Wir haben von einem unser­er Kun­den heute ein Schreiben von ein­er sehr großen Öster­re­ichis­chen Ver­sicherung mit fol­gen­dem Inhalt erhal­ten:

Sehr geehrte Geschäftspart­ner,

mit 25. Mai 2018 ist die Daten­schutz Grund­verord­nung (DSGVO) in Kraft getreten. Wir bieten all unseren Geschäftspart­nern die Möglichkeit der TLS Ver­schlüs­selung für EMails. Wenn Sie diese auch bei Ihnen aktiviert haben, kön­nen wir auch Infor­ma­tio­nen mit beson­deren Kat­e­gorien von Dat­en (z.B. Gesund­heits­dat­en) per EMailaus­tauschen. Eben­so sind alle EMails die Sie von uns erhal­ten TLS ver­schlüs­selt.

Diese Nachricht ist lei­der nicht nur tech­nisch, son­dern auch rechtlich falsch.

Auf­grund dessen möcht­en wir hier nochmals die Unter­schiede und Prob­leme mit der Nutzung von TLS oder S/MIME aufzeigen:

TLS

Tech­nisch unter­schei­det man bei der E‑Mail-Ver­schlüs­selung die soge­nan­nte Trans­portver­schlüs­selung und die Inhaltsver­schlüs­selung. Bei der Trans­portver­schlüs­selung wer­den Nachricht­en durch einen ver­schlüs­sel­ten Tun­nel geschickt. Beim Absender und Empfänger, und gegebe­nen­falls auch auf den dazwis­chen­liegen­den Knoten, liegen sie jedoch im Klar­text vor und kön­nen mit­ge­le­sen wer­den.

TLS ist ein nicht zwin­gen­des Pro­tokoll. Es ist etwas was zwis­chen Servern vere­in­bart wird. Kann es der jew­eilige Serv­er, dann wird es ver­wen­det. Kann er es nicht, wird das Mail eben herkömm­lich ver­schickt. TLS bietet auf alle Fälle nicht die von der DSGVO geforderte End-End Ver­schlüs­selung und fol­glich ist diese Art der e‑Mail kom­mu­nika­tion als Data breach zu betra­cht­en und somit meldepflichtig.

Faz­it: TLS ist vol­lkom­men ungeeignet um e‑Mails sich­er zu versenden. Es funk­tion­iert schlicht und ein­fach nicht.

S/MIME

Anders ver­hält es sich bei S/MIME.
Hier wer­den nun in großem Stil von Unterne­hen Zer­ti­fikate gekauft. In der Prax­is bedeutet dies, dass fak­tisch jedes Post­fach ein eigenes Zer­ti­fikat instal­iert bekom­men muss. Und das jedes Jahr, da diese Zer­ti­fikate nach einem Jahr erneuert wer­den müssen.
Auch die Kom­mu­nika­tion­spart­ner müssen bevor man Kom­mu­niziert dieses Zer­ti­fikat instal­lieren.
Die Folge ist ein unman­age­bar­er Zer­ti­fikat­ed­schun­gel, der dann noch vom IT Ver­ant­wortlichen gem­anagt wer­den muss.

Nach Erneuerung des Zer­ti­fikats, also nach einem Jahr wird die Sit­u­a­tion noch schwieriger, da ohne das alte Zer­ti­fikat alle alten E‑Mails nicht mehr les­bar sind. Eine e‑Mail Archivierung ist somit fast unmöglich oder nur wenn dann auch das Zer­ti­fikat archiviert wird. Und dies darf nun wieder nich gemein­sam geschehen, da man ja bekan­ntlich nicht Schlüs­sel und Tre­sor nebeneinan­der­stellen sollte…

Inter­es­sant wird die Angele­gen­heit, wenn ein Mitar­beit­er oder auch Kunde / Part­ner, welch­er dieses Zer­ti­fikat instal­liert hat ein Endgerät ver­liert oder es gestohlen wird. Das wäre dann der Super-Gau für das betr­e­f­fende e‑Mail Post­fach, da es wiederum einen Data Breach gäbe.

Faz­it: Der Ein­satz von Zer­ti­fikat­en kann eine DSGVO kon­for­mität her­stellen, ist aber extrem schw­er zu man­a­gen und deshalb nur bed­ingt zu empfehlen. Unternehmen mit mehr als 30 Post­fäch­ern soll­ten generell die Fin­ger davon lassen, da sich das benötigte Zer­ti­fikate­m­an­age­ment dann nicht mehr lohnt.

Die momen­tan kon­fort­a­bel­ste Art und Weise, Dat­en sich­er zu über­tra­gen ist über einen File Shar­ing Provider oder ein File Shar­ing Tool wie Cloud­Files.
Bei solchen Dien­sten wird eine sichere Verbindung (SHA-256) zum Daten­cen­ter des Providers aufge­baut. Das Daten­cen­ter ist wiederum entsprechend laut DSGVO abgesichert. Bei­de Seit­en, Unternehmen und Kunde/Lieferant sind zum Daten­cen­ter zu abgesichert. Es ist fol­glich End-End ver­schlüs­selt.

Dies ist aktuell die einzige Möglichkeit Dat­en kom­fort­a­bel, sich­er und vor allem DSGVO kon­form zu über­tra­gen.

Rufen Sie uns an! Wir wis­sen was zu tun ist.