Clientbasierte Verschlüsselung ist derzeit auf dem Rückzug

Ein Grund für die weit verbreitete Fahrlässigkeit der Unternehmen in Sachen elektronischer Post ist gewiss die Tatsache, dass Sicherheit auch in diesem Fall nicht zum Nulltarif zu haben ist. Freilich würde doch niemand bei der gelben Post auf das Kuvertieren verzichten, weil dieses zu viel Mühe macht und stattdessen Aufträge und Rechnungen per Postkarte verschicken. Im E-Mail-Bereich ist diese Absurdität immer noch gang und gäbe. Wenn eines sicher ist bei E-Mail, dann dies: Die Anbieter versuchen die Verschlüsselungs-Konzepte so einfach wie möglich zu gestalten und bieten mittlerweile eine Unmenge von technischen Varianten an, um dies zu erreichen. In diesem Bestreben werden viele ursprüngliche Sicherheitsmerkmale zuweilen wieder aufgeweicht, auch dürften viele »Vereinfachungen« sich zumindest dann als tatsächliche Erschwerungen herausstellen, wenn sie in großem Unternehmensmaßstab eingesetzt werden. Noch vor fünf Jahren war es eigentlich Konsens, dass eine sichere Verschlüsselungslösung am einzelnen Arbeitsplatz anzusetzen hat. Nur dort kann schließlich verlässlich entschieden werden, was verschlüsselt werden muss und wer das Recht dazu hat. Nur eine Einzelperson kann letztlich verlässlich elektronisch signieren, denn nur bei dieser Einzelperson kann sinnvoller Weise der private Signierschlüssel deponiert werden, vorzugsweise auf einer Smartcard. Die Nachteile dieses Verschlüsselungsansatzes direkt am Arbeitsplatz traten indes schnell zu Tage. Wenn durchgängig verschlüsselt wird, werden Virenschutz und Inhaltsfilter stumpf, die Verantwortung liegt ganz beim einzelnen Mitarbeiter und die Verwaltung solcher Systeme ist ziemlich aufwändig. Ein Ausweg aus dem Dilemma scheint die sogenannte Gateway-Verschlüsselung zu sein. Hier wird die ganze Arbeit zentral auf einem dafür ausgelegten Server gemacht. Praktisch alle Anbieter bieten heute diese Variante an, teilweise sogar ausschließlich. Lediglich der Gelsenkirchener Anbieter Cryptovision hält nach wie vor an clientbasierter E-Mail als der hauseigenen Standardlösung fest. Man hat entsprechend sicherheitsbewusste Kunden wie die Bundeswehr und andere Behörden. Gateway-Lösungen realisiert man nach Aussage von Produktmanager Klaus Schmeh mit Partnern. Andere Protagonisten wie PGP, Utimaco oder Trend Micro bieten wahlweise ebenfalls clientbasierte E-Mail-Verschlüsselung an, als Standard fungiert aber bei ihnen das zentrale Verschlüsselungs-Gateway. Lange Zeit hat das deutsche Bundesamt für die Sicherheit in der Informationstechnik (BSI) clientbasierte Lösungen propagiert, mit dem »institutionellen Segen« für die virtuelle Poststelle des Bundes auf der Basis des Gateway-Produkts Julia (von ICC) ist man vor einigen Jahren dann von den eigenen strengen Vorgaben abgewichen.