Virtuelle Poststelle für Mailsicherheit
Gerade einmal 5 % aller E-Mails werden verschlüsselt über den Erdball geschickt. Vielen Firmen ist die Ausstattung einzelner Arbeitsplätze mit Verschlüsselungsprogrammen für E-Mail jedoch zu aufwändig. Nicht nur Investitions-, sondern auch Organisations- und Schulungskosten halten sie von mehr Sicherheit ab.
Einen Ausweg aus dem Kosten-Nutzen-Dilemma der IT-Sicherheit sucht die in dieser Woche gegründete „SecurE-Mail-Alliance“. Die Allianz, bestehend aus der IT-Sicherheitsfirma Utimaco Safeware, Siemens I&S, der Bechtle AG und weiteren sechs Unternehmen, will „pragmatische Lösungskonzepte für E-Mail-Sicherheit auf breiter Basis“ bieten. Zwar steht seit Jahren das Thema E-Mail-Sicherheit ganz oben auf der To-do-Liste vieler Unternehmen, aber bis auf wenige isolierte S/MIME- oder PGP-Inseln gibt es in der Praxis kaum unternehmensweite und -umfassende Lösungen.
Die Folge: In der Regeln kommunizieren Unternehmen untereinander auf unsicheren Kanälen. Die Allianz will nun Organisationen und Industrieunternehmen „schnell und mit geringen Investitionen einen großen Schritt in Richtung E-Mail-Sicherheit bringen“, sagt Utimaco-Vorstand Norbert Pohlmann.
Unter dem Schlagwort „virtuelle Poststelle“ will sie standardisierte Client- und Serverlösungen für die Verschlüsselung mit dem Signieren von E-Mails kombinieren. Dabei wird die E-Mail der Mitarbeiter nicht mehr auf seinem Arbeitsplatz, sondern auf einem Zentralserver ver- und entschlüsselt. Die Kernkomponente des Lösungskonzepts besteht in dem von Utimaco Safeware entwickelten SecurE- Mail-Gateway. Aufgrund der Standardisierung könnten Firmen dann auch untereinander sicher kommunizieren.
Anders als bei der herkömmlichen End-to-End-Verschlüsselung brauchen die Nutzer weder Schulung noch zusätzliche Anwendungen oder Geräte wie etwa einen Smartcardleser am Arbeitsplatz. Sie sehen die E-Mails immer im Klartext, da die Entschlüsselung automatisch abläuft. Beim Versenden werden die E-Mails ebenfalls automatisch verschlüsselt, wenn ein Schlüsselzertifikat vorliegt.
Da E-Mails mit Firmenzertifikaten verschlüsselt und signiert werden, entfällt der Verwaltungsaufwand für Nutzerzertifikate. Der Verlust eines privaten Krypto-Schlüssels spielt dann natürlich keine Rolle mehr, da die Verschlüsselung zentral stattfindet. Auch kann die Firma zentral Viren und Inhalte der gesamten ein- und ausgehenden elektronischen Post prüfen.
Mitarbeiter können dann nicht mehr ohne Wissen des Chefs private E-Mails verschicken. Auch Vertretungs- und Sekretariatsregelungen lassen sich dann einfacher finden. Außenstellen, Home Offices und Geschäftspartner können mit PGP-, S/MIME- oder ISIS-MTT-konformen Clientlösungen teilnehmen. Selbst verschlüsselte Dateianhänge, wie sie beispielsweise beim Online-Dienst AOL nötig sind, da dort keine Verschlüsselungsstandards eingesetzt werden können, stellen kein Problem dar. Ver- und Entschlüsselung ohne jeden Aufwand für den User – solche Lösungen hätten das Zeug, sich durchzusetzen.
CHR. SCHULZKI-HADDOUTI