Automatische Verschlüsselung mit E-Mail Gateways

Trotz vielfältiger Sicherheitsprobleme und der einfachen Möglichkeiten, den E-Mail-Verkehr im Internet mitzulesen scheuen viele Unternehmen den Aufwand, vertrauliche elektronische Post zu verschlüsseln und zu signieren. Eine sichere E-Mail-Lösung steht zwar bei vielen Unternehmen auf der To-Do-Liste, doch mit der Umsetzung hapert es. Laut einer Studie der Sicherheitsexperten des unabhängigen Ponemon-Instituts verfügten 2007 lediglich 26 Prozent der deutschen Unternehmen über eine Verschlüsselungsstrategie.

Die Ursache für die zögerliche Einführung von E-Mail-Sicherheit liegt zum einen in der mangelnden Akzeptanz von Mitarbeitern und Kommunikationspartnern. Zum anderen schlagen der hohe Administrationsaufwand und Kosten für die Infrastruktur zu Buche – Client-Software, Lesegeräte, Helpdesk und Zertifikatsmanagement belasten Administratoren und den Firmenetat.

Diese Probleme lassen sich vor allem auf das vorherrschende clientbasierte Sicherheitskonzept zurückführen. Bei diesem so genannten End-to-End-Ansatz wird die Verschlüsselung, Entschlüsselung und das Signieren von E-Mails sowie deren Verifikation auf dem lokalen Anwenderrechner durchgeführt. Jeder PC muss hierfür mit einem sicheren E-Mail-Client mit Kryptografie-Funktion ausgestattet werden.

Die Krypto-Fähigkeit bringt die Mail-Software entweder von Haus aus mit – wie etwa Outlook - oder sie wird über Plug Ins nachgerüstet. In der Regel werden alle Mitarbeiter über eine zentrale Public Key Infrastruktur (PKI) mit eigenen und fremden Schlüsseln versorgt, die sie auf ihren PCs dezentral verwalten. Auf diese Weise ist es möglich, dass E-Mails durchgängig vom Sender zum Empfänger in geschützter Form versendet werden können – daher der Name „End-to-End“.