E-Mail-Verschlüsselung: Ich kann wollen so viel ich will

Viel zu selten – eigentlich habe ich es so direkt noch nicht gelesen – wird bei Beschreibungen von PGP oder S/MIME zur E-Mail-Verschlüsselung klar auf folgenden Aspekt eingegangen, der den einfachen Einsatz dieser Technologien in meinen Augen so schwierig macht.

Ich kann meinem Gegenüber so viel E-Mails verschlüsselt zuschicken und mich an Datenschutz- und Datensicherheitsbelange halten wollen wie ich will – ich kann es aus eigenem Antrieb einfach nicht. Denn wenn Sender und Empfänger nicht gerade gemeinsam spezielle E-Mail-Dienste nutzen, gilt folgendes:

Möchte ich dem Empfänger eine verschlüsselte E-Mail zukommen lassen, benötige ich den öffentlichen Teil seines Zertifikat bzw. seinen öffentlichen Schlüssel, um meine E-Mail verschlüsseln zu können. Der Empfänger entschlüsselt dann mit seinem privaten Zertifikat/Schlüssel.

Es ist somit der Empfänger, der mir vorgibt, ob ich verschlüsseln kann oder nicht. Ich kann in dieser Hinsicht nichts aus eigenem Antrieb tun. Außer natürlich ich verschlüssele die Anhänge und die Inhalte separat – zum Beispiel per ZIP/7Zip.

Post Views: 779

SSL-Zertifikate: Wenn Sie als Freiberufler oder Privatperson eine Website betreiben

Für die sichere Datenübertragung über HTTP werden SSL-Zertifikate benötigt. Diese gibt es in unterschiedlicher Ausführung in Bezug auf die Domain – für eine, für mehrere Domains oder für Subdomains. Der andere viel interessantere Unterschied ist die Art der Validierung des Antragstellers und somit das sichtbare Level der Sicherheit für den Besucher der Website in Bezug auf den Website-Besitzer (z. B. grüne Adressleiste). Sicherheitstechnisch sind alle Zertifikate gleich, da immer derselbe Übertragungsmechanismus des jeweils genutzten Webservers verwendet wird.

Für das einfachste Level – das domainvalidierte Zertifikat – wird durch E-Mail-Versand anhand z. B. der DENIC-Eintragung lediglich geprüft, ob ich als Antragsteller auch der Domaininhaber bin. Konnte ich die E-Mail bestätigen, steht fest, daß ich der Besitzer der Domain/Website bin. Entscheiden Sie selbst, wie sicher das für Sie als Besucher oder für Sie gegenüber Ihrem Besucher ist.

Und an dieser Stelle ist für Sie als Freiberufler (wie für mich auch) oder als Privatperson normalerweise Schluß. Die anderen Validierungsmechanismen greifen nicht für uns, da wir nicht im Handelsregister stehen. Was nützt mir die Domainvalidierung, wenn man meine Existenz sowieso schon nicht nachvollziehen kann, da ich auch keiner Kammer angehöre?

Doch es gibt eine Zertifizierungsstelle und meines Wissens in Deutschland auch nur einen Anbieter für organisations-/unternehmensvalidierte SSL-Zertifikate auch für Freiberufler und Privatperson. Sie müssen nur in einem öffentlichen Telefonverzeichnis stehen.

Ich unterstütze Sie gerne. Alles Weitere unter blog@it-schindler.de

Post Views: 769