Thought Leadership
Wer heute noch Wirtschaftsdaten unverschlüsselt per E-Mail versendet, der handelt grob fahrlässig. Nicht nur aufgrund der Europäischen Datenschutz-Grundverordnung (EU-DSGVO), sondern weil es folgende Szenarien begünstigt: Unternehmen, die seit Jahren mit Steuerberatern und Rechtsanwälten unverschlüsselt kommunizieren, bieten Cyberkriminellen ihre sensiblen Informationen auf dem Präsentierteller an.
Und schlimmer, sie wissen oft nicht einmal, ob ein Datenmissbrauch vorliegt. Die Folgen können enorme finanzielle Schäden sowie Imageverluste durch Insidergeschäfte, Erpressungen und Nachteile gegenüber Wettbewerbern sein. Aus diesem Grund legt die DATEV eG als Softwarehersteller und IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sowie deren Mandanten großen Wert auf Datenschutz. Eine Lösung zur sicheren E-Mail-Kommunikation ist daher ein unverzichtbarer Teil der Sicherheitslösung DATEVnet.
Zugegeben, die oben beschriebenen Fälle sind rein hypothetisch. Unwahrscheinlich sind sie aber nicht, denn eine unverschlüsselte E-Mail hat den gleichen Sicherheitsstatus wie eine Postkarte. Gerade Branchen, die hochsensible Daten versenden und verarbeiten oder in denen Vertrauen eine zentrale Rolle spielt, setzen bereits auf E-Mail-Verschlüsselung und verlangen dies auch von ihren Partnern und Dienstleistern. In Zeiten digitaler Kommunikation ist für sie eine IT-Sicherheitslösung ohne zuverlässige E-Mail-Verschlüsselung nicht mehr ausreichend. Zudem kommt für alle Unternehmen eine weitere rechtliche Anforderung ins Spiel: Die DSGVO hat das alte Bundesdatenschutzgesetz abgelöst und verlangt, alle personenbezogenen Daten nach dem Stand der Technik zu schützen. Für Unternehmen führt also kein Weg mehr an der Verschlüsselung vorbei.
Damit die Sicherheitslösung DATEVnet stets auf dem aktuellen Stand der Technik ist, führt die DATEV regelmäßige Marktbeobachtungen durch. Teile der einzelnen DATEV-Lösungen werden dann gegebenenfalls aktualisiert oder durch neue Teile mit erweiterten Funktionen ersetzt. „Wir gehen davon aus, dass unsere Kunden aufgrund der EU-DSGVO vermehrt verschlüsselte Kommunikation nutzen werden“, sagt Christian Bachhuber von der Abteilung Kommunikationsprodukte bei der DATEV. Er ist dort für die reguläre Aktualisierung verantwortlich. „Aus diesem Grund ist es für uns sehr wichtig, dass DATEVnet zum einen die standardisierten Verschlüsselungsverfahren wie S/MIME und OpenPGP unterstützt. Da Verschlüsselungsverfahren immer noch nicht im Mainstream angekommen sind, ist es für uns ebenfalls sehr wichtig, dass bereits die erste Kommunikation verschlüsselt ablaufen kann und die Lösung für IT-Laien leicht zu bedienen ist. Wir suchten also eine benutzerfreundliche Lösung, die automatisch aus verschiedenen Verschlüsselungsverfahren das jeweils Beste auswählt. Auf der CeBit in Hannover fiel uns SEPPmail mit seiner integrierten GINA-Technologie ins Auge.“ Die Lösung beherrscht alle gängigen Verschlüsselungsverfahren und wählt automatisch das geeignetste aus. GINA kommt dabei immer dann zum Einsatz, wenn zwischen zwei Parteien zuvor noch keine verschlüsselte Kommunikation etabliert werden konnte.
Doch wie funktioniert die Verschlüsselung von E-Mails im Alltag?
Im besten Fall haben zwei Parteien eine verschlüsselte E-Mail-Kommunikation etabliert. Bevor eine Nachricht das System des Absenders verlässt, durchläuft sie in jedem Fall die Appliance. Dort wird entschieden, welche Methode zum Einsatz kommt. Hat der externe Empfänger früher schon einmal eine E-Mail mit einem offiziellen S/MIME-Zertifikat gesendet, wurde der darin befindliche, öffentliche Schlüssel oder „Public-Key“ automatisch ausgelesen und kann bei der nun anstehenden Verschlüsselung verwendet werden. Ist dies nicht der Fall, prüft die Appliance, ob ein PGP-Key eingeliefert und als vertrauenswürdig eingestuft wurde. Ist beides nicht der Fall, greift sie auf die sogenannte Domain- oder TLS-Verschlüsselung zurück. Wenn der Empfänger überhaupt keine Verschlüsselung nutzt oder es sich um die erste sichere Kommunikation handelt, bietet die Appliance mit der patentierten GINA-Technologie eine sichere Lösung an: Sie verschlüsselt die Nachricht und versendet sie als html-Anhang mit einer Träger-E-Mail. Somit ist die E-Mail ausgeliefert und liegt vollständig auf dem Empfängersystem vor. Zudem erstellt die Appliance ein Initialpasswort, das dem Absender zugestellt wird. Der Absender teilt es dann dem Empfänger über einen zweiten Übertragungsweg mit, zum Beispiel SMS oder Telefon. Den html-Anhang kann der Empfänger auf jedem Gerät öffnen, das über einen Internetanschluss und einen Browser verfügt. Er wird dann auf das GINA-Webportal geleitet. Dorthin wird seine Nachricht über eine sichere Verbindung im Hintergrund hochgeladen und entschlüsselt. Damit kann er die Nachricht samt Anhängen lesen und bei Bedarf auch sofort verschlüsselt antworten. Der Vorgang läuft im Hintergrund automatisch ab, weder Absender noch Empfänger nehmen ihn bewusst wahr.
Implementierung
Die DATEV betreibt für DATEVnet mehrere Rechenzentren. In diesen entschied man sich, SEPPmail auf virtuellen Maschinen zu betreiben. In anderen Standorten sollten Hardware-Appliances eingesetzt werden. Die Implementierung wurde von lokalen IT-Teams eigenständig in Kooperation mit dem Support durchgeführt. Ein neues IT-System in eine komplexe IT-Infrastruktur an verteilten Standorten zu integrieren, ist kompliziert, und daher gab es auch einige Herausforderungen zu bewältigen. So gab es zunächst Performance-Einbußen: Das Portal war für den Anwender in der Implementierungsphase nur eingeschränkt zu bedienen.
Die Lösung ist sowohl für die Mitarbeiter von DATEV als auch für die Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sowie deren Mandanten einfach zu bedienen. Für die meisten Anwender können Standardverfahren zur Verschlüsselung eingesetzt werden. Wo das nicht möglich ist, steht mit der GINA-Technologie eine benutzerfreundliche Alternative zur Verfügung. Die Lösung ist mit Blick auf eine steigende Bedeutung der E-Mail-Verschlüsselung im Zuge der EU-DSGVO so implementiert worden, dass sie leicht und flexibel skaliert werden kann.
Fazit
Die EU-DSGVO schreibt den Schutz von Daten nach dem Stand der Technik vor, und dieser Schutz ist sinnvoll, denn unverschlüsselte E-Mails machen es Kriminellen viel zu leicht, Unternehmen und Privatpersonen immensen Schaden zuzufügen. Die Nutzer von DATEVnet haben nun eine einfache Möglichkeit, verschiedene, standardisierte und weit verbreitete Verschlüsselungsmethoden zu nutzen. Empfänger, die selbst nicht verschlüsseln, können mit der patentierten GINA-Technologie E-Mails auf sicherem Weg erhalten und auch ihrerseits verschlüsselt antworten. Die Auswahl der jeweils besten Methode übernimmt die benutzerfreundliche Lösung von SEPPmail vollautomatisch. Sie lässt sich mit Blick auf die anstehende Verschärfung des Datenschutzes durch die EU-DSGVO flexibel skalieren. Auch der Versand von vertraulichen Dateianhängen ist zu realisieren.
