Symbolfoto mit Auge und darüber gelegten Ringen und senkrecht laufenden Zahlencodes

Awareness – Wo war noch gleich mein Schlüssel?

Inzwischen ist es selbstverständlich, verschlüsselt mit Servern im Internet zu kommunizieren. Aufmerksame oder IT-affine User erkennen dies am http„s“ in der Adresszeile des Browsers oder dem Schlosssymbol daneben.

Die digitale Kommunikation zwischen zwei oder mehr Menschen findet allerdings immer noch größtenteils unverschlüsselt per E-Mail statt. So werden zum Beispiel Systempasswörter, datenschutzrelevante, personenbezogene und sonstige vertrauliche Informationen versendet, ohne über die Konsequenzen nachzudenken. Die meisten E-Mail-Nutzerinnen und -Nutzer haben das Gefühl, dass E-Mails auf ihrem lokalen Client-PC sicher sind und deswegen nicht verschlüsselt werden müssen. Das ist in vielerlei Hinsicht ein Trugschluss. Zum einen können die Botschaften in Klartext auf dem Übertragungsweg gelesen werden – von jeder einzelnen Person, die Zugriff auf einen E-Mail-Server oder andere technische Übermittlungsstellen zwischen dem Sendenden und dem Empfangenden hat. Sie würden sich wundern, wie viele solcher Stellen allein bei einer im Inland verschickten E-Mail beteiligt sind ... Zum anderen liegen E-Mails in den allermeisten Fällen eben nicht auf lokalen Client-PCs, sondern werden im Unternehmensumfeld ebenfalls auf einem Server vorgehalten. Dort sind die Nachrichten desgleichen von jeder Person lesbar, die hierauf Zugriff hat.

Die Notwendigkeit einer E-Mail-Verschlüsselung sollte damit klar sein. Aber: Wer sollte seine E-Mails verschlüsseln? Die Antwort ist einfach: Jeder, der in irgendeiner Weise administrativ arbeitet, mit personenbezogenen oder sonstigen vertraulichen Daten umgeht. Das dürfte in der hessischen Landesverwaltung den überwiegenden Teil der Beschäftigten betreffen.

Wie bekommen Sie die Zertifikate, um Ihre E-Mails zu verschlüsseln und wie können Sie sie einsetzen? Sie müssen lediglich einen Antrag an die Hessen-PKI (Public Key Infrastructure) Verwaltung in der HZD senden und Sie bekommen zwei Zertifikate zugeschickt, die Sie künftig zur Verschlüsselung ihrer E-Mails nutzen können. Geben Sie hierzu im MAP einfach das Suchwort PKI ein, und Sie finden das entsprechende Formular. Sie können mit Hessen-PKI verschlüsselte E-Mails verschicken, wenn Sie mit Ihrem Adressaten Ihre Zertifikate ausgetauscht haben. Und das ist der Knackpunkt hierbei: Es funktioniert nur, wenn alle mitmachen und der Empfänger ebenfalls entsprechende Zertifikate besitzt.

Ein weiterer Vorteil von solchen Zertifikaten ist: Dokumente können dann elektronisch unterschrieben werden, ohne sie ausdrucken zu müssen. Das reduziert den Papierverbrauch und ist in Zeiten von Corona-bedingtem Homeoffice eine enorme Erleichterung von Arbeitsprozessen, da Medienbrüche verhindert werden können.

Mein Vorschlag an der Stelle lautet: Hessen-PKI-Zertifikate sollten hessenweit an alle Dienststellen verteilt werden. Es sollte zum Einstellungsprozess neuer Mitarbeiterinnen und Mitarbeiter gehören, diese initial mit einem Zertifikat auszustatten. Bis ein solcher Prozess in die Wege geleitet wird, können Sie sich schon heute ein Hessen-PKI-Zertifikat besorgen und diese einfache Möglichkeit nutzen, Ihr Arbeitsumfeld ein Stück sicherer und einfacher zu machen.

Autor des Beitrags

Albrecht Weiser
Security Test Service / TISP bei der HZD

Schlagworte zum Thema