Kontakt

Telefon: +43 (0)676 7509922

e-Mail: post@rainerstoll.at

Anschrift:
Ing. Mag. Rainer Stoll
Austraße 12/11
3500 Krems an der Donau
ÖSTERREICH

WKO ecg

Hinweise zur e-Mail Kommunikation

Sicherheitsrisiken bei e-Mails

Vertraulichkeit Inhalte

Die Vertraulichkeit von e-Mail Kommunikation kann bei normaler Nutzung verschiedener e-Mail Anbieter – samt unbekannten Zwischenstationen beim Transport – in der Regel nicht gewährleistet werden! (Vergleichbar einer Ansichtskarte, die auf dem ganzen Postweg von jedem Beteiligten eingesehen werden kann.)
Dieser Umstand sollte bei jedem e-Mail Verkehr stets berücksichtigt werden. Wozu – im Bedarfsfall – auch dem jeweiligen Risiko angemessen auch entsprechende Sicherheitsmaßnahmen (insbesondere Verschlüsselung) gehören, wie ich sie Ihnen im Folgenden anbiete und auch Ihnen dringend zur eigenen Nutzung empfehle!

Manipulation Absender & Inhalte

Für Spam oder böswillige Zwecke werden oft nicht nur eine täuschend echt wirkende, dem Original sehr ähnliche e-Mail Adressen als Absender verwendet, es ist auch technisch möglich, echte Absenderadressen für gänzlich gefälschte e-Mails zu missbrauchen!
Diese sollen Sie dann beispielsweise dazu bringen, über einen beigefügten Link eine manipulierte Webseite zu öffnen, um dort vertrauliche Daten preiszugeben und/oder eine Schadsoftware zu installieren bzw. einen beigefügten Dateianhang zu öffnen, in dem sich eine Schadsoftware befindet, oder aber auch eine gefälschte Rechnung, die Sie dann in gutem Glauben an einen betrügerischen Empfänger bezahlen sollen!
Neben der stets gebotenen Achtsamkeit bezüglich korrekter Absenderadressen und ungewöhnlichen Textformulierungen empfiehlt sich bei konkreten Verdachtsfällen auch eine telefonische Rückfrage beim Absender. Als technischer Schutz gegen solche Manipulationen eignen sich insbesondere die – wie im Folgenden angesprochen – Signatur von PDF Dateien sowie die (GnuPG) Signatur von e-Mails.

Sichere e-Mail Kommunikation

Mein Vorschlag und Angebot zur sicheren e-Mail Kommunikation umfasst 5 unmittelbar umsetzbare, einander ergänzende und auch beliebig miteinander kombinierbare Maßnahmenpakete.

Nur erforderliche Informationen

Die sicherste aller Möglichkeiten ist ganz generell die Nichtübermittlung vertraulicher Informationen. Was nicht im Netz unterwegs ist, kann auch nicht verändert, mitgelesen oder abgefangen werden!
Die Kernfrage vor jeder Nachrichtenübermittlung lautet also: Muss der Empfänger diese Information überhaupt oder in diesem Umfang bzw. dieser Detailtiefe zu diesem Zeitpunkt haben?
(Datenschutzrechtliches Need-to-know-Prinzip)

Unter Umständen müssen dafür vorab Unterlagen auch überarbeitet bzw. reduziert oder neu aufbereitet/zusammengestellt werden (und personenbezogene Daten – insbesondere sensibler Natur – sofern überhaupt erforderlich, wenn immer möglich zumindest anonymisiert/pseudonymisiert).
Das ist zwar mitunter mit Aufwand verbunden, erhöht aber auch unmittelbar das Schutzniveau der Daten. (Weniger ist manchmal wirklich mehr!)
Und ich ersuche Sie hiermit ausdrücklich, mir für zwar alle relevanten Informationen für einen Auftrag mitzuteilen, aber – was vertrauliche und insbesondere personenbezogene Daten betrifft – auch nicht mehr. Was ich in dieser Hinsicht nicht wissen muss, will ich auch als Information gar nicht erhalten!

PDF Signatur oder Passwortschutz

PDF Dateien können mit einer rechtsgültigen elektronischen Signatur versehen werden (kostenlos mittels Bürgerkarte/Handysignatur), welche eine eindeutige Verifikation erlaubt (z.B. mit Acrobat Reader), wer der Signaturersteller (Absender) ist und ob die Datei seit der Signaturaufbringung unverändert ist, inklusive der Möglichkeit, sich ggf. die unveränderte Originalfassung anzeigen zu lassen..
So können Sie dann z.B. bei allen von mir übersandten (standardmäßig signierten) PDF Rechnungen stets sicher sein, dass diese Rechnungen tatsächlich von mir stammen und auch nicht manipuliert wurden!

Alternativ zur Signatur (beides gleichzeitig ist nicht möglich) können PDF Dateien auch mit einem Passwortschutz gegen unbefugtes Öffnen versehen werden (empfohlene Verschlüsselung: 128/256 AES).
Hierbei ist dann zusätzlich  auf einem zweiten Informationskanal (z.B. telefonisch) das jeweilige Passwort übermittelt werden, dass dann für jeden einzelnen Öffnungsvorgang der fraglichen PDF Datei eingegeben werden muss.

Passwortgeschützte .zip Dateien

Im vereinzelten Bedarfsfall ist für Normalanwender die Versendung vertraulicher Informationen in Form einer passwortgeschützten .zip Datei als Mail Anhang die vermutlich einfachste Lösung.

  1. Informationen als PDF Datei
    Die vertraulichen Informationen werden – sowohl von Ihnen als auch von mir – statt direkt in eine Mail zuerst in einem normalen Dokument (Word etc.) erfasst und sodann als PDF gespeichert.
    => Zuverlässig ohne Änderung auf jedem Empfangsgerät wieder im Originalformat zu öffnen und auch sehr viel wengiger anfällig für mitübertragene Computerviren als z.B. MS-Office Dokumente!
  2. PDF und/oder sonstige Dateien als passwortgeschütztes .zip verpacken
    Aus allen gesichert zu übermittelnden Dateien (PDF, Tabellen, etc.) wird danach ein passwortgeschütztes ZIP Archiv erstellt. – Kostenlos mit z.B. Bandizip (Win, portabel + Mac) oder 7-Zip (Win, portabel).
    Erstellen (Verpacken): Windows Datei-Explorer => Dateiauswahl => Rechtsklick Kontextmenü => Archiv erstellen (Bandizip) bzw. 7-Zip > zu einem Archiv hinzufügen => Verschlüsselungsverfahren: AES-256 (sicher, benötigt aber auch wieder Bandizip/7-Zip zum Entpacken) oder normale Zip Verschlüsselung („ZipCrypto“: weniger sicher, dafür direkt mit Windows entpackbar) => Passwort festlegen.
  3. .zip Datei als normaler e-Mail Anhang versenden
    Die erstellte .zip-Datei wird dann als normaler e-Mail Anhang versendet und kann von unberechtigten Dritten ohne das zugehörige Passwort nicht geöffnet werden!
  4. .zip Datei wird beim Empfänger mittels Passworteingabe wieder ausgepackt
    Beim Empfänger wird die .zip Datei aus der Mail gespeichert und dann wieder entpackt:
    Explorer => .zip Datei => Rechtsklick Kontextmenü => 7-Zip => Dateien entpacken … => Passwort
  5. Passwortaustausch über anderen Kommunikationsweg
    Das benutzte Passwort kann in jeder Richtung immer dasselbe sein und wird (einmalig) auf einem anderen Kommunikationsweg (Telefon, SMS, vor Ort, …) zwischen uns ausgetauscht.

GMX als gemeinsamer Provider

Sie haben – oder registrieren kostenlos – einen GMX e-Mail Account bei https://www.gmx.at/ und kommunizieren über die angebotene Webmailoberfläche oder Ihren Mail-Client (Outlook, Thunderbird, …) – bzw. über die verfügbare GMX App auf Android, iOS, Windows – mit mir mittels normaler e-Mails über meine GMX Adresse rainer.stoll@gmx.at
Auf diese Weise ist eine durchgängige Transportverschlüsselung sichergestellt, die Mails selbst sind nur noch auf den geschützten GMX Servern (Standort: Deutschland) im Klartext vorhanden.

GnuPG Verschlüsselung & Signatur

Vertrauliche e-Mails samt Anhängen werden mit GnuPG (Open PGP) jeweils vor dem Absenden für den vorgesehenen Empfänger mit dessen (zuvor einmalig übermittelten) „öffentlichen Schlüsselverschlüsselt und können auch nur von diesem nach dem Empfang mit seinem (stets geheimgehaltenen und niemals übermittelten) „privaten Schlüssel“ wieder entschlüsselt werden. Niemand dazwischen hat auch nur den geringsten Zugriff darauf! (= durchgehende „Ende zu Ende“ Verschlüsselung)
Achtung: Die Betreff-Zeile wird stets im Klartext übertragen. => Auch bei verschlüsselten Mails sollten Sie keine vertraulichen Inhalte in die Betreff-Zeile schreiben!
Als weitere Funktion kann der Absender mit seinem privaten Schlüssel eine digitale Signatur erstellen, welche vom Empfänger mit dem (ihm bereits bekannten) öffentlichen Schlüssel des Absenders wieder entschlüsselt werden kann. Womit auch die Identität des Absenders gesichert feststellbar ist! (= Schutz vor Betrugsversuchen mit gefälschten Absender-Identitätsangaben; Identitätsnachweis beruht jedoch allein auf Vertrauen beim vorangegangenen Austausch der öffentlichen Schlüssel)

GnuPG via GMX

Verschlüsselte Kommunikation funktioniert mit der zuvor eingerichteten GMX Adresse – mit allen bereits dafür eingerichteten GMX Adressen, wie natürlich auch meiner – auf Knopfdruck (die zugehörigen öffentlichen Schlüssel aller GMX Adressen werden über GMX Server automatisch bereitgestellt),
… sobald Sie nach Anmeldung in der GMX-Weboberfläche einmalig bei den Einstellungen die Verschlüsselung eingerichtet haben. (Verlangt einmalig die Installation des Mailvelope Browser-Addons in Firefox oder Chrome und die Festlegung eines Zugriffspasswortes.)
Eine verschlüsselte Kommunikation ist danach auch über sämtliche GMX Apps möglich, sobald der private Schlüssel einmalig manuell darauf übertragen wurde!

GnuPG via Mail Client

Sie installieren auf Ihrem Windows-Rechner Gpg4win (enthält Outlook Plugin) – bzw. auf Mac OS X GPG Suite (inkl. Apple Mail Einbindung) – und ggf. für Thunderbird die Erweiterung Enigmail (kompatibel zu Mailvelope). Bei der folgenden Einrichtung im Mail Client wird für die ausgewählte e-Mail Adresse einmalig ein Schlüsselpaar erzeugt (öffentlich + privat; exportierbar für Backup etc.) sowie ein Passwort (Passphrase) festgelegt, das Sie fortan bei jeder Verwendung Ihres privaten Schlüssels für Entschlüsselung oder Signatur eingeben müssen. (Sicherung gegen Nutzung durch unbefugte Dritte!)
Ein Hochladen des öffentlichen Schlüssels auf einen öffentlich zugänglichen Schlüsselserver (wie GMX es intern automatisch macht) ist zusätzlich möglich und erspart später wie bei GMX ggf. den manuellen Schlüsselaustausch. Aber Achtung: Der Eintrag mitsamt e-Mail Adresse auf einem solchen Schlüsselserver ist zwar aktualisierbar und in seiner Gültigkeit widerrufbar, jedoch insgesamt nicht wieder löschbar!
Sie können sodann verschlüsselte e-Mails zwischen beliebigen Mail Providern (also auch zwischen Ihrer und meiner normalen Firmenadresse) wie gewohnt über ihren Standard Mail Client (Outlook/Thunderbird) austauschen.
Dazu müssen jedoch stets vor der jeweils ersten verschlüsselten Kommunikation mit einem Partner einmalig – mit normaler e-Mail – die öffentlichen Schlüssel ausgetauscht (Beifügung auf Knopfdruck) und sodann im Mail-Client in die eigene lokale Schlüsselverwaltung importiert werden.
=> Hier finden Sie meinen öffentlichen Schlüssel für post@rainerstoll.at als unverschlüsselte .zip-Datei zum Download. (Die ausgepackte .asc Datei können Sie dann direkt in Ihren Mail-Client importieren.)

Hilfe bei der Umsetzung

Kunden und Geschäftspartnern stehe ich natürlich auch gerne persönlich mit Rat und Tat bei der Umsetzung bzw. Einrichtung der dargestellten Sicherheitsmaßnahmen für die Kommunikation mit mir zur Seite. (Es gibt jedoch in der Regel auch immer frei verfügbare Anleitungen dazu.)
Wenn Sie derartige oder auch sonstige Maßnahmen zur Datensicherung – z.B. in Erfüllung ihrer datenschutzrechtlichen Verpflichtungen oder für regelmäßigen vertraulichen Datenaustausch zwischen verschiedenen Unternehmensstandorten etc. – generell in ihrem Unternehmen implementieren wollen, stelle ich Ihnen meine Unterstützung natürlich gerne auch als eigenständige Beratungsleistung zur Verfügung!