E-Mails sind wie Postkarten
Was ist der Unterschied zwischen einem Brief und einer Postkarte? Der Brief steckt in einem Umschlag und kann von den Postboten nicht gelesen werden. Wenn der Inhalt schützenswert ist, kann ich den Brief eingeschrieben verschicken und der Empfänger muss bestätigen dass er den Umschlag erhalten hat. Doch wie sieht es mit dem Austausch elektronischer Daten aus? Kann ich diese ebenfalls "einschreiben" und schützen? Und mit welcher Methode soll ich die Daten übermitteln?
Vor- und Nachteile von E-Mail
E-Mail ist eine einfache und schnelle Methode kleine Datenmengen bis maximal einige Megabytes auszutauschen. Normalerweise sind die Daten nicht besonders schützenswert und werden entsprechend unverschlüsselt übermittelt. Vergleichbar mit einer Postkarte kann theoretisch jeder, der an der Übermittlung beteiligt ist, den Inhalt mitlesen. Für grosse Datenmengen ist E-Mail meist keine gute Methode um Daten zu verschicken.
Download per FTP oder HTTP
Die Datenmengen sind nicht mehr eingeschränkt, allerdings muss ich bereits Zugriff auf die entsprechende Infrastruktur (Web- oder Fileserver) verfügen. Neben unverschlüsselten Protokollen (HTTP und FTP), können die Daten auch verschlüsselt ausgetauscht werden, damit ein mitlesen nicht mehr einfach möglich ist.
Dropbox, Google Drive und Konsorten
Wenn ich keine eigene Infrastruktur zur Verfügung habe oder von der ganzen Welt aus auf meine Daten zugreifen will, bieten Dropbox, Google Drive etc. einfache Möglichkeiten meine Daten auszutauschen. Doch wie sieht es hier mit der Sicherheit aus? Kann ich dem Anbieter vertrauen, dass nur diejenigen Zugriff erhalten, denen ich Zugriff geben will und dass die Daten anschliessend auch wirklich gelöscht werden? Oder vertraue ich hier einem Boten der meine Briefe zuerst liest bevor er sie zustellt? Klar, ich kann die Daten vor dem Hochladen verschlüsseln und dem Empfänger das Passwort auf einem sicheren Weg zukommen lassen, doch schon besteht wieder eine gewisse Abhängigkeit, dass mein Gegenüber die Voraussetzungen erfüllen muss, um an die Daten zu kommen.
Auf Nummer sicher gehen
Wenn ich ganz sicher sein will, dass meine Daten nur vom entsprechenden Empfänger gelesen werden können, komme ich nicht darum herum eine eigene Infrastruktur einzusetzen, die komplett unter meiner Kontrolle liegt. Dort kann ich selber bestimmen, mit welchen Sicherheitsmassnahmen der Empfänger auf die Daten zugreifen kann. 2 Faktor Authentisierung, automatisches Löschen nach dem Zugriff etc. kann ich selber bestimmen und durchsetzen, unabhängig von den langen AGBs des jeweiligen Anbieters.