Praxis Verschlüsselung von Emails/Anhängen

[Kugelblitz]

Hallo,

wir wollen von der bisherigen Praxis, nach der wir vertrauliche Dokumente wie Anmeldungsentwürfe per Fax oder Post übermittelt haben, dazu übergehen, die Dokumente per Email zu versenden. Echt fortschrittlich eben . Ich kannte bislang die Möglichkeit, durch PGP zu verschlüsseln, allerdings gibt es hier jetzt mittlerweile eine große Anzahl von Tools, die offensichtlich nicht mehr vom ursprünglichen PGP-Anbieter stammen. Könnt Ihr mir hier eine Empfehlung geben? Vielleicht auch eine andere Methode als PGP?

Gruß

kb

 

[Pat-Ente]

Mein Tipp ist, nachzufragen, welche Systeme von Euren wichtigsten Mandanten verwendet werden, und eines zu wählen, das mit möglichst allen gut funktioniert (da gibt es nämlich durchaus mal Probleme).

 

[PK_Schach.Matt]

Wir machen das mit verschlüsselten zip-Containern. Einfach einen Schriftsatz als PDF erstellen und in ein ZIP-File mit Passwort packen. Dann in der E-Mail ganz neutral, "... wir verweisen auf den Anhang ..." schreiben.

Leider ist das von Microsoft unterstützte zipcrypto-Verfahren nicht gerade sicher, weshalb wir mit AES256 verschlüsseln. Das wird beispielsweise von 7zip angeboten. Nachteil, Windows kann das nicht entschlüsseln. Der Mandant braucht ein Packprogram, wie 7zip, das AES256 auch entschlüsseln kann.

Vielleicht hilft das ja.

 

[Kugelblitz]

Danke für Eure Anregungen/Hinweise! Ich werde mir die Variante mit verschlüsseltem ZIP-Ordner mal genauer ansehen. Scheint mir am einfachsten.

@Pate-Ente: Interessanterweise verwenden die Kunden, die wir betreuen und bei denen ich bereits nachgefragt habe, gar keine Verschlüsselung.

Gruß

kb

 

[Informationstechnologie]

Gibt ein paar Dinge, die man vielleicht reflektieren sollte:

beim Einsatz von passwortverschlüsselten Archiven sollte man immer vom kleinsten gemeinsamen technologischen Nenner ausgehen. In vielen "traditionellen" oder IT-veralteten Abteilungen ist das eingebaute ZIP des Betriebssystemes das höchste der Gefühle. Proprietäre Algorithmen und Verfahren (Winrar, 7zip) sind immer gefährlich, wenn man nicht weiß, was die andere Seite problemlos öffnen kann. Nichts schlimmer ist als eine Sekretärin ohne IT-Abteilung, die eine Software installieren soll. Desweiteren das schon erwähnte Sicherheitsproblem; sämtliche "starken" Packalgorithmen sind proprietär und wurden hauptsächlich durch "Winzip" eingebracht.

Da Sie mit der PGP-Verschlüsselung vertraut sind, sollte man vielleicht doch in dieser Richtung weiter arbeiten. Verfahren gilt (noch) als sicher, ist bei großen Mandanten durchsetzt und bekannt und es gibt preiswerte, gute Desktopsoftware, die auch von der informatisch nicht sehr gebildeten Verwaltungsfachkraft zu bedienen ist. Wer gar kein Geld ausgeben mag und den Indiecharm nicht scheut, kann das freie GnuPGP bemühen (die Windowsvariante nennt sich "gpg4win").

Am einfachsten und pragmatischsten ist die Implementierung von S/Mime Zertifikaten im Mailklienten. Große Mandanten bieten dies auch bevorzugt an, weil der Schlüsselaustausch quasi automatisch per Mailverkehr vonstatten geht. Einzige Schwachstelle: die Verschlüsselung ist konsequent Ende-zu-Ende. Wenn der Entschlüsselnde nicht der Empfänger ist, kann es sportlich werden. Das ist bei PGP etwas einfacher zu lösen. Und die Zertifikate kosten einen Obulus, wenn sie nicht von einer qualitativ hochwertigen Zertifizierunggstelle kommen sollen.
Größter Vorteil: keine technischen Einschränkungen bei der Mailverschlüsselung. Body, Attachment alles verschlüsselt. Art der E-Mail oder Codierung völlig irrelevant (was bei PGP Stichwort "HTML als inline" nicht ganz ohne ist).

Und ehrlich: passwortverschlüsselte Archive sind so 80er Jahre und in Menge auch mühsam wegen dem Passwortaustausch. Als Patentanwalt und Speerspitze der technologischen Berufe sollte man nicht mit der Pferdekutsche ankommen.

Gruß

Christoph Kral
VJP IT Department

 

[franzp]

Hallo,

wie wärs mit Datenaustausch mittels z.B. Dropbox als Alternative, oder in Verbindung
zu den Zip-Archiven, die ich ebenfalls für eine gute Lösung halte. Heutzutage gibt es
so viele Passwörter zu verwalten, da kommt es auf ein Weiteres nicht an und mit
IT-Abteilungen oder sonstigem Schnikschnak wie Zertifikateaustausch usw. muss man
sich auch nicht herumärgern und kann sich auf das Schärfen der Speerspitze konzentrieren.

 

[Informationstechnologie]

Dropbox und ähnliche Angebote sind potentiell als unsicher einzustufen und oftmals verdienen diese Firmen auch an der statistischen Vermarktung der eingestellten Daten. Das wusste schon Herr Snowden - der übrigens explizit vor Dropbox gewarnt hat -, das weiß auch der Fachverkehr und im Zweifellsfalle auch der Mandant. Also müsste man wieder verschlüsseln und/oder archivieren und wäre dann keinen Schritt weiter. Hinzukommt, dass man dem Mandanten ja auch die URL des Angebotes und entsprechende Passwörter wieder mitteilen müsste.

Privat genutzte Dienste muten beim Mandanten auch nicht sehr professionell an. Also Dateien bei upload.to oder rapidshare.com und Konsorten einstellen, verbittet sich von selbst. Auch gibt es rechtliche Vorschriften, was eine Kanzlei auf ausländischen Servern hosten darf. Standesrecht und Bundesdatenschutz erwähnt; vor einiger Zeit gab es hier auf dem Forum mal die Diskussion bezüglich der Anweisung der "Safehaltung" von noch nicht eingereichten Anmeldungen. Aber das ginge zu weit und ich weiß die Praxis sieht immer anders aus.

Wenn man eine relativ einfache und sehr kostengünstige Bereitstellung von Dateien für den Mandanten haben möchte, Verschlüsselung zu aufwändig ist, dann vielleicht bei einem soliden deutschen Hoster (keine werbefinanzierten Massenhoster wie 1und1, GMX oder web.de, eher sowas wie Host Europe) einen "FTP-Space" buchen. Dann kann man individuellen Mandantenzugang anbieten, dem Mandanten eventuell erlauben auch selbst Dateien hochzuladen und vor allem den Download überwachen und die Dateien auch zeitnah wieder entfernen.
Das sieht dann auch seriös und professionell aus. Qualitative Hoster erlauben auch ein "branding" der FTP-Seite und stellen oftmals auch eine HTTP-Seite für die FTP-Benutzung zur Verfügung (für Mandanten, die kein FTP-Programm benutzen wollen oder können).

Wenn man etwas Budget hat, es gibt inzwischen auch einige Firmen, die explizit für Firmen und dieses Einsatzgebiet "sicheren" Webspace in Deutschland zu hosten und ein entsprechendes Webinterface als Kundenportal anbieten. Das sieht dann mandantenseitig sehr schick aus und man muss sich wenig mit der Verwaltung des Angebotes befassen.