E-Mails optimal verschlüsseln
Arbeit in Steuerberatungskanzleien: Sicher kommunizieren unter erschwerten Bedingungen
Der Einsatz von S/MIME-Zertifikaten ist eine Möglichkeit, um die Datenintegrität und die Herkunft von E-Mails und deren Verfasser nachzuweisen
(12.02.15) - Datenschutz und Datensicherheit gehören zu den Kernthemen, wenn es um die Arbeit in Steuerberatungskanzleien geht, ganz unabhängig von deren Größe. Dabei sind Verschwiegenheitspflicht und Datenschutz wesenhaft für den Beruf des Steuerberaters und Voraussetzungen, um diesen Beruf überhaupt auszuüben. Die gesetzlichen Grundlagen gelten dabei nicht nur für den oder die Steuerberater selbst, sondern auch für deren Mitarbeiter. So ist es denn auch seit mehr als einem Jahrzehnt gesetzlich vorgeschrieben, dass jede Kanzlei einen Datenschutzbeauftragten bestellt, es sei denn sie hat weniger als vier Angestellte.
Sichere Kommunikation....
Heute gehören Internetnutzung und E-Mail-Verkehr wie selbstverständlich zum beruflichen Alltag. Allerdings ist der Inhalt jeder unverschlüsselt versendeten E-Mail für Hacker so gut lesbar wie die vielfach als Beispiel bemühte Postkarte im Briefverkehr. Und nicht nur, weil die elektronische Post gegebenenfalls verschiedene, nicht unbedingt in Deutschland befindliche Knoten passiert und die diversen Geheimdienste millionenfach E-Mails auf verdächtige Inhalte hin scannen.
Schließlich wäre kaum ein Mandat erfreut, wenn beliebig viele andere beispielsweise die Ergebnisse seiner BWA lesen und weiterverwenden können. Nicht wenige Unternehmen, Behörden und Kanzleien gehen dennoch leichtsinnig mit per E-Mail ausgetauschten Inhalten um. Unter Umständen handelt es sich dabei nicht nur um sträflichen, sondern sogar strafbaren Leichtsinn. Vom entstandenen Reputationsschaden ganz zu schweigen.
... unter erschwerten Bedingungen
Aktuell kommt erschwerend hinzu, dass die Bundesregierung Mitte Dezember des letzten Jahres das IT-Sicherheitsgesetz abgesegnet hat. Inhaltlich definiert das Gesetz einen Mindeststandard für IT-Sicherheit in kritischen Infrastrukturen und für Telemediendienste. Darunter versteht der Gesetzgeber aber nicht nur Großkonzerne wie die jüngst in die Schlagzeilen gekommenen Energieversorger, sondern auch mittelständische und kleine Unternehmen sowie Webshops und Websites. Neben der schon existierenden De-Mail kündigt der Gesetzesentwurf eine EU-Richtlinie an, die "Erleichterungen im elektronischen Rechtsverkehr" über gesicherte Leitungen verspricht. Ob diese Ende-zu-Ende-verschlüsselt sein werden oder wie die zitierte De-Mail nur transportverschlüsselt, bleibt allerdings abzuwarten.
Was also tun, um den E-Mail-Verkehr so sicher wie möglich zu machen und berufsrechtskonform abzusichern?
Wirkungsvoll verschlüsseln
Nicht wenige Unternehmen egal wie groß stehen vor schwierigen Entscheidungen, wenn es um sichere Datenübertragung zwischen verschiedenen Interessengruppen geht. Virtuelle Teams aus internen Kollegen, und externen Partnern müssen effektiv und sicher zusammenarbeiten, und Inhalte an bestehende Mandanten sicher übermitteln. Dazu braucht man eine Lösung, die nicht den Kostenrahmen sprengt und die es ermöglicht, die Integrität vertraulicher Daten zu gewährleisten und zu authentifizieren.
Dies gilt insbesondere für Datenübertragungssysteme, die das offene Internet nutzen, um E-Mails weiterzuleiten. Hier müssen die Daten beim Speichern und Übertragen an andere Parteien verschlüsselt sein. Dazu kann man wie schon erwähnt, die gesamte E-Mail verschlüsseln oder einzelne Anhänge und Archive. Auch sollte man bei der Auswahl einer Verschlüsselungslösung bedenken, wie benutzerfreundlich sie für den jeweiligen Anwender in der Praxis ist, wie hoch der Administrationsaufwand und natürlich die mit der Lösungen verbundenen Kosten.
S/MIME
Der Einsatz von S/MIME-Zertifikaten ist eine Möglichkeit, um die Datenintegrität und die Herkunft von E-Mails und deren Verfasser nachzuweisen.
S/MIME oder Secure/Multipurpose Internet Mail Extensions ist der Industriestandard zur Verschlüsselung mit öffentlichen Schlüsseln bei MIME-basierten Daten und ein von der IETF verfolgter Standard. Seit 1995 auf dem Markt kann die Methode als sicher betrachtet werden. In zwanzig Jahren ist es bisher jedenfalls nicht gelungen, die Verschlüsselung zu knacken.
Das Verfahren funktioniert auf Basis der hybriden Verschlüsselung mit jeweils einem privaten und einem öffentlichen Schlüssel. Diese Art dient dazu die Integrität der Nachricht zu gewährleisten, authentifiziert Absender und Empfänger und schützt die Daten mittels kryptografischer Methoden.
Die Digitale Signatur bildet sozusagen die Voraussetzung für den sicheren Austausch der Schlüssel und garantiert die sogenannte "Unleugbarkeit der Nachricht". Der Inhalt der Mail bleibt dann zwar sichtbar, sie bekommt aber eine kryptografische Signatur. Diese wird über den Text der jeweiligen Mail errechnet. Ist die Signatur beim Empfänger in Ordnung, ist auch der Inhalt nicht verändert worden.
S/MIME einsetzen
Das S/MIME-Protokoll nimmt einen ständig größer werdenden Raum im Kommunikationsspektrum ein. Im Laufe der Zeit hat es sich als robust genug erwiesen einer Reihe von verschiedenen Umgebungspräferenzen und -anforderungen gerecht zu werden. Aus diesem Grund müssen browserbasierte Webclientausführungen sowie Desktop- und Serverausführungen in dieser Hinsicht zusammenarbeiten.
Hierbei kann das System in gewissem Maße ein paar Fallen stellen, denn es ist nicht immer möglich, zukünftigen Bedarf und zurückliegende Bedürfnisse mit den gleichen Einstellungen zu erfüllen.
Die für digitale Signaturen verwendeten Algorithmen, z.B. Hashing, haben sich in den letzten Jahren weiterentwickelt (von MD5 über SHA1 und nun SHA2). In gleicher Weise hat sich die asymmetrische RSA-Schlüssellänge, die für Signaturen notwendig ist, von 1024 zu 2048 entwickelt. Verschlüsselung hat sich von Triple-DES (3DES) zu verschiedenen AES-Stärken (der Advanced Encryption Standard) verlagert.
Verschlüsselungsstärke versus Kompatibilität
Vergleicht man die Stärken und Schwächen S/MIME-kompatibler E-Mail-Clients, ergibt sich daraus, welcher Methode man den Vorzug gibt. Müssen beispielsweise in einem typischen B2B-Umfeld verschlüsselte Nachrichten außerhalb des Unternehmensnetzwerks ausgetauscht werden, greift das Unternehmens-Directory nicht mehr. Will man in diesem Szenario erstmalig E-Mails austauschen, müssen die Nutzer digital signierte Mails wechseln, um dann anschließend verschlüsseln zu können. Gibt es gemeinsam genutzte und öffentlich zugängliche Archive für S/MIME-Zertifikate, entfällt diese Anforderung und vereinfacht den Verschlüsselungsprozess.
Fast alle Nutzer von E-Mails-Clients können sowohl den Signaturalgorithmus als auch den Verschlüsselungsalgorithmus festlegen. Bei der Auswahl der Signaturalgorithmen gerät man leicht in Versuchung automatisch den aktuell stärksten Algorithmus zu nutzen. Im Fall von Outlook 2010 wären das SHA-256 bis SHA-512. Das ist einerseits beruhigend, was die Stärke der Verschlüsselung anbelangt, unter Umständen aber mit Kompatibilitätsproblemen erkauft. Auch wenn die Auswahl an zur Verfügung stehenden Algorithmen in älteren Versionen beschränkt ist, heißt das nicht, dass sie per se unsicher sind. Bestimmte Signaturalgorithmen wie balancieren am besten zwischen universeller Kompatibilität und Stärke des Hash-Algorithmus.
Beim Verschlüsselungsalgorithmus selbst sollte möglichst die stärkste mögliche Verschlüsselung verwendet werden. Das war 3DES im Falle älterer Clients und ist AES-256 bei den moderneren Mail-Clients. Das soll nicht bedeuten, dass die für ältere Mail-Clients zur Verfügung stehenden Verschlüsselungsalgorithmen minderwertig sind. Sie sind durchaus praktikabel, wenn eine bestimmte Kompatibilität gefragt ist. Heißt das Bedürfnis allerdings "maximale Sicherheit über einen langen Zeitraum" sollte man sich für den stärksten der verfügbaren Algorithmen entscheiden. Besteht das Hauptanliegen darin, sich kurzfristig eindeutig zu authentifizieren, sind bewährte Algorithmen gut geeignet.
Fazit
Es existieren verschiedene Lösungen am Markt. Einige von ihnen basieren auf Software-Entwicklungen, die direkt für Steuerberater und Kanzleien gedacht sind oder aus der Finanzdatenverarbeitung stammen.
Will man aber Kompatibilitätsprobleme vermeiden oder eine ausbaufähige Lösung nutzen, die zusätzlich digitale Signatur, Dokumenten-Signieren im Microsoft Office Paket und Authentifizierung enthält, sollte man die Hilfestellung einer Zertifizierungseinrichtung in Betracht ziehen. Für größere Kanzleien bieten sich außerdem sogenannte PKI-Lösungen an, die dann als Managed Services aus dem Rechenzentrum zur Verfügung gestellt werden und sämtliche digitalen Identitäten sicher verwalten. (GlobalSign: ra)
GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.