Verschlüsselte Nachrichten an den Kunden senden

Bei der Kommunikation mit einem Kunden ist es in der Regel unerwünscht das Dritte an die ausgetauschten Informationen gelangen. Daher sollte man diese schon aus bloßem Eigeninteresse verschlüsseln. Werden personenbezogene Daten ausgetauscht, so ist Verschlüsselung sogar explizit in Art. 32 DSGVO vorgesehen. Ich schildere im Folgenden, wie man verschlüsselte Kommunikation prinzipiell umsetzen kann.

B2B

Bei der Kommunikation mit Geschäftskunden auf Augenhöhe oder mit technisch versierten Verbrauchern kann man auf E-Mail Verschlüsselung also z.b. PGP oder S/Mime zurückgreifen.

PGP vs. S/MIME

Funktional sind beide Standards in wesentlichen Punkten gleich: Sowohl mit PGP als auch mit S/MIME können Sie E-Mails inklusive Anhang verschlüsseln und signieren. Der zentrale Unterschied besteht im Umgang mit dem öffentlichen Schlüssel. Bei PGP müssen Sie selbst dafür sorgen, dass jemand der Ihnen eine E-Mail schicken will Ihren Schlüssel kennt und darauf vertraut, dass dieser Schlüssel zu Ihnen gehört. Das können Sie z.B. erreichen, indem Sie ihren Schlüssel auf ihrer Website publizieren, meinen finden sie hier. Bei S/MIME ist es notwendig eine externe Zertifizierungsstelle damit zu beauftragen Ihnen ein Zertifikat auszustellen, welches Ihren öffentlichen Schlüssel und Ihre Identität miteinander verknüpft.

B2C

Möchte man mit einer Vielzahl von Endkunden sicher, d.h. verschlüsselt, Nachrichten austauschen, bietet es sich an die komplette Plattform dafür bereitzustellen. D.h. jeder Nutzer benötigt einen Account bei einer von Ihnen betriebenen, mit SSL/TLS verschlüsselt ausgelieferten Website. Ihre Plattform stellt dann eine Art sicheres Dokumentenarchiv dar, über das Sie mit Ihren Kunden bidirektional kommunizieren können. Es empfiehlt sich an Ihren Kunden eine E-Mail (ohne weitere Informationen) mit einem kurzen Verweis auf das Dokumentenarchiv zu versenden, wann immer Sie neue vertrauliche Nachrichten für Ihn hinterlegt haben.

Abschreckendes Beispiel

Zum Schluss noch eine kurz vor Anwendung der DSGVO noch oft gesehene und völlig unsichere Variante die Kundendaten zu „verschlüsseln“:

„Die ausgefüllten Vertragsunterlagen werden als verschlüsseltes PDF per E-Mail Anhang versendet. Das Passwort ist entweder die Postleitzahl oder das Geburtsdatum des Kunden.“

Diese Variante der „Verschlüsselung“ entspricht nicht dem Stand der Technik. Jeder heutige PC, selbst jedes Smartphone, besitzt genügend Rechenleistung um sämtliche Postleitzahlen und mögliche Geburtsdaten in einigen Sekunden auszuprobieren, sodass kein nennenswertes Schutzniveau erreicht wird und nicht von Verschlüsselung im technischen Sinne gesprochen werden kann.

Sie können es besser machen und eine passender Lösung für den B2B oder B2C Bereich in Ihrem Unternehmen umsetzen.