parallax background

Auto-TLS: Wie sich Aufwand und Ertrag in der E-Mail-Verschlüsselung die Waage halten (Teil 1)

27/07/2017
Heute schon getrickst? Von E-Mail Missverständnissen und Halbwahrheiten (Teil 2)
19/07/2017
Auto-TLS: Wie sich Aufwand und Ertrag in der E-Mail-Verschlüsselung die Waage halten (Teil 2)
08/08/2017
 

"Wir verschlüsseln unseren E-Mail-Verkehr nicht, da die Benutzerakzeptanz beim Sender und/oder Empfänger schlicht mit keiner Lösung gegeben ist. Das Geld für eine Lösung, welche nicht konsequent genutzt wird, setzen wir dann lieber anderswo ein…"

Kennen Sie diese Art von Aussagen? Solche und ähnliche Statements sind leider viel zu oft zu hören.

Wie grundsätzlich beim Thema IT-Security, ist die Wahrnehmung meist auch bei der E-Mail-Verschlüsselung; Je höher der Sicherheitslevel, desto schlechter fällt die Benutzerfreundlichkeit aus. Nach einer solchen Aussage sollte die Diskussion vertieft, anstatt beendet werden.

Die folgende Frage gilt es zu klären: Wurde nach Erkennung des Bedarfs an E-Mail-Verschlüsselung direkt eine Produkt-Evaluation gestartet und wurde vorgängig der Bedarf nach mehr IT-Sicherheit genauer abgeklärt und spezifiziert?

Wird für die Beschaffung einer Verschlüsselungslösung eine einfache Produkt-Evaluation wie bei normaler Standard Software (z.B. einer Suite zur Text- und Tabellenverarbeitung) gestartet, führt dies meistens nicht zu einem erfolgreichen Einsatz der Lösung. Die eingeführten Produkte sind dann zu restriktiv, oftmals umfangreich oder setzen an einem falschen Punkt an.

Sinnvoller ist es, den Bedarf vorgängig detailliert zu klären. Es gilt einige Fragen zu beantworten, welche einem dabei helfen, die für seinen Bedarf / sein Unternehmen richtige Lösung zu finden.

  • Wollen wir unseren E-Mail-Verkehr schützen oder sind wir gesetzlich dazu verpflichtet?
    • Weshalb und warum wollen wir den E-Mail-Verkehr schützen?
    • Welchen Nutzen hat für uns die Verschlüsselung unseres E-Mailverkehrs und wie viel ist uns das wert?
    • Welche Anforderungen, welches Level an Verschlüsselung stellt/verlangt das Gesetz?
  • Sollen/müssen alle Mitarbeitenden die Möglichkeit haben, den Mailverkehr zu verschlüsseln?
    • Oder gibt es nur einen kleinen Benutzerkreis, welcher auf eine umständlichere Lösung geschult und sensibilisiert werden kann?
  • Findet die verschlüsselte Kommunikation ausschliesslich in eine Richtung statt (von uns zum Kunden/Partner)?
    • Oder sollte der Kommunikationspartner, unabhängig von seiner technischen Infrastruktur, ohne Umstände verschlüsselt antworten können?

Mögliche Antworten dazu werden im Beitrag «Auto TLS: Wenn sich Aufwand und Ertrag in der E-Mail-Verschlüsselung die Waage halten - Teil 2» genauer behandelt.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.