Dokumente sicher per Mail verschicken

am 13.03.2018 in News gepostet.

Emails und die Verschlüsselung

Das Thema Verschlüsselung kann im Zusammenhang mit Emails differenziert betrachtet werden:

Sicherer Mailversand mit SSL

Mit dem sicheren Mailversand per SSL ist der Transport der Mail gemeint. Es ist heute üblich, dass man die eigenen Mails an den eigenen Mailserver über eine SSL oder TLS verschlüsselte Verbindung verschickt. Auch das Abrufen der Mails von dem eigenem Server wird fast ausschliesslich über eine solche verschlüsselte Verbindung durchgeführt. Und das ist auch gut so, denn in der Kommunikation mit dem eigenem Server wird auch ein Benutzername mit Kennwort übertragen - und diesen sollte man verständlicherweise nicht unverschlüsselt durch die Gegend schicken.

Allerdings ist damit immer nur die erste Strecke sicher verschlüsselt - wie die weitere Reise der Mail im Internet aussieht, kann nicht vorhergesagt bzw. sichergestellt werden.

Sicher ist nur, dass der Transport bis zu dem eigenen, ersten Server in der Kette verschlüsselt ist.

Verschlüsselte Anhänge

Verschickt man Dokumente per Mail, bleibt die Option, dass man diese mit einem Kennwort schützt. Der PDF-Standard sieht das setzen eines Kennworts vor, auch ZIP-Dateien können zum Beispiel mit einem Kennwort versehen werden.

Hat man den Anhang mit einem Kennwort “verschlüsselt”, dann bleibt an erster Stelle die Mail unverschlüsselt (so dass man auch sehen kann, was man da eingentlich geschickt bekommen hat), und nur der Anhang wird geschützt.

Das ist eine weitverbreitete Vorgehensweise, bleibt nur das Problem, wie man das Kennwort “sicher” an den Empfänger schicken kann. Verschickt man auch das Kennwort per Mail, dann ist es so, als würde man ein Schrank zwar per Schloss sichern, aber gleichzeitig den Schlüssel nebendran hängen lässt. Wer Zugang zu einem bekommt, hat letztendlich Zugang zu beidem bekommen.

Verschlüsselte Mail

Emails können auch “komplett” verschlüsselt werden - das ist aber gar nicht so einfach, da man von beiden Parteien, die miteinander kommunizieren wollen, den öffentlichen Schlüssel braucht. Wir wollen hier nicht zu tief in die Thematik eintauchen: bei der “richtigen” Email-Verschlüsselung tauschen beide Parteien einen öffentlichen Schlüssel aus, und so können beide Parteien sich gegenseitig verschlüsselte Nachrichten schicken.

Dieses Verfahren scheitert letztendlich an der praktischen Umsetzung - spätestens wenn mobile Geräte auch in die Lage versetzt werden sollen, auch verschlüsselte Mails lesen und verschicken zu können, wird die Konfiguration für Laien je nach Gerät noch komplexer.

Lemniscus und die Mails

Selbstverständlich liefert Lemniscus die Mails ausschliesslich per SSL/ TLS bei unserem Mailprovider ab - soweit so gut und nicht ausreichend.

Vor einiger Zeit haben wir auch Kennwörter für die zu verschickende Dokumente eingeführt - sogar mit der Komfortfunktion, dass das Kennwort automatisch per SMS an den Empfäger mitgeteilt werden kann.

Was auf dem ersten Blick nach einem guten Ansatz aussah, hat in der Praxis ein paar Probleme aufgedeckt:

  • einige Programme haben leider Schwierigkeiten, ein mit Kennwort-Geschütztes Dokument zu drucken
  • der Kennwortschutz bleibt auch im Archiv bestehen, was die spätere Einsicht erschwert

Aus diesem Grund haben wir - gerade im Kontext der DSGVO - uns entschieden, das Thema noch einmal anzupacken, und ein besseres Verfahren einzuführen.

Mit der neuen Version bekommt der Empfänger lediglich ein Link auf eine sichere Download-Seite bei uns auf Lemniscus. Diese Download-Seite ist natürlich nur verschlüsselt über https erreichbar - so können wir tatsächlich eine verschlüsselte Übertragung bis zum Empfänger sicherstellen.

Das Dokument wird nicht nicht mehr direkt kennwortgeschützt bereitgestellt - der Kennwortschutz wird vor dem Abruf abgefragt - ein Zugriff auf das Dokument ist nicht ohne Kennwort möglich. Denn nur mit dem richtigen Kennwort kann die Datei geladen werden.

Dadurch haben wir in einem Aufwasch eine sowohl kennwortgeschützte als auch Ende-zu-Ende-verschlüsselte Übertragung der Dokumente umgesetzt.

Vorlagen müssen eventuell angepasst werden

Wer in Lemniscus die Email-Vorlagen angepasst hat, wird diese manuell auf das neue Verfahren umstellen müssen.

In den folgenden Vorlagen müssen, Änderungen vorgenommen werden, falls sie zuvor angepasst wurden:

  • Email Dokument
  • Email Rechnung
  • Email Zahlungserinnerung
  • Email Mahnung

Diese Vorlagen kann man über Einstellungen -> Vorlagen Bearbeiten bearbeiten. Dem Anweder bleiben zwei Optionen: entweder die Vorlagen zurückzusetzen (dafür gibt es ein Knopf in der Vorlagenverwaltung), oder das folgende Code-Schnipsel in der Vorlage durch die neue Vorlage ersetzen.

Die alte Vorlage sah folgendemaßen aus:

<#if sendDocPwd>
Das PDF-Dokument ist kennwortgeschützt. Ihr persönliches Kennwort haben wir Ihnen per SMS geschickt.
</#if>

Die neue Vorlage sieht jetzt so aus:

<#if isPasswordProtected>

Das PDF-Dokument kann über den folgenden Link kennwortgeschützt heruntergeladen werden:

${sendDocLink}
<#if sendDocPwd>

Ihr persönliches Kennwort haben wir Ihnen per SMS geschickt.
</#if>
</#if>

Die Texte sind selbstserklärend und können bei Bedarf geändert werden, die Struktur sollte dennoch gleich bleiben.

Wir finden, dass eine professionelle, sichere, und datenschutzbewusste Praxisverwaltung kein Luxus größerer Praxen sein muss.

Wir sind der Meinung, das alltägliche Verwaltungsaufgaben rund um Terminvergabe und Rechnungsstellung nicht nervenaufreibend sein müssen.

Deshalb haben wir LEMNISCUS aus der Praxis und für die Praxis entwickelt.

Mit lemniscus bist du gut in der Zeit.

Papick G. Taboada, Geschäftsführer

Perfektion ist nicht dann erreicht,
wenn man nichts mehr hinzufügen,
sondern nichts mehr weglassen kann

— Antoine de Saint-Exupéry

Neugierig? Sofort Ausprobieren  

.