In der Business-Kommunikation ist das Internet als schnelles und zuverlässiges Medium zur Übertragung von Informationen nicht mehr wegzudenken. Doch als offenes Netzwerk birgt das Internet auch zahlreiche Gefahren. Für den Umgang mit sensiblen Informationen im Rahmen der B2B Kommunikation empfiehlt es sich deshalb, besondere Vorkehrungen zu treffen, um die Sicherheit der übermittelten Informationen zu gewährleisten.
So greifen viele Internet-Anwendungen wie das World-Wide-Web, die Real-Time Kommunikation oder der File-Transfer bereits auf Verschlüsselungsprotokolle zurück, die auf der Public-Key-Kryptographie basieren, um eine sichere Datenübertragung zu gewährleisten. Trotz dieser Tendenzen hat sich die Verschlüsselung von E-Mails noch nicht vollständig in den täglichen Arbeitsablauf integriert. Eine oft vernachlässigte bzw. unbewusste Sicherheitslücke stellt der E-Mail-Versand selbst dar, bei dem die E-Mails durch eine Reihe von Hosts übertragen werden und dabei ausgelesen oder sogar verändert werden können ("man in the middle attack").
Public/Private Key-Kryptographie
Das Sicherheitsniveau der Übertragungsstrecke (der vorgenannten Übertragungshosts) kann unter Anwendung der Public/Private Key-Kryptographie deutlich erhöht werden.
Die Grundlage des Kryptographie-Systems bildet der Einsatz von zwei Schlüsseln: ein öffentlicher Schlüssel und ein privater Schlüssel. Beide sind mathematisch miteinander verknüpft. Während der eine Schlüssel dazu dient, die Daten zu verschlüsseln, ist der Andere für die Entschlüsselung der Nachricht zuständig.
An einem Beispiel verdeutlicht, heißt das, dass Person 1 eine geheime Nachricht an Person 2 senden will. Hierzu muss Person 2 den öffentlichen Schlüssel durch einen offenen Kanal an Person 1 übersenden, was kein Problem darstellt, da dieser Schlüssel die Informationen nur verschlüsseln, nicht aber entschlüsseln kann. Person 1 kann dann die geheime Nachricht mit dem öffentlichen Schlüssel der Person 2 codieren und versenden. Nach Erhalt der Nachricht, kann Person 2 diese dann mit ihrem privaten Schlüssel – welcher stets sicher aufbewahrt und nie an Dritte weitergegeben werden sollte - decodieren.
Eine Unsicherheit bleibt jedoch bestehen: Wie kann Person 1 sicher sein, dass der öffentliche Schlüssel tatsächlich Person 2 angehört? Es existieren 2 Möglichkeiten, um dahingehend Sicherheit zu gewinnen: Die erste Möglichkeit stellt das sogenannte Certificate Authority (CA)-System dar, welches SSL verwendet. Dabei wird bei jeder HTTPS-Verbindung die Signatur des Schlüssels vom Server gegen eine vertrauenswürdige CA geprüft. Im Hinblick auf die jüngsten Sicherheitslücken wird dieses System allerdings zunehmend in Frage gestellt (siehe z. B. blog.mozilla.org/security). Hinzu kommt, dass diese Methode den Kauf eines Zertifikates erfordert und damit nicht die wirtschaftlichste Lösung bereitstellt.
Eine echte Alternative zum CA-System bildet das sogenannte "Web of Trust". Das "Web of Trust" ist eng in der Funktionalität der OpenPGP (www.openpgp.org) integriert und bietet die Möglichkeit, einen öffentlichen Schlüssel zu "beglaubigen", um damit die Echtheit der Person, die den Schlüssel besitzt, zu verifizieren. Dabei vereinigt OpenPGP ein selbst signiertes Zertifikat, das sich auf die Identität des Schlüssel-Besitzers stützt, mit dessen öffentlichen Schlüssel. Das Zertifikat enthält beispielsweise den vollständigen Namen, die E-Mail-Adresse sowie ein Foto des Eigentümers und garantiert damit eine eindeutige Zuordenbarkeit. Ungewiss bleibt dennoch, ob der Eigentümer des Schlüssels auch der Person entspricht, auf die das Zertifikat ausgestellt ist. Abhilfe kann hier nur ein persönliches Treffen zwischen den Beteiligten schaffen. Andernfalls ist man auf sein Vertrauen gegenüber den Personen angewiesen, die das Zertifikat unterzeichnen. Mit Rückgriff auf unser Bespiel bedeutet dies, dass Person 1 das Zertifikat von Person 2 erhalten hat, deren Identität aber nicht mit Gewissheit bestätigen kann. Eine dritte Person kennt Person 2 aber persönlich und bezeugt die rechtmäßige Identität mit einer Unterschrift auf dem Zertifikat. Da Person 1 Person 3 ebenfalls kennt, kann Person 1 auf die Signatur vertrauen und sich der Echtheit des Zertifikates gewiss sein. Auf Basis dieser Vertrauensverhältnisse werden ganze Vertrauensketten („Chain of Trust“) aufgebaut, die jedoch mit zunehmendem Umfang an Intensität verlieren. So vertraut man einem guten Freund in der Regel mehr, als einer flüchtigen Bekanntschaft. Um diese Vertrauenslücke zu schließen, organisieren PGP-Nutzer sogenannte "Key Signing Parties", auf denen sie sich mit anderen Nutzern treffen und deren Schlüssel unterzeichnen. Diese Bewegung rund um das „Web of Trust“ gewinnt zunehmend an Breitenwirkung. Weitere Informationen zum Thema stehen auch unter en.wikipedia.org bereit.
Das OpenPGP-System scheint auf den ersten Blick sehr komplex zu sein und sich schwer in den täglichen Kommunikations-Workflow integrieren zu lassen. Ein zweiter Blick macht jedoch schnell auf eine Reihe von Erweiterungen für fast alle E-Mail-Clients aufmerksam, die es ermöglichen, zusätzliche Funktionen wie One-Click Verschlüsselung und Inhalt-Zertifizierung zu integrieren. Mit Bezug auf unser Beispiel kann Person 1 als Absender also einerseits die E-Mail mit der Sicherheit verschlüsseln, dass nur der Besitzer des jeweiligen öffentlichen Schlüssels (Person 2) die Nachricht decodieren kann. Andererseits kann Person 1 auch den Inhalt der E-Mail unterschreiben und mit der digitalen Unterschrift bescheinigen, der Autor der Nachricht zu sein und ungewollte Änderungen damit ausschließen.
Soweit die Theorie. Einen praktischen Bezug bieten die nachfolgenden Ausführungen, die aufzeigen, wie man OpenPGP praktisch unter Windows einsetzt:
Zunächst muss Gpg4win z. B. in der Version 2.1.0. unter www.gpg4win.de heruntergeladen und installiert werden. Gpg4win umfasst eine Erweiterung für Outlook, einen Zertifikat-Manager und die Integration für Windows Explorer. Die Integration funktioniert ausschließlich auf 32bit Windows.
In einem zweiten Schritt wird GPA (Gnu Privacy Assistant) gestartet und ein privater sowie öffentlicher Schlüssel generiert.
Im Umgang mit kryptografischen Schlüssel empfiehlt es sich, dieselbe Sorgfalt wie bei eignen Hausschlüsseln walten zu lassen. Das heißt, die privaten Schlüssel sollten nie an Dritte weitergereicht werden und eine Sicherungskopie sollte an einem sicheren Ort (zum Beispiel in einem Safe) aufbewahrt werden. Für maximale Sicherheit sollte der private Schlüssel zusätzlich mit einem Passwort geschützt werden.
Im Anschluss empfiehlt es sich aus Sicherheitsgründen Windows neu zu starten. Nach diesem Vorgang können Dateien verschlüsselt und nur durch den autorisierten Nutzer selbst entschlüsselt werden. Dies ist zum Beispiel für sichere Backups sehr nützlich. Es ist wichtig darauf zu achten, dass der private Schlüssel nicht verloren geht, da nur mit diesem gesicherte Dateien wieder decodiert werden können.
Um GPG in Thunderbird zu integrieren, muss „Enigmail“ installiert werden. „Enigmail“ bezeichnet eine Erweiterung für Thunderbird und kann über den „Extension-Manager“ installiert werden.
Nach der Installation wird Thunderbird neugestartet. Im Nachgang werden zusätzliche Optionen von OpenPGP sichtbar. So können über das Menü Nachrichten verschlüsselt und/oder signiert werden. Darüber hinaus können E-Mail-Nachrichten mit dem privaten Schlüssel entschlüsselt werden.
Für den Fall, dass der öffentliche Schlüssel des Empfängers nicht greifbar ist, bietet Enigmail die Möglichkeit, diesen Schlüssel von einem KeyServer herunterzuladen. Nach Erhalt kann der Schlüssel inspektiert und die Vertrauenswürdigkeit des Zertifikats überprüft werden.
Für weiterführende Informationen steht eine umfangreiche Dokumentation zu Gpg4win unter www.gpg4win.org/documentation.html auf Englisch bzw. unter www.gpg4win.de/documentation-de.html auf Deutsch zur Verfügung.