In unserer Zusammenarbeit mit Ihnen als Praxispartner tauschen wir oft sensible Informationen zu Teilnehmenden aus. Nicht nur deswegen setzen wir auf möglichst anonymisierte Informationen – Namen oder andere personenbezogenen Daten von Trainingsteilnehmenden benötigen wir üblicherweise nicht zur pädagogischen Begleitung des Trainings. In manchen Fällen kann aber die Summe der verfügbaren Details schon Rückschlüsse auf Personen erlauben oder in Einzelfällen enthalten notwendige Dokumente doch personenbezogene Daten. Hier gilt es besondere Sicherheitsvorkehrungen zu treffen: Beim digitalen Datenaustausch ist vor allem die Verschlüsselung wichtig.
E-Mails sind üblicherweise nur in begrenztem Maße verschlüsselt. Sie werden zwar über verschlüsselte Kanäle geschickt, aber an jedem Punkt, den die Mail passiert, liegen die Daten unverschlüsselt vor (Punkt-zu-Punkt-Verschlüsselung). Das ist insbesondere in den jeweiligen Mailpostfächern der Fall. Ein unsicheres Passwort kann hier schnell zum Einfallstor werden. Aber auch die verschiedenen Server-Knotenpunkte, über die eine E-Mail geleitet wird, stellen eine potenzielle Angriffsfläche dar.
Um dieses Risiko zu minimieren, bieten wir Mailkommunikation auch mittels Ende-zu Ende-Verschlüsselung an, bei der die Daten selbst, nicht nur der Kanal, verschlüsselt werden. Dazu wird ein Schlüsselpaar generiert, bestehend aus einem öffentlichen und einem privaten Schlüssel. Um geschützt zu kommunizieren, müssen die betreffenden Personen zunächst ihre öffentlichen Schlüssel austauschen, die privaten Schlüssel bleiben geheim. Mit einer entsprechenden Erweiterung für bspw. Outlook können dann die Mails verschlüsselt versendet und nur mit dem richtigen Schlüsselpaar gelesen werden. Eine einfache und verständliche Erklärung finden Sie auch HIER.
Verschlüsselungsverfahren
Es gibt zwei solcher Verfahren für die Ende-zu-Ende-Verschlüsselung: S/MIME und OpenPGP. Wir nutzen derzeit das kostenfreie OpenSource-Verfahren OpenPGP und bieten Ihnen an, gerade bei besonders sensiblen Informationen, Ende-zu-Ende-verschlüsselt mit uns zu kommunizieren. Das setzen wir bereits erfolgreich mit Praxispartnern um. Falls Sie in Ihrer Einrichtung also auch OpenPGP nutzen oder es bei Ihnen individuell implementieren können, kommen Sie gerne auf uns zu! Falls Ihre Einrichtung bereits S/MIME nutzt, lassen Sie uns auch dieses gerne wissen, dann prüfen wir eine Implementierung bei uns.
Zum Schluss noch eine wichtige Anmerkung: Natürlich ist auch eine Ende-zu-Ende-Verschlüsselung von E-Mails niemals hundertprozentig sicher und beide Verfahren haben Schwachstellen. Daher ist es wichtig, verschiedene Sicherheitsvorkehrungen ineinandergreifen zu lassen. Für uns bedeutet das u.a., die notwendigen Daten auf ein Minimum zu reduzieren und regelmäßig zu löschen (Datensparsamkeit), darüber hinaus mit Pseudonymisierung und Anonymisierung zu arbeiten und sensible Informationen dezentral abzulegen. Natürlich sind auch sichere Passwörter ein wichtiger Bestandteil dieses Konzeptes.
Linksammlung
Wenn Sie sich mehr für diese Themen interessieren, stöbern Sie gerne hier:
E-Mail-Sicherheit:
E-Mail-Verschlüsselung in der Praxis – Bundesamt für Sicherheit in der Informationstechnik (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis.html)
E-Mail-Verschlüsselung mit OpenPGP – digitalcourage.de (https://www.digitalcourage.de/digitale-selbstverteidigung/e-mail-verschluesselung)
PGP – Pretty Good Privacy (OpenPGP) – elektronik-kompendium.de (https://www.elektronik-kompendium.de/sites/net/1810181.htm)
Anleitung für sichere E-Mail mit PGP (OpenPGP/GnuPG) – elektronik-kompendium.de (https://www.elektronik-kompendium.de/sites/net/1811051.htm)
Passwörter
Starke Passwörter – digitalcourage.de (https://digitalcourage.de/digitale-selbstverteidigung/sicherheit-beginnt-mit-starken-passwoertern)
Passwort-Sicherheit – datenschutz.org (https://www.datenschutz.org/passwort-sicherheit/)
Digitale Sicherheit
Wie Hacker hacken (und möglichst nicht mich) – Linus Neumann auf der TINCON 2019 – YouTube https://www.youtube.com/watch?v=fOsKt1HXQZU