#04 Vertraulichkeit Part 3

[Michael] Schö­nen guten Mor­gen. Hal­lo.

[René] Schö­nen guten Mor­gen. Ja, dann auch von mir nochmal guten Mor­gen in die Runde. Ja, heute geht es nochmal um die TOMS, also ger­ade auch der Schw­er­punkt Ver­traulichkeit. Wir haben jet­zt zulet­zt ein­mal über Pass­wörter, Ken­nwort­sicher­heit gesprochen, MFA und im let­zten Teil war es dann eben Zutritt, Zugriff und Zugangskon­trolle. Und heute gehen wir schw­er­punk­t­mäßig auf die E‑Mail-Kom­mu­nika­tion, also vor allem, was Ver­traulichkeit, Ver­schlüs­selung ange­ht, ja, was es da für Möglichkeit­en gibt, um eben seinen E‑Mail-Verkehr zu schützen. Genau.

[Michael] Wir guck­en uns heute mal das Mys­teri­um der E‑Mail-Kom­mu­nika­tion an und fan­gen mit so ein paar Basics an, wenn wir in die Rich­tung Ver­traulichkeit gehen. Wer darf auf mein Post­fach zugreifen? Wie greife ich auf mein Post­fach zu? Von wo greife ich aufs Post­fach zu? Wer sollte vielle­icht nicht darauf zugreifen kön­nen? Und so weit­er und so fort und gehen dann weit­er in das The­ma Ver­schlüs­selung as S/MIME und in die tief­ere Tech­nik rein.

[Michael] Sehr cool. Fre­itag, geiles The­ma. Lass uns losle­gen. The­ma E‑Mail. Wir fan­gen an bei Adam und Eva. Ich glaube, jed­er von uns weiß, was E‑Mail ist und jed­er von uns schickt Dutzende von E‑Mails. Jeden Tag rüber. Und die E‑Mails, René, tech­nis­che Seite, kläre uns ganz kurz auf. E‑Mails liegen lokal auf dem Rech­n­er, gehen auf dem Serv­er. Erzähl tech­nisch so ganz kurz mal so ein Überblick, wie die E‑Mail von mir zu dir kommt, von A nach B, wie das funk­tion­iert und wie der Auf­bau ganz grob ist, dass wir so einen Ein­stieg kriegen. Genau.

[René] Es ist so, E‑Mails liegen je nach­dem, wie man es ein­gerichtet hat. Da gibt es unter­schiedliche Herange­hensweisen. Wenn man einen ganz nor­malen Hoster hat, Stra­to als ein­er der bekan­ntesten, dann ist es so, wenn man da jet­zt nicht Microsoft 365 oder so hin­ter­hat, liegen die E‑Mails erst­mal beim Hoster. Die emp­fan­gen dann E‑Mails auf jeden Fall. Und es ist so, je nach­dem, wie man es am Rech­n­er ein­richtet, da gibt es auch zwei Möglichkeit­en, POP und IMAP. Und bei POP rufe ich die E‑Mails tat­säch­lich ab beim Hoster. Dann ver­schwinden sie dort und liegen auf meinem Rech­n­er lokal. Oder es gibt eben die Möglichkeit per IMAP. Das heißt, ich rufe eigentlich immer nur die Ord­ner­struk­tur beim Hoster auf und dann liegen die E‑Mails dort. Das ist schon mal der erste Unter­schied. Und wenn wir dann von Microsoft 365 sprechen, dann ist es so, dass wir dann die E‑Mails gar nicht beim Hoster und nicht bei uns liegen haben. Sie liegen wirk­lich bei Microsoft im Exchange Online und wer­den von da eigentlich auch nur ver­wal­tet. Das heißt, ich gucke mir die an und schicke dann darüber auch und die Sachen liegen halt alle auss­chließlich dort.

[Michael] Das bedeutet natür­lich, der reg­u­la­torische, wenn man von der daten­schutztech­nis­chen Seite oder von der Infor­ma­tion­ssicher­heits­seite rein­grätscht in die ganze Sache. Wenn ich die Dat­en oder meine E‑Mails bei einem Hoster liegen habe, was die Regel ist. Ich werde gle­ich nochmal fra­gen, ob es wirk­lich noch POP3 Zugänge gibt und ob das tech­nisch über­haupt noch umge­set­zt wird. Aber in dem Moment, wo ich einen Host­ed Exchange habe oder habe einen IMAP Zugriff, dann ist es so, dass die Dat­en beim Hoster liegen und dann muss ich mit dem Hoster einen entsprechen­den Daten­schutzver­trag, einen AV-Ver­trag abschließen, weil der wird dann natür­lich zu meinem Auf­tragsver­ar­beit­er. Das ist nochmal so von einem reg­u­la­torischen Hin­ter­grund. Und ganz kurz noch, POP3 kenne ich von früher. Ist das noch Stand der Tech­nik, wird das noch genutzt und erst recht im Busi­nes­sum­feld oder ist das nicht echt wirk­lich eine tote Kiste?

[René] Stand der Tech­nik ist es natür­lich nicht mehr, aber es gibt dur­chaus noch Unternehmen, die das ein­set­zen. Dann aber eher kleine, muss man fair­erweise sagen. Es hat ein­fach damit zu tun, dass einige sich da ein ganz, ganz gün­stiges Host­ing-Paket holen und sagen, okay, dieses Paket hat so gut wie gar keinen Spe­ich­er. Also ich kann meine Mails da nicht lange liegen lassen, dann ist mein Post­fach voll und dafür nutzen einige das immer noch. Aber ger­ade über Microsoft 365 wird das jet­zt immer irrel­e­van­ter und das ist auch gut so.

[Michael] Gut, dann hal­ten wir uns an diesem POP-The­ma auch gar nicht so lange auf, weil das ist … War nur Voll­ständigkeit. Alles cool. Ich fand es auch inter­es­sant zu hören, dass es das über­haupt noch gibt. Ich dachte für mich wäre das The­ma durch. Okay, super. Das heißt, wir haben gek­lärt, dass E‑Mails in der Regel bei einem Hoster liegen und aber mit dem Rech­n­er oder mit dem eige­nen Endgerät, so will ich es mal aus­drück­en, so elek­tro­n­isiert wer­den. Auch das in der Regel, wir sind so ein biss­chen in der Microsoft-Welt unter­wegs, auch das nen­nen wir ein­fach mal als Klas­sik­er. Logis­cher­weise, es wird mit Out­look gemacht. Das heißt, du hast ein Out­look-Soft­ware auf dem Rech­n­er, die die E‑Mails lesen kann. Bleiben wir bei Out­look, ganz klas­sis­che Sache. Und du kriegst den Zugriff oder kriegst den Zugang zu deinem Out­look, ganz ein­fach, indem du dich ein­fach auf deinem Com­put­er ein­log­gst. Du log­gst dich auf deinem Rech­n­er ein, auf dem Rech­n­er ist Microsoft drauf, du machst Out­look auf und es macht ger­ade Zöng und du hast Zugriff auf deine E‑Mails. Und da ist so die erste Sache, wo ich mal rein­grätschen will, wenn wir über E‑Mail-Kom­mu­nika­tion reden und wir reden über E‑Mails, dann müssen wir logis­cher­weise auch betra­cht­en, was ich oder wir bei­de sehr wahrschein­lich in der Prax­is immer wieder erfahren, sind so Dinge, so Schlag­worte wie, ja, aber wenn ich im Urlaub bin, müssen meine Mitar­beit­er ja meine E‑Mails lesen kön­nen und wenn ich im Urlaub bin oder wenn ich mal krank werde, muss jemand Zugriff auf meine E‑Mails haben. Also teile ich mal kurz mein Pass­wort für meinen PC, also meinen User-Pass­wort und meinen User-Zugang auf den PC mit meinen Mitar­beit­ern oder mit meinen Kol­le­gen, damit meine Kol­le­gen bei Abwe­sen­heit darauf zugreifen kön­nen.

[Michael] Und zum The­ma PC-Zugang gehen wir jet­zt nicht tiefer drauf ein, das haben wir in der vorheri­gen Folge mal besprochen, kann gerne nachge­hört wer­den, aber wie sieht das denn aus mit Scheren von Pass­wörtern, Zugän­gen von Pass­wörtern, wie ist denn da die tech­nis­che Umset­zung, wie ist denn die Erfahrung bei dir an dieser Stelle, wie wird es denn prak­tisch gehand­habt und wie wäre es gut, wenn man es hand­haben würde?

[René] Ja, also das ist auch sehr durchwach­send, das ist so und so. Also gibt es dur­chaus, dass Scheren­wörter für Post­fäch­er auch geteilt wer­den, dass dann eben das Post­fach für den Zeitraum meinetwe­gen dann noch ein­gerichtet wird, aber mit­tler­weile, ich kann es nur immer wieder sagen, durch Microsoft 365 wird das hin­fäl­lig. Es ist halt so, dass der Admin­is­tra­tor in dem Augen­blick, wenn jet­zt jemand in Urlaub geht oder so, dieses Post­fach zuweisen kann. Das heißt, der andere hat über­haupt gar keine Notwendigkeit darin, irgend­wie sel­ber aktiv zu wer­den, das Ken­nwort zu wis­sen oder son­st was. Also wir kön­nen alle Möglichkeit­en bere­it­stellen, ob ich darüber senden will oder nur im Auf­trag darüber senden will oder eben direkt das Post­fach ein­fach nur ein­se­hen kann. Also da gibt es ganz viele Möglichkeit­en, es ist viel ein­fach­er als vorher und ein ganzes Stück sicher­er.

[Michael] Das heißt run­terge­brochen, kein­er muss sein Pass­wort teilen, wenn er in den Urlaub geht. Kein­er muss sein Pass­wort an den Chef weit­ergeben oder son­st irgend­was. Pass­wörter sind selb­st eigene, per­sön­liche Pass­wörter, die gehören an keinen, zu kein­er Zeit weit­ergegeben. Und wenn wirk­lich, kommt im Anschluss darauf, warum das auch schlecht ist, wenn wirk­lich ein weit­er­er Mitar­beit­er Zugang auf ein per­sön­lich­es E‑Mail-Post­fach kriegen soll, kann es der Admin über entsprechende Richtlin­ien und Ein­stel­lun­gen so steuern, dass das bei dem Mitar­beit­er, der drauf guck­en soll, eben im Out­look auch auf­poppt. Der richtet einen ganz klas­sis­chen Kon­to, eine Weit­er­leitung, was auch immer ein und dann sind die Dat­en eben bei dem Mitar­beit­er, der es lesen soll und es gibt keine Notwendigkeit zum Teilen von irgendwelchen Pass­wörtern und son­st irgend­was für die Zugriffe von Out­look. Das ist glaube ich.

[René] Als ITler muss ich da nochmal ganz kurz dazwis­chen. Bitte keine E‑Mails weit­er­leit­en und im Ursprungspost­fach liegen lassen. E‑Mail-Archivierung ist da auf jeden Fall ein The­ma, sollte ja jed­er haben, das Gesetz nicht vorgeschrieben. Und da ist es halt wirk­lich schwierig. Also dann Redun­danzen zu schaf­fen, dass E‑Mails irgend­wie dop­pelt in den Archiv­en liegen. Bitte bloß nicht machen. Dann lieber entwed­er aus dem Ursprungspost­fach gle­ichzeit­ig löschen, also dass es eben da gar nicht liegen bleibt oder eben das ganze Post­fach teilen.

[Michael] Ja, also das Weit­er­leit­en von E‑Mails ist ein Spaß im Unternehmen. Also das gibt es ganz oft und dadurch, dass du ja GOBD hast und musst E‑Mail-Archivierung, ich glaube E‑Mail-Archivierung ist auch nochmal, wenn wir heute nicht mehr dazu kom­men, nehmen wir dazu nochmal ein The­ma, ist halt auch die Hölle in dem Moment, wo du weit­er­leitest, dann spammst du dir dein E‑Mail-Archiv der­maßen voll. Und erst recht, wenn du eine Pow­er­Point hin­ten dran hast, die noch 20 Megabyte groß ist und wenn du die dann mal eben schnell an 10 Leute verteilst, dann pumpt sich das E‑Mail-Archiv entsprechend auf. Ja, das ist richtig. Aber wo man drauf acht­en soll, wir sind jet­zt bei dem The­ma per­sön­lich­es Post­fach und wir sind beim The­ma Teilen und Vertre­tungsregelung. Das ist ja das, worüber wir reden. Und da muss man nochmal ein biss­chen dif­feren­zieren und dann sollte man sich das von der tech­nis­chen und auch von der reg­u­la­torischen Seite nochmal anguck­en, weil ein per­so­n­en­be­zo­genes Post­fach ist und bleibt ein per­so­n­en­be­zo­genes Post­fach. Und auf jeden Fall soll­ten Unternehmen, das ist ganz, ganz wichtig, reg­u­la­torische Sicht, Regelun­gen mit den Mitar­beit­ern tre­f­fen, dass es unter­sagt ist, mit dem per­sön­lichen Post­fach pri­vate E‑Mails zu schreiben, weil das ist zwar ein per­sön­lich­es Post­fach, aber es ist kein pri­vates Post­fach. Das ist so ein biss­chen Haarspal­terei, aber man muss da ganz klar auf­passen. Es ist das Post­fach per­sön­lich für den Mitar­beit­er, für seine Tätigkeit im Unternehmen. Es ist nicht dafür gedacht, mit dieser E‑Mail-Adresse Arzt­briefe auszu­tauschen, was ich in der Prax­is schon gese­hen habe, irgendwelche Ama­zon-Bestel­lun­gen auszulösen, irgendwelche Konzep­tkarten zu bestellen, Tick­ets im Kino etc. Dieses Post­fach ist nur für die per­sön­liche, dien­stliche Kom­mu­nika­tion gedacht. Und das muss man in Unternehmen klar regeln. Also da muss es eine Richtlin­ie, ein Stück Papi­er geben, wo drauf ste­ht, lieber Mitar­beit­er, du bist informiert und du darf­st bitte mit diesem Post­fach nichts Pri­vates machen. Weil Hin­ter­grund von der ganzen Sache ist, in dem Moment, wo ich es teile mit anderen, wenn wir über das The­ma Abwe­sen­heit reden, und wo ich über das The­ma Archivierung rede, komme ich als Unternehmen und als Chef in einem Unternehmen in die größten Prob­leme und in die größte Rota­tion rein, wenn ich nicht auss­chließen kann, dass pri­vate Dat­en da drin liegen. Und da muss bitte jedes Unternehmen auf­passen, muss entsprechende Regelun­gen tre­f­fen. In der Regel unter­sagt man die pri­vate Nutzung. Und selb­st dann, da kannst du mir jet­zt gle­ich was zu sagen, selb­st dann bin ich ein Fre­und von Sys­tem­post­fäch­ern. Also von Post­fäch­ern, die nicht auf Per­so­n­en bezo­gen sind, son­dern Post­fäch­er, die sich nen­nen Ver­trieb-Ad, Einkauf-Ad, Tech­nik-Ad und das dann entsprechend zuweisen kann. Und wie das funk­tion­iert, René, kurz rein spoil­ern, erk­lär es nochmal kurz für alle die, was der Hin­ter­grund ist, warum ich das meine.

[René] Ja, so bleiben wir bei Microsoft 365, weil das so ein­fach der aktuelle Fall ist. Es ist so, es gibt ein­fach auch keinen Grund dafür, diese Post­fäch­er nicht anzule­gen. Also wenn man jet­zt sagen würde, es gibt jet­zt Kosten­gründe oder keine Ahnung, aber das ist gar nicht der Fall. Das heißt, ich muss bei Microsoft ja nur meine Per­so­n­en lizen­zieren und kann dann x viele Post­fäch­er freigegeben anle­gen und die kann ich dann den einzel­nen Per­so­n­en zuweisen. Das heißt, ich kön­nte jet­zt auch ein Info-Ad-Post­fach haben, was dann nach­her zwölf Leute sehen. Der Vorteil, den wir dabei haben, ist, dass auf so ein­er Info@-Adresse oder Einkauf oder was weiß ich was, dass da eben nur entsprechende Mails kom­men, wie du ja ger­ade schon gesagt hast, also das heißt wirk­lich nur diesen Teil der E‑Mail-Kom­mu­nika­tion betr­e­f­fen, also meinetwe­gen Bestel­lung, dann geht es wirk­lich nur um Bestel­lung. Und in diesem Bere­ich arbeit­et ja am meis­ten mehr als eine Per­son und dann ist es so, dass ich über dieses Post­fach sehen kann, wurde die Mail schon bear­beit­et, was haben wir darauf geant­wortet, keine Ahnung. Also wir teilen wirk­lich den ganzen Work­flow miteinan­der und sehen genau, was die anderen gemacht haben oder ob eben noch was notwendig ist.

[Michael] Und genau das finde ich so super wichtig, weil dieses Shared-Post­fach, lass uns mal beim Einkauf@ bleiben, wenn ich drei Leute im Einkauf sitzen habe und jed­er han­delt die Einkäufe mit sein­er per­sön­lichen E‑Mail-Adresse ab, dann ist immer die Frage, hast du es schon bestellt, ist das schon drin, hier du bist im Urlaub, da hat­test du doch noch eine E‑Mail geschrieben, jet­zt brauche ich nochmal Zugriff. Wenn ich aber per­ma­nent über ein Sys­tem-Post­fach das Ganze laufen lasse und das syn­chro­nisiere unter meinen drei Mitar­beit­ern, die dann in der Abteilung sitzen, dann ist es immer klar und jed­er ist auf dem aktuellen Stand. Jed­er kann ein­se­hen, was ist reingekom­men, was wurde gesendet. Ich kann natür­lich den Ord­ner anle­gen, das ist ein nor­males Post­fach. Da kann ich einen bear­beit­et, einen nicht bear­beit­et, einen gesendet, einen Monat, wie auch immer ich mich organ­isiere und dann habe ich halt immer die Infor­ma­tio­nen, die ich benötige und der Ben­e­fit ist, ich ziehe sie aus dem per­sön­lichen Post­fach raus. Und in dem Moment, wo ich die Kun­den oder mich selb­st in meinem Unternehmen trig­gere mit Sys­tem-Post­fäch­ern zu arbeit­en, komme ich gar nicht mehr in das The­ma rein, dass ich mir Gedanken machen muss, der geht jet­zt in den Urlaub, wie kann ich denn an denen seine E‑Mails tra­gen, weil auf das ja nichts mehr kommt, weil der Haupt­fokus echt das Sys­tem-Post­fach ist. Und das ist der riesen Ben­e­fit, den ich an dieser Stelle sehe.

[René] Ja, ich finde, wenn man jet­zt wirk­lich das Ganze auf die Spitze treiben möchte, dann ist vielle­icht Einkauf sog­ar nicht das Post­fach, was so am kri­tis­chsten ist. Würde ich natür­lich trotz­dem genau­so machen, aber wenn man so, nehmen wir mal, ich weiß nicht, ob es jed­er ken­nt, aber viele ken­nen es ja, Rekla­ma­tio­nen. Wie lange zieht sich eine Rekla­ma­tion mit einem Her­steller oder mit einem Liefer­an­ten hin? Und dann ist es ja wirk­lich schwierig, dass eine Per­son den gesamten Kom­mu­nika­tionsverkehr mit dem Her­steller oder Liefer­an­ten sel­ber durch­führt. Das ist ja sel­ten. So, und wenn man dann über vier Wochen da irgend­wie eine Kom­mu­nika­tion hat, macht es natür­lich Sinn, dass auch jed­er die weit­er­führen kann und auch vor allem ein­se­hen kann, was ist da bish­er eigentlich gelaufen.

[Michael] Ja, das reduziert das in Kopiesätzen der einzel­nen Mitar­beit­er. Also wenn du es auf die per­sön­liche E‑Mail reinkriegst, das wird dann an fünf Tech­niker weit­ergeleit­et. Schaut mal, da ist jet­zt das und das Prob­lem gekom­men und das streut sich der­maßen. Das ist immer wieder beim The­ma Archivierung und Post­fach auf­pumpen und das habe ich halt in dem Sys­tem-Post­fach nicht, weil die Infor­ma­tio­nen an ein­er Stelle zen­tral für ver­schiedene berechtigte Mitar­beit­er eben zur Ver­fü­gung ste­hen. Und das ist mein­er Mei­n­ung nach in Unternehmen den Weg, den man ein­schla­gen sollte, um da auf eine sichere Seite zu kom­men.

[René] Ja, richtig. Sag mal, vorhin hast du es kurz gesagt, E‑Mails weit­er­leit­en. Was sagst du denn so aus Daten­schutzsicht? Kann man Mails, also sein eigenes Post­fach ein­fach blind weit­er­leit­en? Wäre das daten­schutztech­nisch in Ord­nung, das zu tun?

[Michael] Also ich halte vom gesun­den Men­schen­ver­stand nichts von weit­er­leit­en, genau aus den Grün­den, die du eben auch schon ange­sprochen hast, weil du ein­fach hochdu­pliziert und ich würde es auch son­st nicht machen. Aus Daten­schutzsicht ist kri­tisch, weil auch wenn du es aus­geschlossen hast, die pri­vate Nutzung, es schle­icht sich doch immer mal was rein und du hast immer mal auch so per­sön­liche Dinge. Also für mich per­sön­lich ist mein per­sön­lich­es Post­fach, mein per­sön­lich­es Post­fach, da geht kein­er dran und da hat kein­er dran zu gehen. Und wenn die da in irgen­dein­er Art und Weise dran müssen oder dran müssen, dann müssen wir halt mit Sys­tem­post­fäch­ern arbeit­en oder es müssen tem­poräre Freiga­ben geben, aber es gibt keine pauschale Weit­er­leitung. Ich glaube, wenn wir das The­ma Vertre­tung ansprechen, auch das ist noch mal ganz kurz wichtig, wenn ich jet­zt von heute auf mor­gen krank wer­den würde, dann kann ich ja, wenn ich in die Fir­ma komme, keinen Abwe­sen­heit­sagen­ten mehr ein­richt­en. Da muss sich aber doch auch kein­er auf meinen Rech­n­er anlock­en kön­nen, um den Abwe­sen­heit­sagen­ten zu aktivieren. Das kann man doch auch über die Admin-Ober­fläche machen, oder? Hol uns noch mal ganz kurz tech­nisch ab, weil ich glaube, das ist noch mal ein wichtiges The­ma.

[René] Das ist auf jeden Fall möglich. Also für alle Pro­duk­te in der Microsoft-Welt, also wenn es jet­zt wirk­lich um das Out­look geht, um Teams meinetwe­gen auch, also erst­mal habe ich natür­lich außer Ferne auch immer die Möglichkeit übers Handy oder was weiß ich, wenn ich ein Fir­mengerät habe, dass ich es darüber mache, oder eben der Admin­is­tra­tor hat genau­so die Möglichkeit, das direkt im Ten­ant zu machen, also im Microsoft-Account und kann es dann da über die Ober­fläche direkt lösen. Das geht.

[Michael] Und da ist für mich der gold­ene Königsweg oder der Weg, den ich Unternehmen immer empfehle. Da ste­ht in dem Abwe­sen­heit­sagen­ten, hey, schön, dass du dich an mich wen­d­est. Danke, dass du dich bei mir meldest. Ich bin aktuell nicht im Unternehmen. Deine E‑Mail wird nicht weit­ergeleit­et. Sollte es wichtig sein, wende dich bitte an und dann da natür­lich Info-Ad, Vertrieb@, Buchhaltung@, etc. Da kann aber auch natür­lich der Name vom Mitar­beit­er ste­hen. Also wenn die Gisela die Vertre­tung von mir ist, dann kann ich da unten auch rein­schreiben. Ich bin nicht da. Deine E‑Mail wird nicht weit­ergeleit­et. Willst du was Wichtiges haben, schreib bitte gisela.xy an, die hil­ft dir. Und dann, das kann ich so regeln. Das kann ich so machen. Aber es gibt keine pauschale Weit­er­leitung von E‑Mails, son­dern in dem Abwe­sen­heit­sagen­ten ste­ht drin, ich bin nicht da. Wenn du was Wichtiges hast, schick es bitte nach da und da. Anson­sten warte, bis ich aus dem Urlaub zurück­komme. Und auch da nochmal, das ist nochmal so ein Run­ning-Gag. Wenn ich nicht da bin, bin ich nicht da. Da ste­ht nicht drin, ich bin jet­zt drei Wochen auf der Male­di­v­en oder ich habe mir beim Ski­fahren die Hax­en gebrochen und deswe­gen komme ich nicht, son­dern ich bin entwed­er im Unternehmen oder ich bin nicht im Unternehmen. Und auch für alle anderen Mitar­beit­er ist das auch immer, ich merke es halt immer mal so ein Nähkästchen. Ja, der Kol­lege ist nicht da, der hat einen Ski­un­fall gehabt. Oder hier, ich war diese Woche bei ein­er Daten­schutzver­anstal­tung, da ging es zum The­ma Infor­ma­tion­ssicher­heit und Daten­schutz. Und wirk­lich, hochkarätiges Pub­likum und der Red­ner auf der Bühne sagt, ja der Herr Schmitz ist lei­der ver­hin­dert und kann nicht kom­men, der hat Coro­na. Denke ich mir, ich sitze da nur so schön drin und denke mir, ja schön, schön, schön. Ein­mal Artikel 9 Dat­en quer rüber gestreut. Das macht man nicht. Ein Mitar­beit­er ist da oder ist nicht da. Aber man sagt nicht, dass er krank ist, dass er sich, das geht keinem von draußen was an.

[René] Aber das war doch ein Test. Das war Absicht, um euch zu testen.

[Michael] Das war kein Test und es haben auch nur die Ken­ner gelacht, sage ich es mal so. Das sind echt so Sachen, die gehen gar nicht.

[Michael] Aber lasst uns doch mal ganz kurz wieder nochmal zurück­kom­men, tech­nisch organ­isatorische Maß­nah­men. Wir haben, ich glaube, das The­ma mit E‑Mail Zugriff, wer wie was kann, wie was regelt, ist ganz gut erk­lärt. Jet­zt lasst uns mal rüberge­hen zur E‑Mail Ver­schlüs­selung. Eine E‑Mail ist ja, bleiben wir bei mir und bei dir, wenn ich sie zu dir schicke, stan­dard­mäßig bitte wie ver­schlüs­selt?

[René] Stan­dard­mäßig? Gar nicht.

[Michael] TLS oder?

[René] Ja, über die ganz nor­malen. Aber ich habe halt nicht zusät­zlichen Schutz. Das heißt, TLS ist ja Stan­dard oder SSL, eins von bei­den, je nach­dem was genutzt wird. Aber das ist auf jeden Fall der Stan­dard. Darüber hin­aus gibt es natür­lich noch weit­ere Möglichkeit­en.

[Michael] Das heißt, der Stan­dard ist zwar schon keine Briefkarte mehr, um mal bildlich zu bleiben, aber es ist halt ein­fach nur, es liegt halt ein klein­er Briefum­schlag dabei oder beziehungsweise deine Nachricht ist halt in einem stin­knor­malen Briefum­schlag drin und ist für den Trans­port von A nach B so zu, dass er in dem Trans­portweg nicht geöffnet wer­den kann oder ver­schlüs­selt ist. Aber jed­er andere kann sich die abgreifen, kann den Schlüs­sel aufreißen, Briefum­schlag aufreißen und kön­nte dann die Infor­ma­tion lesen, wenn wir mal in der Sinnbild­sprache drin­nen bleiben.

[René] Ja, also da ist auch wirk­lich nur dieser öffentliche Schlüs­sel dahin­ter. Also sprich der Serv­er-Schlüs­sel vom Hoster und dem Gegenüber. Also die tauschen sich ja aus. Das heißt, da bin ich auf jeden Fall bei so ein­er ganz ein­fachen Ver­schlüs­selung. Ja, und darüber hin­aus gibt es natür­lich weit­ere Wege, um es zu stärken, also die Sicher­heit zu ver­stärken. Also da, SMIME ist auf jeden Fall mit­tler­weile so der Stand der Dinge. Gibt es zwar schon ewig lange, seit 95 gibt es das schon, aber es ist halt so, dass es bish­er noch keine Möglichkeit gibt, das zu knack­en. Und SMIME ist so, dass wir dort ein Zer­ti­fikat kaufen. Also das wird zusät­zlich gekauft und das Zer­ti­fikat hat zwei Möglichkeit­en. Ein­mal ist es dafür da, dass ich meine eigene Iden­tität dem Gegenüber bestätige. Das heißt, also da gibt es auch nochmal unter­schiedliche. Ein­mal gibt es welche, das ist halt eine ganz nor­male dig­i­tale Ver­sicherung. Man sagt halt dem Anbi­eter der Zer­ti­fikate, ja ich bin das. Dann macht er das. Es gibt aber auch die Möglichkeit, das noch sicher­er zu machen, wo man sich mit einem Per­son­alausweis authen­tifiziert. Das heißt, dann bin ich auf jeden Fall ganz, ganz sich­er. Also das sind so ver­schiedene Stufen in diesen Zer­ti­fikat­en, die es da gibt. Und so kann ich auf jeden Fall dem Gegenüber sig­nal­isieren, hey, ich bin es wirk­lich, meine Iden­tität ist bestätigt. Im Out­look wird das auch angezeigt, indem vor der Mail oder hin­ter der Mail, je nach­dem welche Out­look-Ver­sion man nutzt, so ein Badge angezeigt wird.

[Michael] Ist das dieser kleine, ist das das kleine Schloss, das kleine grüne Schloss, gell?

[René] Naja, Schloss ist tat­säch­lich sog­ar noch was anderes. Das ist eine voll­ständi­ge Ver­schlüs­selung. Also das ist so ein rot­er Badge, der wird dahin­ter angezeigt. Und der ist halt wirk­lich nur dafür da, dass meine Iden­tität bestätigt ist. Und dann habe ich halt die Möglichkeit, dann nochmal zu sagen, okay, ich möchte die Mail ver­schlüs­seln. Wenn wir von per­so­n­enbe­sor­ge­nen Dat­en sprechen, da sind wir dann wieder in deinem Bere­ich. Also wenn wir davon sprechen, soll­ten wir Mails auf jeden Fall ver­schlüs­seln. Bedeutet, dass wir die Möglichkeit haben, die Mail wirk­lich so zu ver­schlüs­seln, dass nur der Gegenüber das öff­nen kann. Das passiert dadurch, dass so ein S‑MIME-Zer­ti­fikat mit zwei Schlüs­seln verse­hen ist. Ein­mal der öffentliche Schlüs­sel. Der ist für alle ein­se­hbar. Und es gibt noch einen pri­vat­en Schlüs­sel. Und dieser pri­vate Schlüs­sel wird wirk­lich nur zwis­chen diesen bei­den Per­so­n­en aus­ge­tauscht, die ger­ade Kom­mu­nika­tion haben. Und was da auch ganz wichtig ist, dieser Schlüs­sel, der kann auch nicht generell aufgeschlüs­selt wer­den und nach­her das alles angreif­bar wäre. Also wenn man jet­zt eine Mail hat, die ursprünglich geschickt wird und die die emp­fan­gen wird, da kann man nichts mit anfan­gen, weil diese Schlüs­sel bei jed­er Mail neu gener­iert wer­den. Und dadurch ist das ganze Ver­fahren halt auch so sich­er.

[Michael] Und das ist auch das, was ich inzwis­chen, wenn ich bei Unternehmen bin, die viel mit per­so­n­en­be­zo­ge­nen Dat­en umge­hen und per­so­n­en­be­zo­gene Dat­en im E‑Mail-Verkehr mit drin haben, das ist immer Stich­wort Bewer­berkom­mu­nika­tion und dem ganzen Kram, wo ich wirk­lich den Unternehmern ans Herz lege, macht euch Gedanken um eine Ende-zu-Ende-E-Mail-Ver­schlüs­selung. Weil das ist ja das, was wir am Ende vom Tag jet­zt ger­ade, was du so dargestellt hast, wo ich wirk­lich sage, ver­lasst euch nicht auf dieses Stan­dard-TLS-Pro­tokoll, was da kommt. Das ist nichts in der heuti­gen Zeit, son­dern ihr habt so eine hohe E‑Mail-Kom­mu­nika­tion. Auch das, gehen wir rüber von der DSGVO in die Infor­ma­tion­ssicher­heit. Wenn ich Zeich­nun­gen von meinen Pro­duk­ten hin und her schicke oder am Ende noch Entwick­lungsze­ich­nun­gen oder Gedanken und so einen ganzen Kram rüber­schicke und das nicht mit ver­schlüs­sel­ten E‑Mails betreibe, dann öffne ich krim­inellen Tür und Tor und wenn die Dat­en ein­mal weg sind, sind sie weg. Erst recht, wenn Know-how abfließt. Kannst den Leuten immer mit der DSGVO, mit Daten­schutz und per­so­n­en­be­zo­gen­er Dat­en kom­men. Aber wenn du sagst, was ist denn mit deinen Entwick­lungs­dat­en, was ist denn mit deinen Kern­dat­en, die du ger­ade per E‑Mail tauscht, vielle­icht Entwick­ler, die remote arbeit­en, die sich was hin und her jagen. Was ist denn da? Ver­schlüs­sel bitte deine Kom­mu­nika­tion. Und da ist S‑Main, glaube ich, der Stan­dard, der sich inzwis­chen durchge­set­zt hat beziehungsweise sich durch­set­zen wird und state of the art ist.

[René] Genau. Und da gibt es halt, nur um das noch zu sagen, man kan­nte es immer, dass man die Zer­ti­fikate lokal für einen Rech­n­er kauft, sie dort ein­richtet und das ist mit­tler­weile auch über­holt. Es gibt wirk­lich Sys­teme, die übernehmen das kom­plett. Dann braucht man gar nichts mehr am Rech­n­er machen. Die Sys­teme erneuern das Zer­ti­fikat automa­tisch und so läuft es dann vor sich hin und funk­tion­iert ein­fach.

[Michael] Gott sei Dank. Ich glaube, wie ich das vor vier oder fünf Jahren das erste Mal in Angriff genom­men habe, dann hat­test du das Prob­lem, dass die Mails ver­schlüs­selt im Archiv lagen. Schlüs­sel nicht mehr da, kommt es an die Archiv-E-Mail nicht mehr dran. Aber die Angst kann man nehmen. Wir sind 2023, es gibt Tech­nik, die funk­tion­iert. Also ihr kön­nt natür­lich noch auf eure Archiv-Dat­en zugreifen und auf eure Out­look-Dat­en zugreifen. Der Schlüs­sel ist da vorge­set­zt, der Schlüs­sel hängt im Exchange drin an der Stelle. Der ist vorge­lagert. Und das machen. Für alle, die tech­nisch affin sind und mal zum Chef gehen, mal ein Ange­bot erstellen lassen, sich mal Gedanken machen, wo man Schlüs­sel kaufen kann, machen. Es hil­ft das Unternehmen und es erhöht die Infor­ma­tion­ssicher­heit expo­nen­tiell.