Viele Informationen werden heutzutage per E-Mail übertragen – ohne E-Mail-Verschlüsselung. Verträge, Gehaltsabrechnungen, Fotos, BWA, Steuerdokumente, teilweise Gesundheitsdaten (MRT / CT Bilder, Befunde, etc.).
All diese Informationen müssen jedoch laut Bundesdatenschutzgesetz verschlüsselt – nach Stand der Technik – übertragen werden. Leider wird das von den wenigsten Versendern dieser Daten tatsächlich auch durchgeführt. Vielmehr werden diese Daten in der Regel unverschlüsselt via E-Mail übertragen, so dass grundsätzlich jeder diese Daten mitlesen, abfangen oder sogar manipulieren könnte.
Seit dem 25.05.2018 gilt europaweit die Datenschutzgrundverordnung (DSGVO). Die Gewährleistung von Datenschutz ist jetzt nicht nur gesetzlich verankert, sie stellt zudem die Bedeutung des technischen und organisatorischen Datenschutzes heraus. Dies werde insbesondere dadurch deutlich, dass zukünftig ein Verstoß gegen technisch-organisatorische Maßnahmen mit Geldbußen geahndet werden könne (Artikel 5 Abs. 1 f), 32, 83 DSGVO. Anmerkung: Nach Art. 84 Abs. 4 lit. a) DSGVO beträgt der Bußgeldrahmen bei Verstößen gegen Art. 32 DSGVO bis zu 10 Mio. Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist).
Es war seinerzeit lange gang und gäbe, dass Firmen, Steuerberater, Rechtsanwälte, etc. mit Ihren Kunden vereinbart haben, auf entsprechende Verschlüsselung zu verzichten. Das ist ebenfalls nicht mehr möglich. Die Hamburger Landesdatenschutzbehörde schreibt dazu:
Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass Ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden. […] Daher scheidet auch die elektronische Übertragung sensibler personenbezogener Daten ohne Verschlüsselung etwa per Mail aus, auch wenn der Betroffene explizit um die Übersendung per Mail bittet.
Wir bieten ab sofort eine DSGVO-konforme, zentrale E-Mail-Verschlüsselung an
Unsere Lösung basiert auf der Technik des Schweizer Unternehmens SEPPmail und stellt eine zentrale Gateway-Lösung dar.
Es wird keine zusätzliche Hard- oder Software, weder beim Versender, noch beim Empfänger benötigt. Es muss nichts (zwingend) installiert, keine S/MIME Zertifikate beschafft und gepflegt werden, etc. Weiterhin funktioniert das Verschlüsseln auch ohne weitere Einrichtung von Mobilgeräten, Outlook Web-Access, Dritt-Software, etc.
Das System arbeitet als managed virtuelle Appliance in unserem Rechenzentrum und wird durch uns verwaltet und gepflegt.
Es handelt sich hierbei um eine Gateway-Lösung. Das heißt, alle Mails eine entsprechende E-Mail-Domain betreffend (z.B. @domainxyz.com), durchlaufen das Verschlüsselungssystem und werden hierbei auch noch einmal zusätzlich auf Viren und Spam geprüft. Der Versender kann über ein zusätzliches Add-In (z.B. Outlook Download Outlook-Addin) oder über Steuerkommandos in der E-Mail-Betreffzeile die Verschlüsselung auslösen. Es werden also nicht zwangsläufig alle E-Mails verschlüsselt.
Der Empfänger der Email empfängt anschließend entweder eine verschlüsselte E-Mail (wenn der Empfänger selber schon Verschlüsselungstechnik einsetzt und diese korrekt konfiguriert ist, kann der Empfänger entschlüsseln) oder wahrscheinlicher: eine sog. Portal-Email.
Dabei erhält der Empfänger eine E-Mail, in der dieser darüber informiert wird, dass der Inhalt der E-Mail über das sog. GINA Portal abgerufen werden soll. Das wird noch der „Normalfall“ sein, da aktuell nur wenige E-Mail-Nutzer mit S/MIME, openPGP oder ähnlichem arbeiten.
Verfahrensbeschreibung
Eine kurze Beschreibung des Verfahrens können Sie unter folgendem Link einsehen. (SEPPmail-GINA-Kurzanleitung)
Der Entschlüsselungsvorgang
Wie Eingangs schon erwähnt, benötigt der GINA-E-Mail Empfänger, außer einem Client zum Empfangen von E-Mails und somit Internetzugang, sowie einen Browser keine weiteren Komponenten. Beim Öffnen des HTML-Attachments und während der Eingabe des Zugangspasswortes, wird im Hintergrund über eine https-Strecke das Passwort geprüft und die E-Mail an die SEPPmail Appliance temporär zur Entschlüsselung eingeliefert und danach über den GINA-Web-Mailer im Klartext dargestellt.
Die verschlüsselte E-Mail bleibt zu jeder Zeit im E-Mail System des Empfängers. Damit obliegt das Backup bzw. das Archivieren der E-Mail beim Empfänger. Ohne diese E-Mail hat er auch keine Möglichkeit diese über einen anderen Weg zu öffnen. Ein potentieller Angreifer benötigt daher beide Komponenten: E-Mail und Passwort. Eine „brute force“ Attacke ist nicht möglich, da die SEPPmail Appliance standardmässig nach 5 fehlerhaften Passworteingaben den Zugang sperrt.
Weiterhin haben wir als Hosting-Anbieter keinen Zugriff auf Ihre E-Mails, da diese nicht in der Appliance gespeichert werden, sondern durch diese lediglich ver- oder entschlüsselt werden. Somit ist auch der Datenschutz jederzeit uneingeschränkt gewährleistet.
Bei Interesse sprechen Sie uns bitte direkt an!