Im Interview mit Georg Nestmann, CEO der comcrypto GmbH
Die comcrypto GmbH mit Sitz in Chemnitz beschäftigt sich seit vielen Jahren mit der sicheren E-Mail Übertragung. Hier hat man in den vergangenen Jahren eine datenschutzkonforme und praktikable Lösung generiert, die eine sichere E-Mail-Übertragung gewährleisten soll. Bisherige E-Mail-Verschlüsselung ist sehr kompliziert, gleichwohl für jedes Unternehmen und jede öffentliche Einrichtung relevant. Häufig sind mehrere Tools für verschiedene externe Empfänger im Einsatz, es gibt einen hohen Schulungsbedarf und komplizierte Handlungsleitfäden für die Mitarbeitenden. Ein Nachweis der korrekten Prozess-Umsetzung ist in der Praxis nahezu unmöglich. Im Interview mit Georg Nestmann, CEO der comcrypto GmbH sprechen wir daher über bisherige aufwändige Portallösungen, die Akzeptanz für sichere E-Mailübertragung, den Einsatz in unterschiedlichen Branchen und welche namhaften KundInnen sich bereits für eine solche Lösung entschieden haben.
DIGITAL FUTUREmag: Herr Nestmann, was haben Sie gegen eine unverschlüsselte E-Mail?
Georg Nestmann: E-Mails enthalten fast immer schützenswerte Daten, gerade E-Mails im Unternehmenskontext. Oft sind das personenbezogene Daten, in vielen Branchen auch sehr sensible Daten, die z.B. Geschäftsgeheimnisse enthalten, welche es zu schützen gilt. Denn die Cyberkriminalität hat die E-Mail schon längst als Schwachpunkt und Einfallstor zu vielen Unternehmen und Einrichtungen identifiziert. Viele Angriffsszenarien beginnen mit einer längeren Phase des Ausspionierens der E-Mail-Kommunikation. Verschlüsselung ist ein guter Weg, es den Cyberkriminellen dabei deutlich schwieriger zu machen. Aber die Erfahrung zeigt, dass Verschlüsselung vor allem praktikabel sein muss, sonst wird sie gar nicht erst angewendet.
DIGITAL FUTUREmag: In welchen Branchen würden Sie in jedem Fall eine E-Mail-Verschlüsselung empfehlen?
Georg Nestmann: In jeder Branche – und wenn die Technologie nicht zu kompliziert ist, ist das auch machbar. Denn überall dort, wo Menschen digital per E-Mail kommunizieren, werden auch Daten ausgetauscht. Natürlich gibt es Unterschiede hinsichtlich der Sensibilität bzw. des “Wertes” der Daten. Manche Branchen sind dafür prädestiniert, etwa Berufsgeheimnisträger, also z.B. ÄrztInnen, SteuerberaterInnen, AnwältInnen. Genauso im sozialen Bereich, wo es natürlich um ganz sensible Daten der Betroffenen geht. Aber auch als mittelständisches Unternehmen spricht heutzutage viel dafür, den digitalen Rechnungsversand nicht mehr per „Postkarten-Mail“ zu schicken – dafür gab es schon zu viele Fälle von Rechnungsfälschungen, wo dann größere Geldbeträge an falsche Konten überwiesen wurden. Um die unterschiedlichen Risiken einzuordnen, gibt es z.B. im Datenschutz die Vorgehensweise über eine Risikomatrix. Die Datenschutzaufsichtsbehörden haben das für den Fall der E-Mail-Kommunikation einmal untersucht und kommen zu dem Schluss, dass eine verschlüsselte Übertragung der E-Mails auch schon bei nur „normalen Datenschutzrisiken“ Pflicht ist.
DIGITAL FUTUREmag: Statista sagt: Drei Viertel der deutschen InternetnutzerInnen finden es wichtig, E-Mails so verschlüsseln zu können, dass sie nur von den EmpfängerInnen gelesen werden können. Das geht aus einer aktuellen Umfrage im Auftrag von WEB.DE und GMX hervor. Tatsächlich verwenden aber nur 13,5 Prozent der Befragten Ende-zu-Ende Verschlüsselung. Was ist der Grund?
Georg Nestmann: Hier treffen m.E. leider Wunschdenken und Praxis aufeinander. Natürlich würde jeder sagen, es wäre gut, wenn ausschließlich die EmpfängerInnen und niemand sonst meine Nachricht lesen kann. Doch Ende-zu-Ende-Verschlüsselung ist leider kompliziert und natürlich will man seinen Empfängern auch nicht aufbürden, sich erst ein Zertifikat zu besorgen oder die Nachrichten immer nur mit Passwort-Eingabe lesen zu können. Mich würde interessieren, wie groß der Anteil der E-Mails ist, der von den besagten 13,5% der Befragten tatsächlich verschlüsselt wird – das ist mit großer Sicherheit nochmal sehr viel weniger. Natürlich wäre die flächendeckende Ende-zu-Ende-Verschlüsselung der wünschenswerte Zustand. Aber solange wir von diesem Zustand noch meilenweit entfernt sind, sollten wir zunächst ein realistisch erreichbares Sicherheitslevel anstreben, das dann immer noch Welten über dem heute praktizierten Level liegt.
DIGITAL FUTUREmag: Worin unterscheidet sich Ihre Lösung von den bisherigen Portallösungen?
Georg Nestmann: Bisherige Lösungen gehen davon aus, dass die Übertragung zwischen den E-Mail-Servern per se unsicher ist. Sicherheit kann (in dieser Denkweise) also nur entstehen, wenn man den E-Mail-Kanal an sich umgeht, die Daten also z.B. über ein Webportal schickt. Das passiert in der Praxis natürlich nur dann, wenn NutzerInnen die Daten für wichtig genug halten, um ihrem Gegenüber den Portal-Login zuzumuten, sodass der Großteil der Mails weiter als „Postkarten-Mails“ übertragen wird.
Unsere Lösung basiert demgegenüber darauf, dass die Übertragung zwischen den E-Mail-Servern durchaus abgesichert werden kann. Die Datenschutzaufsichtsbehörden selbst haben klare Kriterien definiert, wie die sog. Transportverschlüsselung technisch gemacht werden und das Absende-System geprüft sein muss, damit auch Daten mit hohen Risiken versendet werden können. Dabei spricht man dann von einer „qualifizierten Transportverschlüsselung.“ Einzige Herausforderung: Noch nicht alle Empfänger-Server unterstützen das Verfahren.
Unsere Lösung nutzt das Potenzial der qualifizierten TLS-Verschlüsselung dennoch aus, indem jede ausgehende Nachricht, bei der die Absicherung per qTLS möglich ist, mit dieser Technologie sicher übertragen wird. Für den Großteil der Mails – ca. 95% – funktioniert dies. Lediglich in den verbleibenden Ausnahmefällen muss z.B. mit einem Passwort als zusätzlichem Schutz gearbeitet werden, falls die Mail die entsprechende Risikostufe beinhaltet. Insgesamt entfällt also der überwiegende Teil des Aufwandes für die NutzerInnen.
DIGITAL FUTUREmag: Erklären Sie uns bitte zumindest ansatzweise, wie das ganze technisch funktioniert.
Georg Nestmann: Unser System, das comcrypto MXG, wird als ausgehender SMTP-Relay, also als Zusatz-Mailsystem des Absenders, in die Mailverarbeitung eingebunden und übernimmt dort die Rolle des letzten am Mailversand beteiligten System des Empfängers. Man kann es sich als digitale Postausgangsstelle verbildlichen. Das Anbinden des neuen Systems ist für die IT-Abteilung keine große Aufgabe. Daraufhin durchläuft nun jede ausgehende Mail die neue Lösung MXG. Die Datenschutz- oder IT-Verantwortlichen unserer KundInnen definieren, von welchen Datenschutz-Risiken die Lösung ausgehen und was in den jeweiligen Fällen passieren soll.
Das MXG überprüft dann bei jeder ausgehenden E-Mail, wie sicher die Übertragung auf der Server-zu-Server-Ebene gestaltet werden kann. Z.B. geht die Stärke der verfügbaren Verschlüsselungsalgorithmen des Empfängerservers und das dort verfügbare TLS-Zertifikat in diese Betrachtung ein, bei der alle Sicherheitsparameter daraufhin geprüft werden, ob nach aktueller Einschätzung des BSI eine ausreichende Sicherheit gewährleistet ist. Wenn ja, ist der Transportkanal sicher und die vorliegende Mail kann als „normale“ Mail, also für die NutzerInnen sofort lesbar, übertragen werden. Ansonsten werden die vorab festgelegten Verfahren genutzt. Es kann z.B. beim Absender nachgefragt werden oder die Lösung erzeugt automatisch eine mit Passwort geschützte Mail, die dann auch bei einem unsicheren Transportkanal dennoch sicher übertragen werden kann. Wir nennen dieses Prinzip der automatisierten Anpassung adaptive Verschlüsselung.
DIGITAL FUTUREmag: Welche Voraussetzungen muss ich auf meinem Rechner oder auch auf meinem Server bereitstellen, um Ihr Tool korrekt einzusetzen?
Georg Nestmann: Für die eigentlichen NutzerInnen und ihre Endgeräte gibt es keine Voraussetzungen. Sie empfangen und versenden ganz normale E-Mails über einen beliebigen E-Mail-Client. Damit die Anbindung unseres Systems funktioniert, muss es auf dem bestehenden E-Mail-Server möglich sein, eine sog. „Routing-Regel“ zu setzen, damit der E-Mail-Server ausgehende Nachrichten nicht mehr selbst versendet, sondern diese stattdessen an das MXG weitergibt. Das ist in den meisten Standard-Systemen, die in Unternehmen und öffentlichen Einrichtungen verwendet werden, problemlos möglich.
DIGITAL FUTUREmag: Ab welcher Unternehmensgröße lohnt sich der Einsatz und gibt es Ihre Lösung bereits auch für kleine und mittelständische Unternehmen?
Georg Nestmann: Da bereits im kleinsten geschäftlichen Kontext schützenswerte Daten entstehen, die per Mail kommuniziert werden, lohnt sich der Einsatz ab dem allerersten Postfach. Wir haben derzeit Kunden von 1 bis zu 15.000 Mitarbeitende. Unser Lizenzmodell ist entsprechend auch auf kleine oder Kleinstunternehmen ausgerichtet.
DIGITAL FUTUREmag: Sie empfehlen den Einsatz insbesondere bei Unternehmen im Bereich Gesundheit, Finanzen, Wohnungswirtschaft und Berufsgeheimnisträger. Was ist Ihre Erfahrung aus den Gesprächen mit den EntscheidungsträgerInnen und wie groß ist die Bereitschaft, sich diesem Thema zu widmen?
Georg Nestmann: Die Bereitschaft, sich dem Thema zu widmen, ist natürlich generell umso höher, je mehr gesetzliche Auflagen und Anforderungen im Hinblick auf die IT-Sicherheit ein Unternehmen erfüllen muss. Denn oft sind es nicht nur die Datenschutzgesetze – auch die KRITIS-Verordnung oder Regulierungen, wie BAIT im Bankenbereich fordern eine sichere Kommunikation, genau wie z.B. eine ISO 27001-Zertifizierung. Ab und an gibt es in diesen Branchen auch schon Bestandslösungen, die als zu aufwändig für die NutzerInnen erkannt wurden und abgelöst werden sollen. EntscheidungsträgerInnen in diesen Bereichen haben die Relevanz des Themas absolut im Blick – und sind oft an einfachen Alternativen interessiert.
DIGITAL FUTUREmag: Als Kunden haben Sie die Münchner Sicherheitskonferenz gewinnen können. Hier treffen sich wirkliche ExpertInnen. Was war das ausschlaggebende Argument?
Georg Nestmann: Für die MSC hat die Sicherheit der von ihr ausgerichteten Konferenzen und Daten der oft hochrangigen Teilnehmenden höchste Priorität. Gleichzeitig zum Sicherheitsaspekt war auch die einfache Bedienbarkeit ohne vorherige Schulungen für die MSC entscheidend, da für die Organisation der laufenden Konferenzen häufig auch neue MitarbeiterInnen eingesetzt werden, die für die Bedienung eines Sicherheitstools nicht extra geschult werden sollen. Die Kombination aus einfacher Handhabung für die Mitarbeitenden und zweifelsfreier Sicherheit bei der Übertragung war somit ausschlaggebend für die Entscheidung für MXG.
DIGITAL FUTUREmag: Wie aufwändig ist die Einführung Ihres Tools?
Georg Nestmann: Die Einführung ist schnell erledigt, da unser Tool nur die E-Mail-Ausgangsseite betrifft. Wenn KundInnen ihre E-Mail-Server z.B. als Cloud-System betreiben, Stichwort M365, ist die Einrichtung in unter 30 Minuten erledigt und das MXG betriebsbereit. Je komplizierter die E-Mail-Infrastruktur, desto länger dauert es natürlich. Der Aufwand liegt aber weit unter dem Aufwand üblicher IT-Projekte.
DIGITAL FUTUREmag: Das klingt machbar. Herzlichen Dank für dieses aufschlussreiche Interview.
