Anhand eines Regelwerks wird sichergestellt, dass bestimmte oder alle E-Mails in jedem Fall gesichert durch das Internet versendet werden. Wenn man dann zusätzlich noch darauf achtet, entsprechend starke kryptografische Algorithmen zu verwenden, ist der Inhalt der E-Mail vor unbefugtem Zugriff geschützt. Edward Snowden hat dies bereits in Interviews bestätigt.

Das Verschlüsselungs-Gateway aus dem Hause Net at Work ist ein solches Gateway. Es bietet dem Administrator mit einer komfortablen Oberfläche die Möglichkeit, das gesamte Schlüsselmaterial unkompliziert zu verwalten. Mit dem übersichtlichen Regelwerk ist er zudem in der Lage, Verschlüsselungsrichtlinien des Unternehmens leicht abzubilden. Auch die Versorgung mit Zertifikaten für die eigenen Benutzer ist kinderleicht und vielfältig. So können z.B. vertrauenswürdige Zertifikate von der Signtrust CA (ein Tochterunternehmen der Deutschen Post) per Knopfdruck beantragt werden. Alternativ ist es möglich, die Zertifikate von einer eigenen Active Directory integrierten Microsoft CA erstellen zu lassen. Dies kann sogar voll automatisch auf Basis von AD-Gruppenmitgliedschaften erfolgen.

Und was ist mit De-Mail?

Die De-Mail steht in der Kritik, potentiell unsicher zu sein. Vom technischen Standpunkt her ist das durch die kurzzeitige Entschlüsselung auch nicht ganz von der Hand zu weisen. Es kursieren aber dennoch auch einige Unwahrheiten. Fakt ist:

  • Die De-Mail wird beim DMDA (De-Mail Dienstanbieter) kurzzeitig entschlüsselt, ...
    ... Um sie auf Spam und Malware zu prüfen. Dies geschieht in einem eigens dafür abgesicherten Bereich beim DMDA.
  • Die De-Mail wird zu jedem anderen Zeitpunkt verschlüsselt übertragen.
    Der Transportweg ist gesichert, auch wenn die Leitung abgehört würde
  • Die De-Mail liegt zu jeder Zeit verschlüsselt im Postfach.
    Sie wurde aber mit einem "Providerschlüssel" verschlüsselt. Jemand muss also die verschlüsselte Mail und den Generalschlüssel entwenden
  • Erst beim Zugriff auf das Postfach wird die De-Mail entschlüsselt
    Der Server entschlüsselt die Mail um sie dann über einen verschlüsselten Kanal (HTTPS) dem Lesenden anzuzeigen.

Zudem verfolgt die De-Mail primär ein ganz anderes Ziel: Die Rechtssicherheit. Diese kann nach heutigem Stand nur mit einem Brief erreicht werden, oder in Teilen in Verbindung mit qualifizierten Signaturen. Im digitalen Zeitalter muss es m.E. auch eine digitale Alternative zum herkömmlichen Brief geben. Aus diesem Gedanken heraus wurde die De-Mail geboren. Die De-Mail kann sicherlich nicht alle Szenarien abbilden, aber vieles ist möglich und es gibt durchaus Potential für weitere Umsetzungen, wenn man zum Beispiel den neuen Personalausweis in Kombination mit einem Zertifikat verstärkt mit integrieren würde. Das De-Mail System wurde auf gängigen Standards aufgebaut (SMTP und S/Mime) und ermöglicht somit eine unkomplizierte Erweiterung dieser zusätzlichen Funktionen.

Durchgängige Verschlüsselung mit De-Mail

Net at Works Verschlüsselungslösung bietet eine nahtlose Anbindung an das De-Mail System. Dabei ist es unwichtig, bei welchem DMDA sich der Kunde befindet. Es bestehen Konnektoren zu allen akkreditierten DMDAs. Die Kombination aus enQsig und De-Mail ermöglicht es, eine verschlüsselte De-Mail zu versenden, die beim DMDA nicht mehr entschlüsselt werden kann. Voraussetzung dafür ist lediglich, dass beide Parteien über ein S/Mime fähiges Zertifikat mit der entsprechenden De-Mail-Adresse verfügen. Dies ist mit enQsig ohne weiteres erreichbar.

Fazit

Die Kommunikation per E-Mail ist aus dem geschäftlichen Alltag nicht mehr wegzudenken. Es besteht aber die Gefahr, dass Daten aus einer unverschlüsselten E-Mail in falsche Hände gelangen. Der Schutz dieser Daten wird durch die Einführung von E-Mail-Verschlüsselung unter Zuhilfenahme des Verschlüsselungsgateways von Net at Work ermöglicht. Der De-Mail Konnektor im Produkt macht es darüber hinaus möglich, auch rechtssichere E-Mails zu versenden, ohne dass Dritte mitlesen können.

Zum Produkt

Das Net at Work Mail Gateway ist eine windowsbasierte Gateway-Software. Sie kann E-Mails zentral signieren, verschlüsseln, entschlüsseln und die Unversehrtheit und Vertrauenswürdigkeit der Signatur prüfen. Des Weiteren gibt es eine erweiterte Routingfunktion mit der abgeschlossene Netze wie De-Mail, ePostbrief oder das DOI-Netz einfach und schnell in die Unternehmenskommunikation eingebunden werden können. Weitere Infos zu dem Verschlüsselungs-Gateway von Net at Work finden Sie hier: http://www.netatwork.de/gateway-solutions/enqsig/uebersicht/