Der Versand einer E-Mail über das Internet ist bekanntlich vergleichbar mit dem Versand einer Postkarte. Jeder, der in irgendeiner Form am Transportprozess beteiligt ist, kann theoretisch den Inhalt unbemerkt mitlesen oder gar verändern. Wer dies auf dem traditionellen Postweg verhindern möchte, verschickt seine Nachrichten lieber als Brief mit versiegeltem Umschlag. Das entsprechende Pendant im E-Mail-Verkehr: eine ausreichende Verschlüsselung inklusive elektronischer Signatur. Für Unternehmen sind derartige Schutzmaßnehmen jedoch keinesfalls reiner Selbstzweck: Das Bundesdatenschutzgesetz (Anlage zu § 9 Satz 1) etwa fordert sogar ausdrücklich sicherzustellen, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Zahlreiche Firmen nutzen daher zur Übermittlung von Angeboten, Rechnungen, Patienten- oder Kundendaten standardisierte Verfahren wie beispielsweise S/MIME oder PGP.
Archiv-Recherche trotz Ende-zu-Ende-Verschlüsselung
Wollen sie allerdings nach der verschlüsselten Übertragung die E-Mails auch rechtskonform archivieren, stehen IT-Verantwortliche häufig vor einem neuen Problem. Wie kann gewährleistet werden, dass trotz Ende-zu-Ende-Verschlüsselung die Lesbarkeit der E-Mail über den gesamten Archivierungszeitraum erhalten bleibt? Wenn eine E-Mail in verschlüsselter Form im Archiv abgelegt wird, kann sie schließlich nur mit dem privaten Schlüssel des Empfängers wieder entschlüsselt werden. Das ist vor allem dann eine Herausforderung, wenn der betreffende Empfänger bereits das Unternehmen verlassen oder zwischenzeitlich einen neuen Private-Key für seine Verschlüsselung erhalten hat. Mit einer gesetzlichen Aufbewahrungspflicht von bis zu zehn Jahren sind beide Szenarien alles andere als unwahrscheinlich.
Abrufen von archivierten Mails auch ohne Private Key
E-Mails lassen sich erheblich einfacher archivieren und abrufen, indem eine Ende-zu-Ende Encryption bereits vor der physischen Archivierung entschlüsselt wird. Die Entschlüsselung der Nachricht muss dazu also nicht erst auf dem Client des Nutzers, sondern zentral durch die E-Mail-Security-Lösung erfolgen. Erst im Anschluss daran wird die E-Mail im Archiv abgelegt. Dies hat den Vorteil, dass für die Archivierung selbst kein Private-Key-Management mehr erforderlich wird. Das Abrufen einer archivieren E-Mail ist somit jederzeit möglich – unerheblich davon, ob die jeweiligen privaten Schlüssel noch existieren. Um das Archiv selbst gegen unberechtigtem Zugriff zu schützen, lässt sich dieses selbstverständlich wiederum mit einem unternehmenseigenen Schlüssel und entsprechender Encryption absichern.
Kostenloser BITKOM Leitfaden: E-Mails rechtskonform archivieren und managen
Der unter Mitwirkung von Retarus erarbeitete „Leitfaden E-Mail-Management“ des Digitalverbandes BITKOM erläutert unter anderem die rechtlichen Grundlagen zum E-Mail-Management und gibt weitere wertvolle Tipps für dessen praktische Umsetzung. Der Leitfaden steht auf der Website des BITKOM kostenlos als PDF-Dokument zum Download bereit.
Auch zum Thema E-Mail-Verschlüsselung erfahren Sie auf unserer Website mehr.
