- Secure messaging
-
Secure Messaging (englisch für „Sicheres Mailen“) bezeichnet ein serverbasiertes sicheres E-Mail-System. E-Mails sind dabei bei der Übermittlung vor Einsichtnahme Dritter geschützt, Vertraulichkeit ist gewährleistet. Secure Messages haben eine hohe Verbindlichkeit, da die Empfänger ähnlich wie bei Internet-Banking bei der Erstkommunikation persönlich identifiziert werden und Transaktionen durch die sichere E-Mail-Plattform notarisiert werden können.
Inhaltsverzeichnis
Funktionsweise
Secure Messaging ist eine Online-Dienstleistung. Der Benutzer meldet sich bei einer Secure-Messaging-Plattform an und erhält ein Benutzerkonto. Wie bei einem gewöhnlichen E-Mail-Konto loggt sich der Benutzer bei jedem Gebrauch von Secure Messaging mit Benutzername und Passwort (oder starker Authentisierung) in sein Konto ein. Dort kann er verschlüsselte E-Mail-Nachrichten über eine sichere SSL-Verbindung an verschiedene Empfänger senden. Beim erstmaligen Kontakt mit einem Empfänger kommt ein einmaliges Mitteilungspasswort (Message Unlock Code, MUC) zum Zug. Die Lösung integriert sich ohne Installation von Software in die Standard-E-Mail-Umgebung.
Senden einer Secure Message
- Der Sender verfasst eine E-Mail und schickt diese über eine sichere SSL-Verbindung an die Secure-Messaging-Plattform.
- Der Empfänger wird per E-Mail informiert, dass für ihn eine sichere Nachricht auf der Plattform hinterlegt ist.
- Der Sender übermittelt dem Empfänger ein einmaliges Mitteilungspasswort (MUC).
- Mit dem MUC holt der Empfänger über eine sichere SSL-Verbindung die vertrauliche Nachricht auf dem Secure-Messaging-Server ab.
MUC (Message Unlock Code)
Ein MUC ist ein Mitteilungspasswort, das beim erstmaligen Kontakt mit einem Empfänger einer sicheren E-Mail vom Sender übermittelt wird. Aus Sicherheitsgründen (Out of band) wird ein MUC dem Empfänger auf einem anderen Kanal als über E-Mail mitgeteilt (z.B. persönlich, per Telefon oder per SMS). Mit dem MUC kann der Empfänger über eine sichere SSL-Verbindung die vertrauliche Nachricht auf dem Secure-Messaging-Server abholen. Wenn ein Kontakt einmal durch diesen Code verifiziert wurde, benötigt er dies für nachfolgenden E-Mail-Kontakt nicht mehr. Damit können mögliche Fehlzustellungen verhindert werden, und nur der rechtmäßige Empfänger kann die sichere Nachricht öffnen.
Versandarten
Secure Messaging verfügt über verschiedene Versandarten. Neben einer geschützten Webumgebung, besteht die Möglichkeit von S/MIME oder PGP verschlüsselter Kommunikation und einer sicheren Anbindung ganzer Mail-Domänen oder individueller E-Mail-Programme (via SMTP/TLS gemäß RFC 2487 oder z.B. auch POP3 mit SSL). In einer Mail an verschiedene Empfänger können verschiedene Auslieferungen berücksichtigt werden.
Trust Management
Secure Messaging setzt auf der Methode des dynamischen persönlichen Trustnetzwerkes (Dynamic Personal Web of Trust). Diese Methode synthetisiert den Authentisierungsansatz des Web of Trust, der durch PGP bekannt wurde, mit den Vorteilen einer hierarchischen Struktur, wie bekannt aus zentralisierten PKI-Systemen, die kombiniert mit Zertifizierungen hohe Güte von elektronischen Identitäten bieten kann. Der Ansatz setzt den Benutzer in das Zentrum und ermöglicht sofortigen und persönlichen Trust-Aufbau, respektive -Aufhebung (revocation), sowie die Modellierung von Informationsaustäuschen (usage control).
Unterschied von E-Mail zu Secure Messaging
Secure Messaging ist ein Paradigmenwechsel zum bekannten E-Mail-Verfahren und -Protokoll (RFC 822). Meldungen werden nur verschlüsselt und authentisiert an die Empfänger ausgeliefert. Außerdem kann neben der Vertraulichkeit des Inhalts auch Beziehungsvertraulichkeit erreicht werden - d.h. es ist für einen Dritten (z.B. ISP), der einen Benutzer von Secure Messaging beobachtet, nicht offensichtlich, mit wem auf der anderen Seite kommuniziert wird.
Anwendung
Secure Messaging findet in vielen Geschäftsbereichen mit firmenübergreifendem, sensiblem und schützenswertem Datenaustausch Anwendung. So setzen Finanzinstitute, Versicherungen, öffentliche Verwaltungen, Gesundheitsorganisationen und Informationsdienstleister auf den Schutz mit Secure Messaging. Beim Gebrauch von Secure Messaging in Unternehmungen lässt sich die Dienstleistung in die bestehende E-Mail-Infrastruktur (Microsoft Outlook, Mozilla Thunderbird, Lotus Notes, GroupWise, etc.) integrieren.
Geschichte
- 1965: Mainframe-Benutzer können miteinander Meldungen austauschen
- 1982: Standard For (D)ARPA Internet Text Messages (RFC 822) wird verabschiedet: Verschiedene E-Mail-Systeme können miteinander kommunizieren
- 1983: Entstehung des Internetprotokolls
- 1991: Phil Zimmermann schreibt PGP
- 1993: Erste Suchmaschine Lycos
- 1999: Einführung des Internet-Bankings bei UBS
- 2001: Google indexiert erstmals mehr als eine Milliarde Seiten
- 2002: Einführung von starker Authentisierung bei Nutzung von E-Banking
- 2005: Mehr als eine Milliarde Internetanwender
- 2007: E-Mail-Verkehr kann in USA ohne richterliche Anordnung ausgewertet werden
Siehe auch
Weblinks
- Electronic Privacy Information Center (englisch)
- E-mail privacy, E-mail encryption, E-mail authentication und Secure communication bei der englischsprachigen Wikipedia
Wikimedia Foundation.