Cryptshare stellt neue Alternative zu Public-Key-Infrastrukturen vor

Gut ein Jahr nachdem die DSGVO endgültig in Kraft getreten ist, bleibt der Schutz persönlicher Daten im Berufsalltag eine große Herausforderung, auch und gerade für Unternehmen, Banken und Versicherungen. Wie Unternehmen im Finanzdienstleistungsbereich Informationen einfach und sicher austauschen können, zeigt der deutsche Software-Anbieter Cryptshare mit Quick: Die Technologie beseitigt die seit langem bekannte Komplexität beim Passwort- oder Schlüssel-Austausch zur Verschlüsselung von Dateien und E-Mails – und vereinfacht und beschleunigt so die Kommunikationsvorgänge zwischen regelmäßig miteinander korrespondierenden Anwendern deutlich. Die weltweit zum Patent angemeldete Verschlüsselungsfunktion ist ab sofort verfügbar, für Bestandskunden kostenlos als Teil der kommenden Cryptshare-Version.

Technologien zur Nachrichtenverschlüsselung wie Pretty good Privacy (PGP) haben sich auch in Unternehmen nie so richtig durchsetzen können – zu komplex in der Einbindung, zu wenig alltagstauglich und auch für den Empfänger mit einigen Schwierigkeiten verbunden. Für Cryptshare war das der Grund, eine Alternative zu entwickeln. „Mit Quick möchten wir der verschlüsselten E-Mail-Kommunikation zum flächendeckenden Durchbruch verhelfen“, erläutert Matthias Kess, CTO von Cryptshare.

Es gibt mehrere Gründe, die bislang zur vergleichsweise geringen Nutzung von Public-Key-Infrastrukturen beitragen. Hier setzen wir mit einem Ansatz an, der die seit langem mit der Verschlüsselung von Dateien und E-Mails assoziierte Komplexität beseitigt, Kommunikationsvorgänge deutlich vereinfacht und beschleunigt. In Bezug auf Benutzerfreundlichkeit, Schnelligkeit und Sicherheit stellt die zum Patent angemeldete Technologie hinter Quick viel mehr eine Revolution als eine Evolution dar.“

Matthias Kess, CTO von Cryptshare

Der klassische Ansatz bei der Verschlüsselung von E-Mails und gemeinsam genutzten Dateien besteht darin, ein Paar mathematisch verknüpfter Schlüssel zu verwenden – einen zum Verschlüsseln und einen zum Entschlüsseln. Meist wird dies aufgrund der Art, wie die Schlüssel geteilt werden, Public-Key-Infrastruktur (PKI) genannt. Ein Schlüssel wird öffentlich gehalten, der andere privat. Zwar ist es mit dieser Methode möglich, ein hohes Maß an Sicherheit zu erreichen, sie ist aber dennoch mit Komplexität und hohen Verwaltungskosten verbunden – alles Gründe, die zur nach wie vor vergleichsweise geringen Nutzung beitragen.

Verschlüsselung ohne PKI: Implementierte Zwei-Faktor-Authentifizierung

Hier setzt die zum Patent angemeldete Quick Technology („Quick Use Integrated Cryptshare Key“) an, die den Austausch von Einmalpasswörtern oder die Verwendung von statischen Schlüsselpaaren, die zudem oft zum Sicherheitsproblem werden, überflüssig macht. In Verbindung mit Cryptshare bietet sie die Möglichkeit, S/MIME- und PGP-, aber auch MFT-, FTP- und SFTP-Systeme zu ersetzen.

Sie verwendet eine Zwei-Faktor-Authentifizierung zur Identifikation des richtigen Empfängers. Aus einer individuellen Information für Sender und Empfänger unter Verwendung eines gemeinsamen Schlüssels wird pro Kommunikationsvorgang ein Einmalschlüssel erzeugt. Während des ersten Transfers werden für die zwei Teilnehmer diese individuelle Information sowie der gemeinsame Schlüssel erzeugt, mit deren Hilfe für alle zukünftigen Transfers automatisch individuelle Einmalschlüssel (symmetrische Verschlüsselung) generiert werden. Nach der ersten Nutzung ist jeder weitere Transfer durch eine permanente sichere Verbindung geschützt. Die Empfängerseite kann jedes Passwort automatisch ableiten, ohne es mit dem Absender austauschen zu müssen.

Dazu haben sich die Entwickler des Software-Anbieters ausgiebig mit Token-Security beschäftigt. Ein Token wird lokal auf dem Rechner installiert und mit einer Information auf dem Server kombiniert. Diese beiden Informationselemente fließen in eine Schlüsselableitungsfunktion ein, um bei jedem Transfer einen neuen Schlüssel zu erstellen. Dadurch befinden sich auf dem Server Schlüssel für alle Sender-Empfänger-Kombinationen, die nur zusammen mit dem lokal auf dem Rechner installierten Token verwendet werden können. Damit soll Quick nicht nur mit wenigen Klicks einsatzbereit sein, sondern danach für den Benutzer selbst quasi unsichtbar werden.

Vorteile: Geringere Kosten, höhere Sicherheit

Im Gegensatz zu den seit langem bekannten, aber längst noch immer nicht hinreichend verbreiteten PKI-Lösungen müssen das Unternehmen des Absenders und das des Empfängers keine Zertifikate kaufen, verwalten und erneuern, keine Keystores anlegen oder Vereinbarungen zum Schlüsselaustausch aushandeln.

Dadurch sinken die Kosten für Sender- und Empfängerunternehmen drastisch – gerade im Umfeld von Banken und Versicherungen mit einer großen Zahl an Arbeitsplätzen ein wichtiges Argument. Die Implementierung ist schnell und einfach, und die Benutzerfreundlichkeit ist durch nahtlose Integration ohne Eingewöhnungsphase gewährleistet. Weitere Kosteneinsparungen ergeben sich durch mehrere Faktoren – von der Verringerung des Datenvolumens in bestehenden E-Mail-Servern, das gesichert und archiviert werden muss, über die Reduzierung von Lizenz- und Systemkosten bis hin zur Stilllegung von Altsystemen.

Mit Cryptshare wird ein anderer (Transport-)Weg gewählt. Die Daten, auch die E-Mail-Nachricht selbst, werden verschlüsselt auf den unternehmenseigenen Server hochgeladen und dort abgelegt. Der Empfänger wird über die Bereitstellung seiner Nachricht informiert und erhält (bislang) separat ein (einmaliges) Passwort. Das kann beispielsweise über einen zweiten Kommunikationskanal wie Telefon, per SMS oder persönlich stattfinden. Damit kann er die Daten direkt und verschlüsselt von diesem Server herunterladen, Nachricht plus Anhänge werden auf Wunsch im Browser oder im eigenen E-Mail-Client dargestellt und können dort abgelegt werden. Durch eine Integration in das persönliche E-Mail-System können Anwender dadurch die Lösung auch direkt in ihrer gewohnten Arbeitsumgebung für den Versand oder Empfang nutzen.

Weniger Angriffspunkte für Cybercrime-Vorfälle

Anders als bei S/MIME und PGP ist hier nur der Server des Unternehmens im Spiel, in dessen Rechenzentrum der Inhalt der versendeten Nachricht temporär abliegt – die Anzahl möglicher Angriffspunkte für Cyber-Kriminelle und Wirtschaftsspione sinkt. Übrigens ist die Art des Servers – On-Premise-Rechenzentrum oder Private bzw. Multi-Cloud-Infrastruktur hierbei zweitrangig. Dank der Neuerung wird die Nutzbarkeit der Security-Lösung enorm gesteigert, und es wird den Anwendern einfacher gemacht, das nötige Maß an Sicherheit in ihrer Kommunikation anzuwenden. Dies geht einher mit dem derzeit einsetzenden Trend, auf Benutzerkonten in der passwortlosen Kommunikation zu verzichten.

Die vertrauliche Nachricht wird von E-Mail-Client zu E-Mail-Client übertragen, auch ohne dass ein E-Mail-Provider mit den sensiblen Informationen in Berührung kommt. Zudem entfallen auf diesem Wege die Größenlimitierungen für Dateianhänge und alle Versand- sowie Empfangsvorgänge werden vollständig protokolliert. Und schließlich unterstützen Benachrichtigungen, wann E-Mails und Dateien an den beabsichtigten Empfänger zugestellt wurden, Unternehmen bei der Einhaltung von Richtlinien und Compliance-Vorgaben wie der DSGVO. Seit Kurzem ist auch die Software-as-a-Service-Lösung Cryptshare.express verfügbar, die sich gezielt an Kunden mit weniger als 25 Benutzern wendet.

Ein ausführliches technisches Whitepaper zur Quick-Technologie finden Interessierte gegen Angabe der Kontaktdaten auf der Cryptshare-Website. tw