Wer schon mal Erfahrung mit S/MIME oder PGP gemacht hat, findet das toll oder er hasst es. Für den "normalen", also nicht unbedingt technik-affinen Anwender erscheint der Austausch und die Verwaltung der Schlüssel immer noch kompliziert.
Und es ist nicht einfach, Kommunikations-Partner zu finden, die überhaupt diese Lösungen einsetzen.
Gerade kleine Unternehmen haben selten Mail-Zertifikate im Einsatz. In der Realität wird immer noch sorglos die "Postkarte" E-Mail mit unverschlüsseltem Anhang für den Versand von Dokumenten verwendet, obwohl die Verantwortlichen dafür sorgen müssten, dass diese (oft mit sensiblen personenbezogenen Daten als Inhalt) sicher übertragen werden.
Da ich nicht nur "Klugschnaggen" will (ich verwende diesen norddeutschen Begriff, da sich die süddeutsche Entsprechung arg anhört), gehe ich heute einmal auf eine Lösung ein, die ich selbst im Einsatz habe.
Nein - ich werde nicht dafür bezahlt und ja - es gibt auch andere Anbieter!
Mein Problem:
Sichere, also wirklich Ende-zu-Ende verschlüsselte Übertragung von zum Teil sehr sensiblen Dokumenten. Bei Kommunikationspartnern die S/MIME Zertifikate nutzen - kein Problem. Die Mail und der Anhang werden verschlüsselt, alles bestens (bis dann mal die Zertifikate ablaufen, aber das ist ein anderes Thema...).
Bei allen anderen tauchten die verschiedensten Lösungs-Varianten auf:
Datei-Schutz mit Passwort per ZIP-Programm oder ähnlichem (aber die Nachricht selbst ist nicht geschützt), temporärer Download-Link vom eigenen FTP-Server, Dropbox, einfach mal verschicken "passiert schon nix", etc.. Also - weder gut handhabbar noch durchgehend sicher im Sinne des Art. 32 DSGVO.
Meine Lösung:
Cryptshare.Express heißt die Lösung für kleine Unternehmen bis 25 Benutzer, die vom deutschen Anbieter Cryptshare AG in Freiburg lizensiert werden kann. Als Einzelunternehmen lege ich 60 Euro im Jahr für einen registrierten E-Mail-Benutzer dafür hin.
Warum habe ich mich dafür entschieden?
Da meine Kommunikations-Partner sehr unterschiedlich sind, brauchte ich etwas was wirklich jeder ohne Installation nutzen kann um mit mir verschlüsselt zu kommunizieren.
Mit der reinen Web-Oberfläche kann ich unkompliziert genau das tun. Die Empfänger können ebenso ohne Installation von Software den Service nutzen um mir zu antworten und Nachrichten und Dateien an mich zu senden.
Das Passwort für die Kommunikation kann ich direkt im System generieren lassen (oder mir selbst ausdenken) und per Telefon oder SMS an den Empfänger übertragen.
Für jeden Dateiaustausch kann ich detaillierte Versand- und Empfangsbestätigungen erhalten.
Also - Anbieter angeschaut ob der weiß, was Datenschutz/DSGVO bedeutet, Lösungskonzept geprüft ob das sicher und schlüssig ist, die Lösung getestet, für mich für gut befunden, lizensiert und AV-Vertrag abgeschlossen.
Als nächstes teste ich vielleicht noch die direkte Outlook-Integration, dann muss ich nicht auf die Web-Oberfläche wechseln.
Update Oktober 2020:
Outlook Integration funktioniert wunderbar. Mail in Outlook schreiben wie gewohnt, ggf. Anhang hinzufügen und auf "mit Cryptshare senden" klicken.
Der Attachment-Manager von Cryptshare überprüft vor dem Versand nochmals und nach dem Klick auf "Senden" wird mir angeboten, die Transfer-Einstellungen vorzunehmen:
Der Empfänger (in diesem Fall kontakt@...) erhält eine Benachrichtigung und kann mit dem von mir separat mitgeteilten Passwort die Information abrufen.
Danach erhalte ich eine Bestätigung des Abrufs.
Update Februar 2022:
Jetzt wird's kritisch! Wird es nach Rechnerwechsel noch funktionieren? Ich war ja schon "gebranntes Kind" mit dem Re-Import von S/MIME Zertifikaten.
Alle Sorgen umsonst. Abbild eingespielt, Mails mit Cryptshare Express wieder direkt über Outlook sicher versenden können.
Fazit:
Ich empfehle gerade Einzel- und Klein-Unternehmen, sich eine Lösung zu suchen, die wirkliche Ende-zu-Ende Verschlüsselung in der Kommunikation mit unterschiedlichsten Empfängern ermöglicht.
Das Versenden von Dateien per Mail mit sensiblen und/oder personenbezogenen Daten im Klartext ist einfach keine angemessene technische Maßnahme im Sinne des Datenschutzes.
Wer mehr zu Cryptshare wissen will, kann sich direkt beim Anbieter informieren (ich erhalte keinerlei Provision oder ähnliches!): https://www.cryptshare.com/de/ueber-uns/ (externer Link, Cryptshare)