E-Mail Security in Zeiten von NSA und Datenklau: Interview mit Ralf Nitzgen

NSA-Affäre, Edward Snowden und massenhafter Datenklau bei Unternehmen – wenn diese Affären eines lehren, dann, dass wirksame Verschlüsselungs- und Kryptografie-Techniken zum Schutz von Unternehmensdaten sinnvoll und unabdingbar sind. Die Firma Allgeier IT Solutions bietet mit JULIA MailOffice eine E-Mail-Security Lösung. Mit dem Geschäftsführer des Unternehmens, Herrn Ralf Nitzgen, unterhielten wir uns über darüber, welche Vorkehrungen Unternehmen im Bereich E-Mail-Security treffen sollten.

Ein Interview des Saas-Forum
Frage: NSA, PRISM, Datendiebstahl in Unternehmen – in der Öffentlichkeit ist die Diskussion über Themen zu Datenschutz und Datensicherheit in vollem Gange. Ist diese Diskussion aus Ihrer täglichen Erfahrung mit Kunden auch bei den Unternehmen angekommen?

Ralf-NitzgenNitzgen: Diese Frage kann ich mit einem klaren „JEIN“ beantworten. Wir sehen derzeit drei unterschiedliche Reaktionen. Da gibt es die eine Gruppe von Unternehmen, bei denen die Ereignisse der letzten zwölf bis sechzehn Monate tatsächlich zu mehr Aufmerksamkeit und dem Bewusstsein geführt haben, sich intensiver mit den Themen Datenschutz und Datensicherheit zu beschäftigen. Es gibt aber die Unternehmen, die nach dem Motto verfahren: „Ich habe ja nix zu verbergen“ und sich weiter unbeeindruckt zeigen. Und dann gibt es natürlich Unternehmen, die traditionell – und damit nicht erst seit der durch die Snowden-Enthüllungen losgetreten Diskussion – über ein hohes Schutzbedürfnis ihrer Daten verfügen, z.B. Unternehmen in den Bereichen Healthcare oder Finance. Diese Unternehmen setzen schon seit langem auf IT-Security-Lösungen, die weit über das hinausgehen, was heute als Standard definiert wird.

Frage: Ein Bereich, in dem Datensicherheit und Datenschutz traditionell eine zentrale Rolle spielen, ist der Bereich E-Mail, denn auch heute findet der Großteil der Kommunikation und des Austausches von Informationen und Dokumenten noch über Outlook & Co. statt. Wo bestehen dabei Ihrer Erfahrung nach die großen Gefahren bei der E-Mail-Sicherheit?

Nitzgen: Wenn es um die Sicherheit in der E-Mail-Kommunikation geht, werden in der Regel drei Bereiche unterschieden: Authentizität, Integrität und Vertraulichkeit. Authentizität bedeutet, dass sichergestellt sein muss, dass die E-Mail auch wirklich vom angegebenen Absender stammt. Vertraulichkeit bedeutet, dass kein Dritter – auch kein Geheimdienst – die E-Mail mitlesen kann und Integrität steht dafür, dass der Inhalt der E-Mail bei der Übertragung vollständig und unverändert bleibt.

Die Enthüllungen von Herrn Snowden haben bewusst gemacht, dass es möglich ist, in diesen Bereichen zu manipulieren, ohne dass dies vom Anwender bemerkt wird. Doch es muss gar nicht der ausländische Geheimdienst sein, der E-Mails mitliest oder umleitet. Wir wissen von ganz konkreten Fällen, in denen Ausschreibungen nicht gewonnen wurden, weil zum Beispiel Fristen verpasst wurden, da die entsprechenden E-Mails von Dritten manipuliert wurden.

Frage: Sind diese Gefahren den Verantwortlichen in den Unternehmen bereits bewusst? An welcher Stelle auf der Prioritätenliste steht das Thema E-Mail-Security aus Ihrer Erfahrung heute?

Nitzgen: Das Bewusstsein ist definitiv gestiegen. Aus Anbietersicht müsste man Herrn Snowden also fast dankbar sein, denn er hat „gute Vertriebsarbeit“ geleistet. Leider geht ein Mehr an Sicherheit immer einher mit einem Komfortverzicht beim Anwender. Aus diesem Grund stellt sich trotz des gestiegenen Sicherheitsbewusstseins bei vielen Unternehmen immer noch Frage der Bereitschaft, diesen Komfortverzicht einzugehen und natürlich die Frage, welche Lösung dann zum Einsatz kommt.

Frage: Sie bieten mit JULIA MailOffice eine spezielle E-Mail-Security-Lösung an. Was kann JULIA, was andere nicht können?

Wir haben uns bei JULIA MailOffice speziell auf das eben angesprochene Verhältnis von Sicherheit und Komfort konzentriert. Das bedeutet für uns, unseren Kunden ein möglichst hohes Sicherheitsniveau bieten zu können, ohne dass sie auf den bisherigen Komfort bei der E-Mail Kommunikation verzichten müssen.

So bieten wir unseren Kunden die Möglichkeit, JULIA MailOffice individuell auf ihre Anforderungen anzupassen und dabei u.a. festzulegen, welche Verschlüsselungsprozesse genutzt werden und wie Mitarbeiter in diese Verschlüsselungsprozesse eingreifen können. Als reine Gateway-Lösung kann JULIA MailOffice mit allen gängigen E-Mail-Clients, allen voran Microsoft Outlook, eingesetzt werden. An der Benutzeroberfläche ändert sich für den Anwender also schon einmal gar nichts.

Für die Kommunikation mit externen Kommunikationspartnern, die ihrerseits keine Verschlüsselung nach S/MIME oder PGP einsetzen, bieten wir mit einem integrierten Webmailer oder der PDF-Verschlüsselung dennoch einfache und benutzerfreundliche Möglichkeiten zum verschlüsselten E-Mail-Austausch. Beim Webmailer erhält der Kommunikationspartner eine Nachricht mit einem Link auf ein sicheres Webportal, auf dem er auf die eigentliche E-Mail zugreifen kann. Das Passwort zum Zugriff erhält er über eine gesonderte Nachricht.

Bei der PDF-Verschlüsselung wird eine E-Mail vor dem Versand in eine PDF-Datei umgewandelt. Diese PDF-Datei wird verschlüsselt und als Attachment per E-Mail an den eigentlichen Empfänger verschickt. Dieser kann die PDF-Datei dann nur mit einem ihm mitgeteilten Passwort öffnen. Auf diese Art verschlüsselter E-Mail-Kommunikation mit Kunden und Geschäftspartnern setzt die Mehrzahl unserer Kunden wie auch die Gothaer Versicherung.
Und so profitieren JULIA MailOffice Anwender von der Tatsache, dass die Lösung bereits seit mehreren Jahren von zahlreichen Bundesbehörden und namhaften Unternehmen der freien Wirtschaft eingesetzt wird. So ist JULIA MailOffice die E-Mail-Komponente der virtuellen Poststelle des Bundes.

Frage: JULIA MailOffice gibt es neben einer Inhouse-Version auch in einer Cloud-Variante. Cloud Computing und Sicherheit, widerspricht sich das nicht?

Nitzgen: Überhaupt nicht. Eine der Grundregeln in der IT-Sicherheit lautet, den Security-Mechanismus so nahe wie möglich am Objekt zu platzieren. Für den Bereich E-Mail bedeutet dies, dass die Nachricht selbst verschlüsselt wird und dann auch in verschlüsselter Form übertragen wird. Ob die Übertragung dann über ein System, das im Cloud-Modus betrieben wird, erfolgt, ist sicherheitstechnisch unerheblich.

Frage: Aus dem Bereich Viren-Abwehr kennen wir das „Hase-und-Igel-Spiel“ zwischen Viren-Programmierern und den Entwicklern von Viren-Abwehrlösungen. Besteht so ein „Wettkampf“ auch im Bereich E-Mail-Security, bzw. ist so ein Wettkampf denkbar?

Nitzgen: Der angesprochene Wettkampf hat im Bereich E-Mail-Security andere Voraussetzungen als bei der Viren-Abwehr. Hier ist es weniger zeitkritisch. Wir setzen bei unseren Security-Lösungen auf starke, standardbasierte Verschlüsselungsmethoden, die in der Praxis seit langer Zeit und in der Theorie derzeit als nicht korrumpierbar gelten. Daher ist das Gefahrenpotential im Sinne dieses „Hase-und-Igel-Spiels“ wesentlich geringer.

Frage: Wie sehen Sie aus heutiger Sicht die zukünftige Entwicklung im Bereich E-Mail-Security. Welcher Level an Sicherheit ist heute erreichbar und wird sich dieser Level zukünftig verändern?

Nitzgen: Ich gehöre auf jeden Fall nicht zu denen, die der E-Mail einen baldigen Tod voraussagen. Anders als beim Telefax, dass man heute bei immer mehr Unternehmen vergeblich sucht, wird die Einfachheit in der Benutzung dazu führen, dass es E-Mail-Kommunikation auch in absehbarer Zeit noch geben wird. Wenn sich allerdings der Trend zu mehr E-Mail-Sicherheit weiter fortsetzt, kann ich mir gut vorstellen, dass sich die Rolle der E-Mail-Kommunikation verändern wird. Anstatt wie bisher die Inhalte und Informationen selbst zu übertragen, wird E-Mail in Zukunft vielleicht nur noch als eine Art Messaging-Tool benutzt werden, über das lediglich Links auf ein sicheres Webmail-Portal verschickt werden, auf dem dann die eigentlichen Inhalte abgelegt sind. Eine Migration des klassischen E-Mails zu einem integrierten Collaborations-System ist also durchaus vorstellbar.

Vielen Dank für das Gespräch!

Advertisements