Nutzen und Tücken der Mail-Verschlüsselung

Die Unbedarftheit, mit der Anwender täglich ihre elektronische Post handhaben, erschreckt. Sie versenden bedenkenlos Informationen, Dokumente, Terminvorschläge und andere geschäftliche An-gaben - selbst wenn diese noch so vertraulichen Charakter haben. Kaum einer, der dabei auch nur einen Gedanken an die Sicherheit der elektronischen Post verschwendet. Selbst hochgradig geschäftskritische Informationen werden unverschlüsselt, aber mit viel Gottvertrauen übers offene Internet verschickt.

Dabei bietet die Kommunikation über - E-Mail kaum Schutz, birgt im Gegenteil zahlreiche Risiken. Wie leicht können Absenderadressen gefälscht werden, wie einfach öffnen ausgespähte Passwörter den Zugriff auf fremde Briefkästen, wie simpel ist es heutzutage, im Netzwerk abgehörte Korrespondenz unbemerkt mitzulesen.

Dabei existieren längst geeignete Sicherheits-Tools, mit denen sich Absender identifizieren und Mail-Inhalte absichern lassen. Die meisten dieser Verfahren basieren auf einem öffentlichen und einem privaten Schlüssel. Mit Hilfe eines Zertifikats kann der Versender seine Post quasi unterschreiben. Der Empfänger hat so die Gewähr, dass Inhalt und Absender authentisch sind. Noch mehr Sicherheit bringt die Verschlüsselung. Hierzu muss der öffentliche Schlüssel des Empfängers bekannt sein, da dieser Schlüssel für die Codierung eingesetzt wird.

Aufwand ist vielen Firmen zu hoch

Allerdings setzen noch immer zu wenige Unternehmen E-Mail-Verschlüsselung durchgängig ein. Eine der Firmen, die ihre elektronische Post konsequent signieren und nach Möglichkeit auch verschlüsseln, ist beispielsweise die Zürcher Software-Entwicklerin Ergon. Adrian Berger, Leiter der Abteilung Finance and Security Solutions erklärt: «Der Ansporn dazu kam von den Mitarbeitern selbst. Ziel war es, die Authentizität von E-Mails sicherzustellen und die Sicherheit in der Kommunikation zu erhöhen.» Ergon entschied sich für Thawte (siehe Kasten) als Zertifizierungsstelle, wie Sicherheitsspezialist Marc Bütikofer ausführt: «Das System ist einfach zu bedienen, auch wegen des unabhängigen Netzes von Notaren.» Dieses Verfahren ermöglicht es Ergon, eigene Mitarbeiter als Thawte-Notare einzusetzen und die Zertifikate direkt im Unternehmen auszustellen.

Den Teufelskreis durchbrechen

Das konsequente Vorgehen von Ergon ist die Ausnahme. Warum verzichten so viele andere Firmen auf Sicherheit? Berger: «Weil so wenig Mail-Verschlüsselung eingesetzt wird, fehlt die kritische Masse». Ein Teufelskreis, der laut Bütikofer auch technisch bedingt ist. Er verweist darauf, dass der Umgang mit Zertifikaten nicht ganz trivial ist und manchen Anwender an seine Grenzen bringt. Denn mehr E-Mail-Sicherheit bedingt erhöhten Aufwand bei Organisation und Benutzerunterstützung. Bütikofer schätzt, dass grössere KMU die Mehrarbeit aber bewältigen können. Hauptursache für den erhöhten Aufwand ist die Verwaltung der öffentlichen Schlüssel und deren praktische Handhabung. Mit dem herkömmlichen Public-Key-Verfahren ist es beispielsweise umständlich, verschlüsselte Post an mehrere Empfänger zu richten, da diese über unterschiedliche Schlüssel verfügen. Deren Handhabung macht den Umgang mit E-Mails komplizierter, als es die Anwender gewohnt sind.

Angewandt wird Verschlüsselung gemäss Berger zumindest für sensible Daten im Finanzbereich. Dabei kommen auch alternative Methoden zum Einsatz. So kommunizieren viele Banken mit ihren Kunden über Messaging-Funktionen in der E-Banking-Software. Damit haben die Institute den gesamten Kanal unter ihrer Kontrolle. Bütikofer kennt auch andere Alternativen zur Mailverschlüsselung. Etwa können, erklärt er, sensible Daten als geschützte Zip-Datei übermittelt werden. Das nötige Passwort wird separat via SMS nachgereicht.