Sie haben es sicher schon mitbekommen: Das Computersystem des Bundestags wurde mit Schadsoftware infiziert. Diese gelangte mit Hilfe von E-Mails in das Netzwerk, genauer über Links in den Nachrichten. „Experten“ werten das Ausmaß des Angriffs ab. Es sei „kein allzu großer Fall“. Wir möchten uns gar nicht erst an diesen Spekulationen beteiligen, sondern vielmehr darauf hinweisen, wie Organisationen à la Bundestag die Qualität ihrer E-Mail-Kommunikation wieder anheben können.

Bundestag Kuppel Berlin

Im digitalen Leben gibt es eine Instanz, die digitale Persönlichkeiten oder Firmen als vertrauenswürdig einstuft: Certificate Authorities, kurz CAs. Die Zertifizierungsstellen helfen auch uns bei der Verschlüsselung von E-Mails. CAs wie SwissSign – richtig, die kommen wie wir aus der Schweiz – bilden dabei ein Paar, bestehend aus Public Key und Private Key. Dieses Paar benötigen die Nutzer unserer Appliance zum vollständigen Verschlüsseln einer elektronischen Nachricht, an die sogar eine digitale Signatur des Absenders angehängt werden kann. Wir bei SEPPmail vertrauen einem Public Key bzw. dessen Nutzerdaten erst dann, wenn die CA den Schlüssel zu 100 % als vertrauenswürdig eingestuft hat.

Der gesunde Kritiker im Mailserver

Fest steht: Hat eine E-Mail den Stempel einer CA, wissen Empfänger immer genau, mit wem sie kommunizieren: Es entsteht ein berechtigtes Vertrauen. Wir können nur mutmaßen, aber vielleicht haben einzelne Bundestagsmitglieder den Absendern infizierter Mails „blind“ vertraut. Zertifikate, eingebunden in eine Verschlüsselungslösung, hätten womöglich an diesem Punkt zusätzlichen Schutz geboten, da sie „unbekannte“ Nachrichten mit Schadstoff sehr kritisch beäugen und im Falle eines Falles aussortieren.

Es muss doch beruhigend sein, sich auf so einen Sicherheitsmechanismus verlassen zu können, oder nicht? Umso mehr wundern wir uns, warum Zertifikate in Deutschland viel zu selten genutzt werden. Daher hat wahrscheinlich auch die Deutsche Post ihren Zertifikatsservice Signtrust auslaufen lassen, und auch das S-Trust-Zertifikat vom Deutschen Sparkassenverlag (DSV) wird es in Kürze nicht mehr geben. Warum nutzen Unternehmen diese zusätzliche Sicherheitsstufe nicht? Nun, auf der Hand liegt wohl die Tatsache, dass einige Unternehmen die Zusatzkosten für Zertifikate nicht tragen wollen. Unserer Meinung nach ist es wohl schwierig, den enormen Sicherheitsnutzen in Relation zu den Kosten zu setzen. Aufgrund dieser Entwicklung wird es über kurz oder lang neben SwissSign nur noch amerikanische Zertifikatshersteller geben.

Wir bei SEPPmail möchten dieser Entwicklung entgegenwirken und schließen uns enger mit SwissSign zusammen, um unseren Kunden durch die Anbindung von SwissSign-Zertifikaten den automatisierten Bezug sowie das automatisierte Ausstellen domänenvalidierter E-Mail-Zertifikate bzw. personenbezogener (organisationsvalidierter) Zertifikate zu ermöglichen. Damit könnten wir nicht nur verunsicherte Bundestagsmitglieder unterstützen, sondern auch 100 %iges Vertrauen in der E-Mail-Kommunikation schaffen.

Share →