Viele Unternehmen schrecken nach wie vor zurück, ihre E-Mails zu verschlüsseln. Der Aufwand erscheint ihnen oftmals zu hoch, denn bei den Verschlüsselungsverfahren für E-Mails haben sich mittlerweile die zwei kompliziert erscheinenden Standards PGP (Pretty Good Privacy) und S/Mime durchgesetzt. Beide Techniken bieten zwar eine hohe Sicherheit, dass der Inhalt der Nachricht von Unbefugten weder gelesen noch manipuliert werden kann, doch sie haben auch ganz entscheidende Nachteil.

Denn bevor der gesicherte Austausch von E-Mails möglich ist, sind umfangreiche Konfigurationsschritte durchzuführen. Die notwendige Software muss auf den Clients installiert werden, und es muss eine sogenannte Zertifikatsumgebung im Unternehmen errichtet werden.

Darüber hinaus verschlüsseln beide Verfahren die Mail komplett, das heißt sie kann nur vom vorgesehenen Empfänger gelesen werden. Damit ist auch ein Scannen auf Viren und Spam erst auf dem Endgerät möglich. Wenn der E-Mail-Client die verschlüsselten Nachrichten auch verschlüsselt abspeichert, entsteht eine zusätzliche Gefahr: Geht der zur Entschlüsselung notwendige Schlüssel verloren, oder der Mitarbeiter verlässt kurzfristig das Unternehmen, lässt sich die Nachricht nicht mehr lesen. Dies kann das Einhalten von Unternehmensrichtlinien (Compliance) deutlich erschweren.

Verschlüsselung am Mail-Gateway

Neue Verschlüsselungstechniken haben diese Mankos überwunden. Die Idee dahinter: Die Ver- und Entschlüsselung erfolgt direkt am Mail-Gateway anstatt über eine aufwändige Zertifikatsinfrastruktur am Client.

Dabei sollen dennoch Standards wie PGP, das mit 60 Prozent aller Clients das am weitesten verbreitete Protokoll zur E-Mail-Verschlüsselung ist, zum Tragen kommen. Dabei bieten Java-basierte Lösungen einen ganz besonderen Vorteil: Der Absender benötigt weder spezielle Software noch Signaturen oder öffentliche Schlüssel. Zudem muss auch der Empfänger keinerlei Software oder Schlüssel installieren. Daher eignet sich dieser Ansatz nicht nur für die Kommunikation im Geschäftsleben, sondern auch besonders gut für den kostenoptimierten Massenversand an Endverbraucher.

Verbleiben die Schlüsselinformationen bis zum eigentlichen Austausch zentral auf dem Server, profitieren die Absender von einem weiteren Plus: Sie können genau nachvollziehen, ob und zu welchem Zeitpunkt ein Empfänger die Nachricht geöffnet hat. Eine weitere Möglichkeit, die sich mit der Technik anbietet, ist das gezielte Zurückziehen oder zeitliche Begrenzen von E-Mail-Nachrichten. Dabei wird der auf dem Server gespeicherte Schlüssel zu einem bestimmten Zeitpunkt als ungültig deklariert. Versucht ein Empfänger, die Nachricht nach diesem Zeitpunkt zu öffnen, wird er darüber informiert, dass dies nicht mehr möglich ist.

Verschlüsselung vergessen? Das Gateway merkt`s

Verschlüsselungslösungen sind dann besonders sicher, wenn zusätzliche automatische Kontrollen vor dem Versand erfolgen. So lässt sich vermeiden, dass vertrauliche Informationen versehentlich als Klartext gesendet werden. Mehrere Wege bieten sich an, um dieses Ziel zu erreichen - am sichersten ist eine Kombination:

Erstens: Zentral definierte Regeln bestimmen, dass Nachrichten an eine bestimmte Domain oder an einen bestimmten Empfänger immer verschlüsselt werden müssen. Zweitens erteilt der Absender den Befehl, dass die E-Mail verschlüsselt verschickt wird. Und schließlich erkennt der Server, dass eine E-Mail sensible Inhalte enthält, und verschlüsselt sie dann eigenständig, sprich "Content-basiert". Findet sich beispielsweise das Wort "vertraulich" im Text oder in der Betreffzeile, ist ein Versand im Klartext nicht mehr möglich. Dabei ist auch eine Kombination von Wörtern im Nachrichtentext (beispielsweise Kredit, Schufa, Bonität) möglich.

In vielen Branchen, insbesondere im Finanz- oder Healthcare-Sektor, besteht für Unternehmen eine Informationspflicht. Um dieser nachzukommen und die notwendige Vertraulichkeit sicher zu stellen, verschicken sie sensible Inhalte wie Kontoauszüge, Rechnungen oder persönliche Gesundheitsinformationen bisher häufig mit der Post. Diese Vorgehensweise verursacht immense Portokosten.

Weitere Kosten entstehen bei der sich anschließenden Bearbeitung, wenn die eingegangenen Daten manuell erfasst werden.

Das Beispiel des US-amerikanischen Rentenversicherers Charles Schwab zeigt, dass es auch anders geht. Bisher versendete das Unternehmen im Quartal 350.000 Abrechnungen oder Kontoinformationen per Post an seine Kunden. Um die Portokosten und den Zeitaufwand für den Versand zu senken, bot das Unternehmen seinen Kunden an, die Post in Form von verschlüsselten E-Mails zu schicken. Mit Erfolg: Nach einer Analyse der Gartner Group sparte das Unternehmen dadurch jährlich 140.000 US-Dollar ein.

Und das, obwohl im ersten Jahr nur etwas über zehn Prozent der Kunden das Angebot annahmen, vom bisherigen Postweg auf eine vierteljährlichen E-Mail-Zustellung umzustellen. Die organisatorischen Kosten sind dabei noch nicht berücksichtigt - und diese machen in der Regel einen Großteil der Kosten aus. So veranschlagt beispielsweise ein deutscher Finanzkonzern nach einer internen Studie zehn Euro pro Brief. ARO