Gateway-Ansätze dominieren E-Mail-Verschlüsselung. Serverbasierte Lösungen zur Verschlüsselung der elektronischen Post haben gegenüber Client-Ansätzen einige Vorteile, aber auch bei ihnen ist eine »Verschlüsselungs-Koordination« zwischen Absender und Empfänger notwendig. Diese ist keineswegs trivial.

Gateway-Ansätze dominieren E-Mail-Verschlüsselung

Die elektronische Post ist in den meisten Unternehmen schon längst die wichtigste Kommunikationsform. Eine Absicherung dieser Anwendung durch Verschlüsselung und Absender-Beglaubigung ist deshalb absolut notwendig, auch wenn das vor allem organisatorisch einigen Aufwand bedeutet. Dieser Aufwand ist dann besonders hoch, wenn eine unterbrechungsfreie Absicherung von jedem einzelnen Absender zu jedem einzelnen Empfänger gewünscht wird. Sicherheitstechnisch ist eine solche Lösung das Optimum, organisatorisch ist sie ziemlich komplex. Die meisten Umstände machen dabei die elektronischen Zertifikate. Sie dienen der Beglaubigung des Absenders, indem sie ihn an seinen bei der Verschlüsselungs-Infrastruktur (PKI) benötigten öffentlichen Schlüssel binden.
Die Schlüssel müssen an die PKI-Teilnehmer verteilt und administriert werden. Ihre Erstellung und/oder Zertifizierung durch eine Zertifizierungsstelle ist kostenpflichtig. Weiterer Aufwand entsteht bei der Installation der Verschlüsselungssoftware auf den Client-Rechnern. Ein nicht zu unterschätzender Posten ist auch die Anwenderschulung.  Darüber hinaus macht eine clientseitige Verschlüsslungs- und Zertifizierungslösung eine zentrale Mailprüfung unmöglich. Die Überprüfung einer Mail auf Viren beispielsweise kann erst nach der Entschlüsselung auf der Client-Seite durchgeführt werden, was wiederum mehr Aufwand bedeutet und die Fehler- und Versäumnisquote erhöht. Das Sicherheitsplus der Chiffrierung wird also mit dem Verlust einfacher Prüfmöglichkeiten bezahlt. Bleibt als Alternative die Verlagerung der Ver- und Entschlüsselung auf den Mailserver. Die Entscheidung, wer, was, wo, wann verschlüsselt, findet jetzt im Server statt.

Verfahrenserleichterung hat einen Preis
Eine server-basierte Kombination von E-Mail-Verschlüsselung und digitaler Signatur verwendet etwa der Verpackungshersteller Bischof + Klein in Gestalt des Z1 SecureMail Gateways des Berliner IT-Sicherheitsspezialisten Zertificon Solutions. »Bei uns geht es um Vertrauenswürdigkeit der gesamten elektronischen Post«, erklärt Dieter Schmedt, Leiter des Informationsservice der B+K-Gruppe.
Der Preis für diese Verfahrenserleichterung besteht darin, dass die elektronischen Poststücke hinter dem Mailserver wieder für jeden lesbar sind: »Wir haben das Thema Ende-zu-Ende-Sicherheit nicht aus den Augen verloren, seit wir die Gateway-Lösung von Utimaco im Einsatz haben«, erklärt hierzu Thomas Lelleck, verantwortlich für IT- und IS-Services bei Emitec, einem mittelständischen Automobilzulieferer, meint jedoch: »Da sich der Verschlüsselungsprozess innerhalb unseres Firmennetzwerks abspielt, gehen wir davon aus, dass unser Sicherheitsstatus dennoch ausreichend hoch ist, zumal das von uns benutzte Mailsystem Novell GroupWise eine interne Verschlüsselung kennt«. Der Automobilzulieferer hatte zuvor im Rahmen eines Webzugangs-Pilotprojekts die Client-Verschlüsselungs-Lösung cv act s/mail des Gelsenkirchener Verschlüsselungsexperten Cryptovision getestet. Obwohl die Lösung den technischen Anforderungen durchaus entsprach und für gut befunden wurde, war das Verständnis der Mitarbeiter für die »Handhabung dieser Client-basierten Lösung aufgrund der Komplexität nicht vorhanden« (Originalton Thomas Lelleck).

1. Gateway-Ansätze dominieren E-Mail-Verschlüsselung
2. Gateway-Ansätze dominieren E-Mail-Verschlüsselung (Fortsetzung)