Efail-Schwachstelle und die Zukunft der eMail-Verschlüsselung

„Nicht das Verschlüsselungsverfahren, sondern die Implementierung ist das Problem“

| Autor: Manfred Klein

Welche konkreten Schritte sollten die Software-Anbieter jetzt unternehmen?

Nguyen: Wir müssen uns darauf konzentrieren, die Tools, die Protokolle und auch die Benutzerfreundlichkeit weiter zu verbessern. So muss das Nicht-Laden von HTML-Inhalten in allen eMail-Programmen standardmäßig eingestellt sein. Zudem müssen die technischen Standards zur Mailverschlüsselung – OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions) – weiterentwi-ckelt werden. Zu deren Entstehungszeit in den 90er Jahren waren heute entdeckte Schwachstellen noch nicht vorhersehbar. Moderne Verschlüsselungstechnik – wie sie Instant Messenger-Dienste einsetzen – können hier den Weg weisen. Dabei kommen authentifizierte Verschlüsselungsverfahren zum Einsatz, die sofort erkennen, ob die Mail auch tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde.

Zu aufwendig und fehlendes Know-how: Das nennen Anwender als die häufigsten Gründe, auf eine eMail-Verschlüsselung zu verzichten. Lässt sich daran etwas ändern?

Nguyen: Jede Technikadaption steht und fällt mit der Nutzerfreundlichkeit. Der Vorgang der Verschlüsselung sollte daher so einfach wie möglich gestaltet werden und den Anwender in seiner täglichen Arbeit so wenig wie möglich einschränken. Wie das gehen kann, zeigt die Bundesdruckerei mit ihrem Partner Net at Work auf der CEBIT. Bei der sogenannten Secure-Mail-Gateway-Lösung werden die Mails und dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss. Auf dem Mail-Gateway lassen sich auch die notwendigen Lösungskomponenten, wie Zertifikate und Schlüssel, automatisiert verwalten.

Wie können Unternehmen das Verschlüsseln ihrer Mails konkret angehen?

Nguyen: Nicht den zweiten Schritt vor dem ersten gehen. Bedeutet, erst kommt die Bedarfsanalyse und das Konzept, dann wird die technische Infrastruktur umgesetzt. Wichtig ist es oft, im Unternehmen ein Bewusstsein für das Thema zu schaffen.

Herr Nguyen, Sie sind Geschäftsführer eines sogenannten Vertrauens-diensteanbieters (VDA). Welche Rolle spielen VDA bei der eMail-Verschlüsselung?

Ergänzendes zum Thema
 
White Paper zur eMail-Verschlüsselung

Nguyen: Die eMail-Verschlüsselung im Unternehmensumfeld basiert auf einem Verfahren mit zwei Schlüsseln, einem öffentlichen und einem privaten. Um sicher zu stellen, dass die Nachricht tatsächlich vom angegebenen Absender stammt, wird der öffentliche Schlüssel den jeweiligen Identitäten zugeordnet. Dies erfolgt in Form von digitalen Zertifikaten. Digitale Zertifikate samt den dazugehörigen Schlüsselpaaren müssen erstellt, verteilt, geprüft und verwaltet werden. Dafür wird eine sogenannte Public-Key-Infrastruktur benötigt. Ihr Aufbau und Betrieb ist eine komplexe Aufgabe, die von den Vertrauensdiensteanbietern übernommen wird. Sie übernehmen damit die Rolle einer vertrauenswürdigen Instanz und sorgen für Sicherheit und Zuverlässigkeit.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45343685 / Standards & Technologie)