Unternehmen, Behörden, … haben ein legitimes Interesse bei aus- und eingehender E-Mail deren Inhalt kontrollieren zu können. Ausgehende Mails sollen im Klartext untersucht, protokolliert oder archiviert werden können, … und eingehende E-Mails z.B. auf Schadsoftware untersucht werden können. Verschlüsselung durch Mitarbeitende kann deshalb entweder
- mit Schlüsseln erfolgen auf die das Unternehmen ebenfalls Zugriff hat, oder
- ein zentrales Gateway übernimmt die automatische Ver- und Entschlüsselung von E-Mails, deren automatische Signierung, … .
Auf eine derartige Lösung bin ich gerade als „Beifang“ über den Blogbeitrag „OpenPGP Domainkeys mit Thunderbird nutzen“ gestolpert. Die Hannoversche Lebensversicherung AG setzt dafür ein Z1 SecureMail Gateway, mit einem einzigen zentralen OpenPGP-Schlüssel des Unternehmens ein. Eine animierte Grafik auf der Seite illustriert anschaulich den Vorgang am zentralen Gateway. Über einen „Zentralschlüssel“ (ein zentrales Schlüsselpaar des Unternehmens) …
… werden dabei Mails entschlüsselt, ggf. verschlüsselt falls für Empfänger deren Keys bekannt sind, und damit die obigen Anforderungen des Unternehmens erfüllt. Die Versicherung dokumentiert das hier.
E-Mails an die Sachbearbeitenden bei der Versicherung, mit vertraulichen Inhalten, werden mit dem obigen Schlüssel verschlüsselt. Die Diskrepanz, dass für die Mailadresse der Mitarbeiterin / des Mitarbeiters (z.B. vorname.nachname@hannov…) gar kein Schlüssel vorhanden ist, kann Mozilla Thunderbird mit der Konfiguration eines sogenannten „Alias-Schlüssels“ beheben. Dabei wird dann für alle Empfänger/innen der ganzen Maildomain ein einziger „Zentralschlüssel“, man könnte auch sagen „Wildcard-Schlüssel“ hinterlegt. Die Konfiguration ist im Mozilla-Support-Beitrag „Thunderbird und OpenPGP Alias-Schlüssel“ dokumentiert.
Update, 2.4.2024: Ein weiterer Anbieter einer solchen Lösung ist CipherMail mit seinem Email Encryption Gateway. Danke an Thomas Zell von https://zell-mbc.com.