Elektronische Post(karte)
Auf dem Weg durch das Internet macht eine E-Mail an vielen Stellen halt. Die Mail-Provider des Absenders und Empfängers sind nur einige Stationen, an denen eine E-Mail verarbeitet wird. Findet der Mail-Versand unverschlüsselt statt, so besitzt die reguläre E-Mail den Sicherheitswert einer Postkarte: Dies bedeutet nicht nur, dass jede der Stellen zwischen Versand und Empfang technisch und faktisch den Inhalt mitlesen kann, sondern dieser ist auch beliebig veränderbar. Was bei Urlaubsgrüßen auf einer Postkarte noch unbedeutend erscheinen kann, sieht bei brisanten und geschäftlich relevanten Informationen ganz anders aus.
Verschlüsselung schafft Sicherheit
Zumindest das Mitlesen der Inhalte kann man durch Verschlüsselung wirksam verhindern. Eine kurze Beschreibung der drei wichtigsten Möglichkeiten finden Sie nachfolgend:
Verschlüsselung sensibler Anhänge
Das wohl einfachste, aber trotzdem sehr effektive Verfahren stellt die Verschlüsselung von Dateianhängen dar. Hierbei werden sensible Inhalte einfach als Dateianhang versendet. Dieser Dateianhang wird mit einem (sicheren) Passwort verschlüsselt. Entschlüsseln können dann nur die Personen, die dieses Passwort kennen. Das Passwort wird dem Empfänger möglichst über einen anderen Kommunikationskanal mitgeteilt. Dabei kann es auch sinnvoll sein, zum Beginn einer Zusammenarbeit einmalig ein Passwort für die Verschlüsselung zu vereinbaren, welches dann zukünftig für alle Dateianhänge verwendet wird.
Die Verschlüsselung von Dateien wird mittlerweile von vielen Programmen zur Verfügung gestellt. So können beispielsweise Word- oder Excel-Dateien mit einem Kennwort verschlüsselt werden oder man verwendet ein Kompressionsprogramm wie 7-Zip und verschlüsselt damit die Dateien.
Nachteilig bei diesem Verfahren ist lediglich, dass sich Absender und Empfänger auf ein Passwort verständigen müssen. Außerdem werden verschlüsselte E-Mail-Anhänge häufig durch Firewalls oder Virenscanner blockiert.
Verschlüsselung des Transportwegs
Mittels TLS (Transport Layer Security) werden bei diesem Verfahren die Kommunikationswege verschlüsselt. Dies ist eigentlich mittlerweile zumindest im Unternehmensumfeld und auch bei den größeren Mail-Providern Standard. Damit lässt sich das Mitlesen der Inhalte einer E-Mail auf dem Weg von einem zum anderen Knotenpunkt verhindern.
Nachteilig ist hierbei jedoch, dass die E-Mails an allen Knotenpunkten der Kommunikation mitgelesen und auch verändert werden können. Außerdem kann man nie sicher sein, dass auf dem Weg vom Absender zum Empfänger alle Teilstrecken tatsächlich verschlüsselt werden. Der Absender einer E-Mail kann immer nur die Wegstrecke vom eigenen Mail-Provider bis zum nächsten Knotenpunkt beeinflussen.
Ende-zu-Ende-Verschlüsselung
Das derzeit sicherste Verfahren ist sicherlich die Ende-zu-Ende-Verschlüsselung. Gängige Standards sind PGP und S/MIME. Hierbei verschlüsselt der Absender eine E-Mail den kompletten Inhalt einer E-Mail inklusive der Dateianhänge mit dem öffentlichen Schlüssel des Empfängers. Nur der Empfänger kann die E-Mail dann mit seinem privaten Schlüssel entschlüsseln. Darüber hinaus wird auch sichergestellt, dass die E-Mail auf Ihrem Weg nicht verändert werden kann.
Diese asymmetrische Kryptografie gilt nach aktuellem Stand der Technik als sicher und ist daher zu empfehlen. Das Verfahren benötigt aber auf Seiten des Absenders und des Empfängers ein wenig Installationsaufwand, den der Laie häufig nicht leisten kann. Dieser erhöhte technische Aufwand führt in der Praxis daher leider zu wenig Akzeptanz.
Bewerbung per Post(karte)?
Kritisch ist insoweit, wenn Unternehmen mittels Stellenausschreibungen auf Ihrer Webseite aktiv nach Bewerbern Ausschau halten, jedoch keine Möglichkeit einer rechtssicheren Datenübermittlung gewährleisten können. Eine Lösung hierfür ist die Implementierung von Ende-zu-Ende-verschlüsselter und damit sicherer E-Mail-Kommunikation. Dies kann beispielsweise geschehen, in dem das öffentliche PGP- oder S/MIME-Zertifikat nahe der Stellenausschreibung und der dazugehörigen Möglichkeit zur Kontaktaufnahme auf der Webseite veröffentlicht wird. Eine Alternative hierzu bietet die Angabe, dass Bewerbungen auf dem Postweg eingereicht werden können, falls eine sichere E-Mail-Kommunikation nicht gewährleistet werden kann. Weiterhin kann man die Bewerbung auch über ein Internetformular mit Upload-Möglichkeit weiterer Bewerbungsunterlagen zur Verfügung stellen. Diese sollte dann aber auch per HTTPS verschlüsselt werden.