DocRAID bietet Outlook-Plug-in zur E-Mail-Verschlüsselung
Anders als etwa bei PGP lassen sich E-Mails damit verschlüsseln, ohne dass eine Software beim Empfänger vorausgesetzt wird. Statt direkt an den Empfänger zu gehen, wird die gesamte Nachricht – oder nur ihr Anhang – auf einem DocRAID-Server gespeichert. Von dort erhält der Empfänger dann den Link zum Abruf.
Das Berliner Start-up ContentPro AG, das mit seiner Marke DocRAID auf die Absicherung von Cloud-Speichern im RAID-Verbund spezialisiert ist, bietet ab sofort ein Plug-in für Microsoft Outlook an, mit dem Anhänge oder komplette Nachrichten verschlüsselt werden können. Die Preise beginnen bei 4 Euro pro Nutzer und Monat. Einzige Voraussetzung zur Nutzung ist Microsoft Outlook 2010.
Das Outlook-Plug-in funktioniert laut Anbieter mit jedem E-Mail-Provider und setzt anders als etwa PGP auf der Empfängerseite keine zusätzliche Software voraus. Dabei kann bei jeder versendeten Nachricht ausgewählt werden, ob nur der Anhang oder die gesamte E-Mail verschlüsselt werden soll. Entscheidet sich der Anwender für die DocRAID-Verschlüsselung, so wird die Nachricht anstelle des eigentlichen Empfängers zunächst an einen DocRAID-Server geschickt. Von dort erhält der Empfänger dann eine E-Mail mit einem Link, der zum chiffrierten Inhalt führt.
Neben der Sicherheit will das Start-up mit DocRAID aber auch bei dem Punkt der Anwenderfreundlichkeit ansetzen, da viele Nutzer die bislang angebotenen Verschlüsselungslösungen ihm zufolge schlicht für zu aufwendig halten. Das Plug-in soll die Anwender in ihrer bisherigen Arbeitsweise unterstützen, indem sich beispielsweise bei jeder E-Mail einzeln auswählen lässt, ob die gesamte Nachricht oder nur der Anhang verschlüsselt werden soll. In letzterem Fall wird laut Anbieter auch tatsächlich nur der Anhang auf dem DocRAID-Server gespeichert, wohingegen der eigentliche Mailtext an den Empfänger weitergeleitet wird. Der verschlüsselte Anhang könne dann über den Link statt über das E-Mail-Programm des Empfängers aufgerufen und abgespeichert werden.
Ferner bestehe sowohl für den Sender als auch den Empfänger einer Nachricht die Möglichkeit, die gesamte E-Mail im Client unverschlüsselt abzuspeichern, um sie für die Zukunft zu archivieren und durchsuchen zu können. Auf Senderseite reiche dafür wiederum eine einmalige Einstellung, um alle via DocRAID gesendeten E-Mails im Ordner “Gesendet” als unverschlüsselte Kopie zu erhalten. Auf Seiten des Empfängers können außer dem Anhang auch die gesamte E-Mail im Original wahlweise MSG-, TXT- oder HTML-Datei herunterzuladen und mit dem entsprechenden Mail-Programm zu öffnen.
Der Anbieter betont, dass das DocRAID-Plug-in im Gegensatz zu gängigen E-Mail-Verschlüsselungsverfahren wie PGP oder S/MIME, welche lediglich die Verschlüsselung selbst gewährleisteten, einen größeren Funktionsumfang offeriert. So ließen sich die auf DocRAID-Servern zum Download bereitstehenden Anhänge und E-Mails etwa mit einem Verfallsdatum versehen, innerhalb dessen sie auch abgerufen werden müssten. Andernfalls würden sie automatisch gelöscht. Außerdem werde protokolliert, wann wer welchen Anhang abgerufen hat. Überdies könne der Sender einer E-Mail Alert-Funktionen einrichten, die ihn über den Abruf einer Nachricht seitens des Empfängers informieren.
Das soll das inzwischen nahezu ünberflüssig gewordene Prinzip der Empfangsbestätigung wirkungsvoll ersetzen, da dem Anbieter zufolge zweifelsfrei dokumentiert werden kann, ob und wann ein Empfänger einen Anhang beziehungsweise eine E-Mail abgerufen hat. Eine explizite Bestätigung auf Seiten des Empfängers sei hierzu nicht erforderlich. Sämtliche Einstellungen, wie Ablaufdatum oder Alert-Funktion, könnten zudem auch noch nach dem Versenden einer E-Mail geändert werden. Auch ein versehentlich oder falsch gesendeter Anhang lasse sich noch rückwirkend löschen, so lange er noch nicht abgerufen worden sei.
Darüber hinaus gibt es beim DocRAID-Plug-in laut ContentPro auch keinerlei Größenbeschränkung bei einem Anhang, wie es bei den E-Mail-Providern der Fall sei, da der Server eines solchen Anbieters faktisch umgangen werde. Gleichermaßen entfalle eine Mengenbegrenzung hinsichtlich versendeter Nachrichten.
Als Vorteil seiner Plug-in-Lösung sieht das Start-up, dass ein Empfänger nicht zwangsläufig die gleiche oder generell überhaupt eine Form der Verschlüsselung nutzen muss, um mit dem Sender zu kommunizieren. Zu den Nachteilen zählt der Anbieter die Tatsache, dass man sich mit sdder DocRAID-Erweiterung angreifbarer gegenüber Man-in-the-Middle-Attacken macht.
Um dem vorzubeugen, hat ContentPro seinem Modul noch eine sogenannte Codesperre spendiert. Hierbei erhalte der Empfänger wie gewohnt einen Link zur eigentlichen E-Mail, müsse sich zuvor jedoch eine PIN an eine E-Mail-Adresse seiner Wahl schicken lassen, mit der er dann die auf dem DocRAID-Server abgelegten Informationen abrufen kann.
Dies habe den Vorteil, dass ein potenzieller “Man in the Middle” Zugriff auf gleich zwei verschiedene E-Mail-Postfächer erlangen müsste, um mit seiner Attacke erfolgreich zu sein. Auch bei einer Codesperre werde zudem jeder Abruf und ebenso die Anforderung der PIN protokolliert, sodass ein Angriff kaum Chancen hätte, unbemerkt zu bleiben. Als zusätzliche Sicherheitsmaßnahme lässt sich der Abruf der bei DocRAID hinterlegten Daten auf bestimmte Personengruppen einschränken.