Von Martina Jahn
Im E-Mail-Verteiler von Heinz-Arthur Kleiske stehen über 350 Adressen. In regelmäßigen Abständen verschickt der Innungsobermeister des Informationstechniker-Handwerks elektronische Post über den Verteiler. "Das sind oft Informationen, die nicht für die Allgemeinheit bestimmt sind", sagt Kleiske. Über einen besonderen Schutz der Daten habe er aber bisher noch nicht nachgedacht. Und damit steht er nicht allein.
Doch jeder, der vertrauliche Daten versendet, beispielsweise Verträge und Kundendaten, sollte an die Sicherheit denken. Das empfiehlt Michael Krauß vom Bundesamt für Sicherheit und Informationstechnik (BSI) in Bonn: "Wer sichergehen will, dass der Inhalt nur da ankommt, wo er hingehört, sollte E-Mails oder Dateianhänge verschlüsseln", betont der Experte aus der IT-Sicherheitsberatung.
Zwar könne der Virenscanner bei verschlüsselten E-Mails die Inhalte erst nach dem Entschlüsseln überprüfen. Umso wichtiger sei der Schutzmechanismus. Krauß betont: "Neben der Firewall auf dem Computer gehört auf jeden E-Mail-Client zusätzlich auch ein Virenschutz., der wie die Firewall auch regelmäßig aktualisiert wird."
Privater und öffentlicher Schlüssel
Es gibt verschiedene Möglichkeiten der Verschlüsselung. Eine gängige Methode auf dem Markt ist laut Krauß das kostenpflichtige Programm PGP (Pretty Good Privacy = ziemlich sichere Privatsphäre). Das BSI bietet auch eine kostenlose Version an, die genauso arbeitet. GPG4Win heißt das Programm und ist einfach in der Bedienung: Der Anwender erstellt sich mithilfe des Programms einen privaten und einen öffentlichen Schlüssel. Durch den einmaligen Austausch des öffentlichen Schlüssels zwischen Sender und Empfänger können E-Mails ver- und entschlüsselt werden. "Dieser Austausch muss vertrauenswürdig erfolgen, in der Regel durch persönliche Übergabe", sagt Krauß.
Zum Entschlüsseln gibt man seine geheime Kennung ein und öffnet die E-Mail oder den Anhang.
Eine andere Möglichkeit der Verschlüsselung ist eine sogenannte PKI (Public Key Infrastructure): Eine Zertifizierungsstelle verteilt auf Wunsch je Teilnehmer ein Schlüsselpaar (öffentlicher und privater Schlüssel). Der öffentliche Schlüssel wird mithilfe eines Zertifikates einer Person zugeordnet. Der private wird auf vertrauenswürdigem Wege der Person übergeben. Um verschlüsselte Mails zu empfangen, muss man im Besitz eines Zertifikates und des privaten Schlüssels sein. Der Austausch entfällt, da die öffentlichen Schlüssel als Zertifikate öffentlich zur Verfügung stehen.
Tipp: Eine PKI ist bei einem großen Teilnehmerkreis organisatorisch einfacher. Für Nutzer in einer kleinen Gruppe mit persönlichem Kontakt ist der Einsatz von GPG4Win leichter.
Ist das auch für Handwerksbetriebe interessant? "Für sensible Daten ist die Verschlüsselung ein Muss", sagt Udo Kaethner, Experte für E-Commerce und Internet bei der Handwerkskammer Braunschweig-Lüneburg-Stade. Dennoch habe sich diese Methode im Handwerk noch nicht durchgesetzt. Ausnahme: Betriebe, die spezielle Verfahren entwickeln, schützen ihren Postverkehr im Internet bereits auf diese Weise.
Sind die E-Mails echt?
Die digitale Signatur ist ein Mittel zur Echtheits-Prüfung von E-Mails. "Sie ist im Handwerk auf dem Vormarsch", bestätigt Kaethner. Eine digitale Signatur ist keine digitalisierte "echte" Unterschrift, sondern ein Bitmuster, das mittels eines mathematischen Verfahrens erstellt wird. Sowohl mit GPG4Win als auch mit dem PKI-System können Sie nicht nur Nachrichten sicher verschlüsseln, sondern auch digitale Signaturen erstellen.
Auch Handwerksmeister Kleiske hat Erfahrungen mit digitalen Signaturen. "Für meine Arbeit als Obermeister ist dieses System hochinteressant", sagt er. Der Informationstechniker wünscht sich, dass noch mehr Unternehmer es verwenden. Denn schließlich sollen keine Daten in falsche Hände geraten.
So vielfältig sind die Systeme
Symmetrische Verschlüsselung: Die Daten werden mithilfe einer geheimen Kennung ver- bzw. entschlüsselt. Sender und Empfänger muss der Schlüssel bekannt sein. Er wird deshalb vorher persönlich ausgetauscht. Problematisch ist dieses System, wenn mehr als zwei Personen einen Datenaustausch anstreben. Dann können möglicherweise andere vertrauliche Daten unter einigen Teilnehmergruppen nicht mehr geschützt werden.
Asymmetrische Verschlüsselung: Hier gibt es zwei sich ergänzende Schlüssel. Der Public Key (öffentlicher Schlüssel) und der Private Key (privater Schlüssel) ergeben ein Schlüsselpaar. Das Verfahren, das dahintersteckt, ist komplizierter als bei der symmetrischen Verschlüsselung. Deshalb ist diese Variante sicherer. Wer den öffentlichen Schlüssel des Kontaktpartners hat, kann Nachrichten verschlüsseln, aber nur der private Schlüssel erlaubt das Entschlüsseln von Nachrichten.
Voraussetzung für das vom BSI bereitgestellte Programm GPG4Win ist das Betriebssystem Windows 2000, XP, 2003 oder Vista. Für Linux-Rechner oder MAC heißt das Programm GnuPG - ein Pendant zu GPG4Win.
Download: Auf der Homepage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist erklärt, wie diese Schlüssel funktionieren. Die kostenfreien Verschlüsselungsprogramme können Sie hier runterladen.
(ja)