Gastkommentar zur E-Mail-Sicherheit
Mit Automatisierung der Verschlüsselung Herr werden
Wie E-Mail-Sicherheit in der Cloud im Sinne von Unternehmen und Anwendern realisiert werden kann.
Der Trend zur Cloud betrifft auch E-Mail-Lösungen und Angebote wie Microsoft Office 365 bedienen diesen Bedarf. Sobald jedoch in E-Mails Personendaten kommuniziert werden, sind diese gemäß DSGVO zu schützen, unabhängig davon, ob die Lösung On-Premises oder in der Public Cloud läuft.
Als Schutzmaßnahme nennt die Verordnung die Verschlüsselung. Microsoft bietet dafür Azure Information Protection (AIP). Allerdings verwaltet der Provider und nicht der Anwender die Schlüssel. Das ist wegen des Cloud Acts von 2018 problematisch, denn dieser erlaubt US-Behörden, die Herausgabe von Daten von US-Unternehmen zu fordern, auch wenn diese auf Servern im Ausland gespeichert sind. Die Behörden erhalten also im Zweifel verschlüsselte E-Mails aus O365, können diese dann aber dank der ebenfalls bei dem US-Provider gespeicherten Schlüssel in Klartext umwandeln.
Die Verschlüsselung – beispielsweise mit S/MIME-Zertifikaten – selbst zu organisieren, ist für die meisten Unternehmen und Anwender ebenfalls nicht praktikabel, da sehr aufwändig. Geeigneter ist es, wenn das Verwalten von Schlüsseln und Zertifikaten sowie die Nutzerregistrierung automatisiert erfolgen. Das lässt sich mit einer zusätzlichen E-Mail-Verschlüsselungslösung erreichen, die Nachrichten zudem Ende-zu-Ende schützt und dem Cloud-Anbieter keine Kontrolle über den Schlüsselspeicher gibt. Im Idealfall verschlüsselt die Lösung bei der Migration der E-Mail-Infrastruktur in die Public Cloud auch den vorhandenen E-Mail-Bestand. Unternehmen betreiben so ein sicheres und nutzerfreundliches Kommunikationsmittel in der Cloud.
Lesen Sie mehr zum Thema
