Telefon: +43 (0)676 7509922
e-Mail: post@rainerstoll.at
Anschrift:
Ing. Mag. Rainer Stoll
Austraße 12/11
3500 Krems an der Donau
ÖSTERREICH
Externer Google Link (=> Datenschutzerklärung)
www.rainerstoll.at
(Anklicken für Kontaktinfo als vCard)
Hinweise zur e-Mail Kommunikation
Inhalt
Sicherheitsrisiken bei e-Mails
Vertraulichkeit Inhalte
Die Vertraulichkeit von e-Mail Kommunikation kann bei normaler Nutzung verschiedener e-Mail Anbieter – samt unbekannten Zwischenstationen beim Transport – in der Regel nicht gewährleistet werden! (Vergleichbar einer Ansichtskarte, die auf dem ganzen Postweg von jedem Beteiligten eingesehen werden kann.)
Dieser Umstand sollte bei jedem e-Mail Verkehr stets berücksichtigt werden. Wozu – im Bedarfsfall – auch dem jeweiligen Risiko angemessen auch entsprechende Sicherheitsmaßnahmen (insbesondere Verschlüsselung) gehören, wie ich sie Ihnen im Folgenden anbiete und auch Ihnen dringend zur eigenen Nutzung empfehle!
Manipulation Absender & Inhalte
Für Spam oder böswillige Zwecke werden oft nicht nur eine täuschend echt wirkende, dem Original sehr ähnliche e-Mail Adressen als Absender verwendet, es ist auch technisch möglich, echte Absenderadressen für gänzlich gefälschte e-Mails zu missbrauchen!
Diese sollen Sie dann beispielsweise dazu bringen, über einen beigefügten Link eine manipulierte Webseite zu öffnen, um dort vertrauliche Daten preiszugeben und/oder eine Schadsoftware zu installieren bzw. einen beigefügten Dateianhang zu öffnen, in dem sich eine Schadsoftware befindet, oder aber auch eine gefälschte Rechnung, die Sie dann in gutem Glauben an einen betrügerischen Empfänger bezahlen sollen!
Neben der stets gebotenen Achtsamkeit bezüglich korrekter Absenderadressen und ungewöhnlichen Textformulierungen empfiehlt sich bei konkreten Verdachtsfällen auch eine telefonische Rückfrage beim Absender. Als technischer Schutz gegen solche Manipulationen eignen sich insbesondere die – wie im Folgenden angesprochen – Signatur von PDF Dateien sowie die (GnuPG) Signatur von e-Mails.
Sichere e-Mail Kommunikation
Mein Vorschlag und Angebot zur sicheren e-Mail Kommunikation umfasst 5 unmittelbar umsetzbare, einander ergänzende und auch beliebig miteinander kombinierbare Maßnahmenpakete.
Nur erforderliche Informationen
Die sicherste aller Möglichkeiten ist ganz generell die Nichtübermittlung vertraulicher Informationen. Was nicht im Netz unterwegs ist, kann auch nicht verändert, mitgelesen oder abgefangen werden!
Die Kernfrage vor jeder Nachrichtenübermittlung lautet also: Muss der Empfänger diese Information überhaupt oder in diesem Umfang bzw. dieser Detailtiefe zu diesem Zeitpunkt haben?
(Datenschutzrechtliches Need-to-know-Prinzip)
Unter Umständen müssen dafür vorab Unterlagen auch überarbeitet bzw. reduziert oder neu aufbereitet/zusammengestellt werden (und personenbezogene Daten – insbesondere sensibler Natur – sofern überhaupt erforderlich, wenn immer möglich zumindest anonymisiert/pseudonymisiert).
Das ist zwar mitunter mit Aufwand verbunden, erhöht aber auch unmittelbar das Schutzniveau der Daten. (Weniger ist manchmal wirklich mehr!)
Und ich ersuche Sie hiermit ausdrücklich, mir für zwar alle relevanten Informationen für einen Auftrag mitzuteilen, aber – was vertrauliche und insbesondere personenbezogene Daten betrifft – auch nicht mehr. Was ich in dieser Hinsicht nicht wissen muss, will ich auch als Information gar nicht erhalten!
PDF Signatur / Passwortschutz
PDF Dateien können mit einer rechtsgültigen elektronischen Signatur versehen werden, welche eine eindeutige Verifikation erlaubt (z.B. mit Acrobat Reader), wer der Signaturersteller (Absender) ist und ob die Datei seit der Signaturaufbringung unverändert ist, inklusive der Möglichkeit, sich ggf. die unveränderte Originalfassung anzeigen zu lassen..
So können Sie dann z.B. bei allen von mir übersandten (standardmäßig signierten) PDF Rechnungen stets sicher sein, dass diese Rechnungen tatsächlich von mir stammen und auch nicht manipuliert wurden!
Alternativ zur Signatur (beides gleichzeitig ist nicht möglich) können PDF Dateien auch mit einem Passwortschutz gegen unbefugtes Öffnen versehen werden (empfohlene Verschlüsselung: 128/256 AES).
Hierbei ist dann zusätzlich auf einem zweiten Informationskanal (z.B. telefonisch) das jeweilige Passwort übermittelt werden, dass dann für jeden einzelnen Öffnungsvorgang der fraglichen PDF Datei eingegeben werden muss.
Passwortgeschützte .zip Dateien
Im vereinzelten Bedarfsfall ist für Normalanwender die Versendung vertraulicher Informationen in Form einer passwortgeschützten .zip Datei als Mail Anhang die vermutlich einfachste Lösung.
- Informationen als PDF Datei
Die vertraulichen Informationen werden – sowohl von Ihnen als auch von mir – statt direkt in eine Mail zuerst in einem normalen Dokument (Word etc.) erfasst und sodann als PDF gespeichert.
=> Zuverlässig ohne Änderung auf jedem Empfangsgerät wieder im Originalformat zu öffnen und auch sehr viel wengiger anfällig für mitübertragene Computerviren als z.B. MS-Office Dokumente! - PDF und/oder sonstige Dateien als passwortgeschütztes .zip verpacken
Aus allen gesichert zu übermittelnden Dateien (PDF, Tabellen, etc.) wird ein passwortgeschütztes ZIP Archiv erstellt, z.B. mit PeaZip:
Datei-Explorer => Dateiauswahl => Rechtsklick Kontextmenü => PeaZip > Zu Archiv hinzufügen
=> ZIP + Klick auf „Passwort / Schlüsseldatei eingeben“ => Passwort festlegen
mit Tab „Erweitert“: Verschlüsselung – Algorithmus AES-256 (Sicher, benötigt aber auch wieder PeaZip oder vergleichbare Software zum Entpacken, wohingegen normale Zip Verschlüsselung „ZipCrypto“ nicht mehr wirklich sicher, dafür aber direkt mit Mitteln des Betriebssystems per Doppelklick entpackbar ist.) - .zip Datei als normaler e-Mail Anhang versenden
Die erstellte .zip-Datei wird dann als normaler e-Mail Anhang versendet und kann von unberechtigten Dritten ohne das zugehörige Passwort nicht geöffnet werden! - .zip Datei wird beim Empfänger mittels Passworteingabe wieder ausgepackt
Beim Empfänger wird die .zip Datei aus der Mail gespeichert und dann wieder entpackt:
Explorer => .zip Datei => Rechtsklick Kontextmenü => PeaZip > Entpacken… => Passwort eingeben
- Passwortaustausch über anderen Kommunikationsweg
Das benutzte Passwort kann in jeder Richtung immer dasselbe sein und wird (einmalig) auf einem anderen Kommunikationsweg (Telefon, SMS, vor Ort, …) zwischen uns ausgetauscht.
GMX als gemeinsamer Provider
Sie haben – oder registrieren kostenlos – einen GMX e-Mail Account bei https://www.gmx.at/ und kommunizieren über die angebotene Webmailoberfläche oder Ihren Mail-Client (Outlook, Thunderbird, …) – bzw. über die verfügbare GMX App auf Android, iOS – mit mir mittels normaler e-Mails über meine GMX Adresse rainer.stoll@gmx.at
Auf diese Weise ist eine durchgängige Transportverschlüsselung sichergestellt, die Mails selbst sind nur noch auf den geschützten GMX Servern (Standort: Deutschland) im Klartext vorhanden.
GnuPG Verschlüsselung & Signatur
Vertrauliche e-Mails samt Anhängen werden mit GnuPG / OpenPGP jeweils vor dem Absenden für den vorgesehenen Empfänger mit dessen (zuvor einmalig übermittelten) „öffentlichen Schlüssel“ verschlüsselt und können auch nur von diesem nach dem Empfang mit seinem (stets geheimgehaltenen und niemals übermittelten) „privaten Schlüssel“ wieder entschlüsselt werden. Niemand dazwischen hat auch nur den geringsten Zugriff darauf! (= durchgehende „Ende zu Ende“ Verschlüsselung)
Als weitere Funktion kann der Absender mit seinem privaten Schlüssel eine digitale Signatur erstellen, welche vom Empfänger mit dem (ihm bereits bekannten) öffentlichen Schlüssel des Absenders wieder entschlüsselt werden kann. Womit auch die Identität des Absenders gesichert feststellbar ist! (= Schutz vor Betrugsversuchen mit gefälschten Absender-Identitätsangaben; Identitätsnachweis beruht jedoch allein auf Vertrauen beim vorangegangenen Austausch der öffentlichen Schlüssel)
OPENPGP via GMX
Verschlüsselte Kommunikation funktioniert mit der zuvor eingerichteten GMX Adresse – mit allen bereits dafür eingerichteten GMX Adressen, wie natürlich auch meiner – auf Knopfdruck (die zugehörigen öffentlichen Schlüssel aller GMX Adressen werden über GMX Server automatisch bereitgestellt),
… sobald Sie nach Anmeldung in der GMX-Weboberfläche einmalig bei den Einstellungen die Verschlüsselung eingerichtet haben. (Verlangt einmalig die Installation des Mailvelope Browser-Addons in Firefox oder Chrome und die Festlegung eines Zugriffspasswortes.)
Eine verschlüsselte Kommunikation ist danach auch über sämtliche GMX Apps möglich, sobald der private Schlüssel einmalig manuell darauf übertragen wurde!
OpenPGP via Mail Client
Sie installieren auf Ihrem Windows-Rechner Gpg4win (enthält Outlook-Plugin) – bzw. auf Mac OS X GPG Suite (inkl. Apple Mail Einbindung). Oder Sie verwenden den Mail-Client Thunderbird mit bereits integriertem OpenPGP, das bei der Einrichtung für jede ausgewählte e-Mail Adresse einmalig ein Schlüsselpaar erzeugt (öffentlich + privat; exportierbar für Backup etc.).
Sie können dann verschlüsselte e-Mails zwischen beliebigen Mail Providern austauschen (also auch zwischen Ihrer und meiner normalen Firmenadresse).
Dazu müssen jedoch stets vor der jeweils ersten verschlüsselten Kommunikation mit einem Partner einmalig – mit normaler e-Mail – die öffentlichen Schlüssel ausgetauscht (Beifügung auf Knopfdruck) und sodann im Mail-Client in die eigene lokale Schlüsselverwaltung importiert werden.
Hilfe bei der Umsetzung
Kunden und Geschäftspartnern stehe ich natürlich auch gerne persönlich mit Rat und Tat bei der Umsetzung bzw. Einrichtung der dargestellten Sicherheitsmaßnahmen für die Kommunikation mit mir zur Seite. (Es gibt jedoch in der Regel auch immer frei verfügbare Anleitungen dazu.)
Wenn Sie derartige oder auch sonstige Maßnahmen zur Datensicherung – z.B. in Erfüllung ihrer datenschutzrechtlichen Verpflichtungen oder für regelmäßigen vertraulichen Datenaustausch zwischen verschiedenen Unternehmensstandorten etc. – generell in ihrem Unternehmen implementieren wollen, stelle ich Ihnen meine Unterstützung natürlich gerne auch als eigenständige Beratungsleistung zur Verfügung!