E-Mail Verschlüsselung nach DSGVO
Die Datenschutzgrundverordnung (DSGVO) enthält Bestimmungen zum sicheren Versand von E-Mails.
Basierend darauf werden sämtliche E-Mails der Gothaer mit einem Mindeststandard, der sogenannten Transportverschlüsselung (TLS), versendet. Für die Empfänger der E-Mail ändert sich dadurch nichts.
Jedoch wichtig zu wissen: Einige wenige E-Mail-Adressen akzeptieren die Transportverschlüsselung (TLS) nicht. Die von der Gothaer versendeten E-Mails werden in diesen Ausnahmefällen nicht zugestellt, da die Daten keinerlei Sicherheitsschutz unterliegen würden und möglichweise von unbefugten Dritten gelesen oder verändert werden könnten. Der versendende Mitarbeiter der Gothaer erhält hierüber eine Fehlermeldung und kann daraufhin einen alternativen Kontaktweg wählen und den Support kontaktieren, sodass alle Mitteilungen den Empfänger sicher erreichen.
Für E-Mails, die besonders sensible/vertrauliche Daten (z. B. Gesundheitsdaten) enthalten, gilt darüber hinaus die sogenannte Pflicht zur Ende-zu-Ende-Verschlüsselung (E2E). E-Mails können dann auf zwei verschiedene Weisen beim Empfänger ankommen:
1) Wird eine Vereinbarung zur E2E Verschlüsselung mit der Gothaer abgeschlossen, erhält der Empfänger die E-Mails der Gothaer weiterhin wie gewohnt. Die sichere Verschlüsselung wird technisch im Hintergrund durchgeführt, ohne dass dies zu sichtbaren Auswirkungen führt. Eine geschlossene Vereinbarung ist für alle Gothaer-Kerngesellschaften gültig. Das Formular zur Vereinbarung einer Verschlüsselungsmethode finden Sie am Rande dieses Beitrags. Die Gothaer ermöglicht verschiedene Verschlüsselungsmethoden, die ebenfalls im Formular aufgeführt sind und von allen Geschäftskontakten der Gothaer verwendet werden können.
Bitte beachten Sie: Für die Verfahren müssen einige technische Voraussetzungen erfüllt werden und sind daher nur für E-Mail Adressen möglich, die der Kontrolle des Verwenders unterliegen. Das bedeutet, es ist nicht möglich eine solche Vereinbarung mit "freien" Adressen wie "web.de" oder "t-online.de" zu treffen, da in diesen Fällen der Verwender keinen datenschutzrechtlich sicheren Vertrag mit dem Provider geschlossen hat.
2) Ist keine Verschlüsselungsmethode mit dem Empfänger vereinbart, erhält der Empfänger verschlüsselte Nachrichten von der Gothaer in den Gothaer Webmailer. Der Webmailer ist daher sowohl für Geschäftskunden als auch für Privatkunden verfügbar.
Nach einmaliger Einrichtung der Zugangsdaten können alle verschlüsselt ausgetauschten E-Mails in diesem zusätzlichen Postfach aktiv abgerufen werden. Der Empfänger erhält eine Benachrichtigung in sein/ihr Standard-E-Mail Postfach, wenn eine neue Nachricht dort hinterlegt wird. Ein Zugang wird automatisch eingerichtet, sobald der Empfänger erstmalig eine verschlüsselte Nachricht erhält.
Der Webmailer kann auch verwendet werden, um verschlüsselt E-Mails an die Gothaer zu senden. Für andere Empfängeradressen kann er jedoch nicht verwendet werden. Eine Anleitung zur Verwendung des Webmailers finden Sie unter diesem Beitrag.
Anleitung Webmailer
Verschlüsselungsformular
Direkte verschlüsselte E-Mail-Kommunikation - Kommunizieren Sie vertraulich mit uns
E-Mails werden auf dem Weg zu ihrem Empfänger über zahlreiche Zwischenstationen geleitet und die Inhalte werden dabei im Klartext übertragen, sofern keine Verschlüsselungsmechanismen eingesetzt werden. Das kann zum Mitlesen oder Verändern der E-Mails führen. Wir bieten Ihnen deshalb die Möglichkeit, E-Mails verschlüsselt an die Gothaer zu senden. So geht´s:
Laden Sie sich den erforderlichen zertifizierten Schlüssel der Gothaer herunter (rechte Maustaste und Option "Ziel speichern unter") und versenden Sie sichere E-Mails an info@gothaer.de
Schicken Sie uns eine E-Mail mit Ihrem eigenen zertifizierten Schlüssel und Sie erhalten in Zukunft E-Mails automatisch in verschlüsselter Form
Warum ist es sinnvoll, E-Mails zu verschlüsseln?
Zahlungsanweisungen an Banken, Anträge oder Bestellungen mit Angabe personenbezogener Daten, die Übermittlung sensitiver Daten im medizinischen und sozialen Bereich und eine Vielzahl weiterer Kommunikationsbeziehungen erfolgen bereits zu einem großen Teil auf elektronischem Wege. Um diese Daten vor unbemerkter Einsichtnahme und Manipulation zu schützen, können sie verschlüsselt werden. Der Gothaer Konzern möchte eine sichere elektronische Kommunikation mit Kunden, Interessenten, Vertriebspartnern und Maklern zur Verfügung stellen, damit auch sensible Informationen sicher übertragen werden können. Um die Sicherheit der übermittelten Informationen auf dem elektronischen Weg zu garantieren, setzen wir Verschlüsselungsmechanismen ein. So stellen wir sicher, dass E-Mail-Nachrichten nur für den vorgesehenen Adressaten lesbar sind.
Wie verschlüssele ich eine E-Mail an die Gothaer?
Bei der Verschlüsselung von E-Mails wird die Kombination aus öffentlichem und privatem Schlüssel in ihrer eindeutigen Zuordnung zueinander genutzt. Den öffentlichen Schlüssel zur Adresse info@gothaer.de können Sie sich jetzt herunterladen (zum Beispiel für Lotus Notes, Microsoft Outlook oder Mozilla Thunderbird). Laden Sie den hier verfügbaren öffentlichen Schlüssel herunter und speichern Sie ihn auf Ihrer Festplatte ab. Binden Sie ihn in Ihre Mail-Anwendung ein. Legen Sie dazu je nach Mail-Programm einen Kontakt oder einen anderen Adressbucheintrag für info@gothaer.de an (zum Beispiel einen Eintrag in Ihrem persönlichen Adressbuch unter Lotus Notes) und ordnen Sie den bereits abgespeicherten öffentlichen Schlüssel von dieser Webseite diesem Eintrag zu.
Unter Outlook importieren Sie beispielsweise den Schlüssel in den Kontakt info@gothaer.de. Verfassen Sie die E-Mail und geben Sie als Option an, dass Sie sie verschlüsselt versenden möchten. Senden Sie die vorgesehene Mail auf diesem Wege an die Adresse info@gothaer.de und wir können eine sichere Kommunikation gewährleisten. Wir entschlüsseln die Mail mit dem nur uns vorliegenden privaten Schlüssel und sind erst dadurch in der Lage, sie zu lesen. Weitere Hilfestellungen zum Import eines öffentlichen Schlüssels zu einem Eintrag in Ihrem Mail-Adressbuch und seiner Verwendung finden Sie in der Hilfe Ihres Mailprogramms.
Bitte beachten Sie für Fragen und weitere Informationen auch die Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) .
Was muss ich tun, um selber verschlüsselte E-Mails zu erhalten?
Wenn Sie selber verschlüsselte E-Mails erhalten möchten, benötigen Sie ein digitales Zertifikat. Digitale Zertifikate werden für verschiedene Nutzungszwecke und Sicherheitsstufen (Klassen) von akkreditierten Zertifizierungsstellen (Gütesiegel nach Satz 3 SigG) angeboten und ausgegeben. Voraussetzung für die Ausstellung ist eine zweifelsfrei positive Identitätsprüfung zur Person (Verifikation).
Ein solches Zertifikat verbindet die Angaben zu Ihrer Person mit dem öffentlichem Schlüssel (public key). Neben dem öffentlichen Schlüssel umfasst es weitere Angaben wie zum Beispiel Name des Zertifikatsausstellers, Seriennummer oder Gültigkeit. Der private Schlüssel (private key) zum Zertifikat verbleibt bei Ihnen und darf nicht weitergegeben werden. Die E-Mail, die Ihr Kommunikationspartner mit Ihrem öffentlichen Schlüssel verschlüsselt hat, können nur Sie mit Ihrem privaten Schlüssel entschlüsseln und lesen.
Genauso funktioniert dies für die Gothaer: Sie senden uns eine Nachricht an die Adresse info@gothaer.de, die Sie mit unserem hier zur Verfügung gestellten öffentlichen Schlüssel verschlüsselt haben und wir entschlüsseln die verschlüsselte Nachricht mit unserem entsprechenden privaten Schlüssel und können die Nachricht lesen.
Wie funktioniert die Verschlüsselung von E-Mails?
Bei der Verschlüsselung von E-Mails wird die Kombination aus öffentlichem und privatem Schlüssel in ihrer eindeutigen Zuordnung zueinander genutzt (asynchrone Verschlüsselung), die auf einem Zertifikat basiert. Zertifikate können natürlichen Personen oder Gruppen (für Gruppenadressen wie beispielsweise info@gothaer.de) zugeordnet werden.
Der Absender muss den Schlüssel, mit dem seine Mails verschlüsselt werden können, an seinen jeweiligen Kommunikationspartner verteilen. Dieser Schlüssel wird also öffentlich gemacht und deshalb als öffentlicher Schlüssel bezeichnet. Zur bilateralen Verschlüsselung ist es notwendig, dass beide Kommunikationspartner ein kompatibles System (hier: S/MIME) einsetzen, das von den gängigen Mail-Programmen wie Outlook, Thunderbird oder Lotus Notes ohne zusätzliche Software-Installation unterstützt wird.
Der zweite, nicht-öffentliche Schlüssel dient zur Dechiffrierung (Entschlüsselung) der verschlüsselten Daten und kann nur von der Empfängerseite selbst verwendet werden. Er wird als privater Schlüssel bezeichnet und sicher hinterlegt.
Was sind Zertifikate?
Zertifikate werden von einer vertrauenswürdigen Stelle, der Zertifizierungsstelle (CA, Certification Authority), ausgestellt und dienen im elektronischen Rechts- und Geschäftsverkehr als elektronische Ausweise. Der Gothaer Konzern bedient sich der Eigenschaften digitaler Zertifikate. Digitale Zertifikate sind das elektronische Gegenstück zu einem Ausweis. Sie ordnen ihrem Inhaber eindeutig einen öffentlichen Schlüssel (public key) und einen privaten Schlüssel (private key) zu.
Woher werden Zertifikate bezogen?
Für den Bezug und die Verwaltung digitaler Zertifikate existiert eine vertrauenswürdige und offizielle Instanz, eine anerkannte Zertifizierungsstelle (ein so genanntes TrustCenter). Eine solche akkreditierte Zertifizierungsstelle hat das Akkreditierungsverfahren gemäß SigG erfolgreich durchlaufen und darf gemäß § 15 Abs. 1 Satz 3 SigG ein entsprechendes Gütesiegel tragen. Durch diese Instanz wird bestätigt, dass die Zertifikate natürlichen Personen oder einer zu einem Unternehmen gehörenden Gruppenadresse zuzuordnen sind.
Was kostet ein solches Zertifikat für eine Person?
Wie viel ein Zertifikat kostet, ist abhängig von unterschiedlichen Faktoren, zum Beispiel, ob ein ganzes Kontingent im Firmenbereich bestellt wurde. Auch die Gültigkeitsdauer stellt einen Kostenfaktor dar. So können Zertifikate zwischen einem und drei Jahre Gültigkeit besitzen. In der Regel bezahlen Sie für ein Personenzertifikat, das ein Jahr gültig ist, je nach Anbieter ca. 60 Euro.
Bitte beachten Sie, dass ein Zertifikat nach Ablauf der Gültigkeit auf der Gegenseite bei Ihren Kommunikationspartnern ausgetauscht werden muss, um weiterhin eine sichere Mail-Kommunikation vollziehen zu können.
Was tun, wenn das eigene Zertifikat abläuft?
Sie können ein neues Zertifikat für die Folgezeit beantragen, wenn Ihr altes Zertifikat abläuft. Das Vorgehen ist das gleiche wie beim ersten Antrag. Verschiedene Zertifikate besitzen übrigens verschiedene kryptografische Schlüsselpaare. Ein altes Zertifikat wird also nicht "erneuert", sondern deaktiviert! Sie sollten Ihr altes Zertifikat jedoch nicht löschen, denn Sie brauchen es noch, um zum Beispiel alte, an Sie gerichtete und verschlüsselte E-Mails zu lesen.
Wie können Sie die Echtheit eines Zertifikats überprüfen?
Das Mail-Programm zeigt den Zertifikatsinhalt im Verwendungskontext an. Durch einen Doppelklick auf den heruntergeladenen öffentlichen Schlüssel eines Zertifikats können Sie sich die entsprechenden Eigenschaften anzeigen lassen. Ein wichtiges Kriterium stellen dabei die elektronischen Fingerabdrücke dar. Zertifizierungsstellen veröffentlichen die Prüfsummen ihrer Zertifikate in Druckschriften und auf Webseiten, wie zum Beispiel bei TC TrustCenter. So haben Sie die Möglichkeit, die Schlüsselinformationen zum vorliegenden Schlüssel zu vergleichen. Erhalten Sie die gleichen Prüfsummen unverfälscht, ist das Zertifikat echt.
Bitte beachten Sie auch die Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) .
Wie sehen die E-Mails für mich auf Empfängerseite aus?
Ein Mitarbeiter der Gothaer möchte aufgrund einer Anfrage von Ihnen beispielsweise ein Angebot mit personenbezogenen oder sensiblen Daten an Sie versenden. Diese Inhalte verlangen nach einer verschlüsselten Kommunikation. Besitzen Sie kein Zertifikat bzw. wir keinen öffentlichen Schlüssel von Ihnen, bekommen Sie aus Sicherheitsgründen zwei E-Mails im Text-Format. Dies sind E-Mails ohne Grafiken, aktive Inhalte oder spezielle Formatierungen. Eine Mail enthält einen Benachrichtigungstext und den Link für den Zugriff auf das Postfach bei der Gothaer.
Eine andere Mail enthält das Einmal-Passwort für den Zugriff. Aufgrund einer Kennzeichnung (eindeutige Mail-ID) im Subjekt beider Mails ist es Ihnen auf einen Blick möglich, die Mails - und damit den richtigen Zugriffscode für die entsprechende Nachricht - einander zuzuordnen. Nach Kenntnis des Zugriffscodes sind Sie als Empfänger in der Lage, auf die Mail via HTTPS zuzugreifen. Durch Anklicken des Links in der einen Benachrichtigungs-Mail bzw. Kopieren der Verknüpfung in den Browser (Internet Explorer, Mozilla Firefox etc.) gelangen Sie zu Ihrem Postfach. Ihre E-Mail-Adresse gilt als Name für die Authentifizierung. Das Passwort ist der Zugriffscode.
Welche Aktionsmöglichkeiten habe ich im Webmailerpostfach?
Aus dem Webmailer heraus ist neben dem Lesen, Drucken und Speichern der E-Mail nur eine Antwort an den internen Absender der betreffenden E-Mail möglich.
Kann ich als Empfänger mit dem Passwort auch auf andere oder zukünftige Mails zugreifen?
Nein, Webadresse und Zugriffscode sind nur für eine spezifische Nachricht im Webmailerpostfach gültig. Die Empfänger können anhand dieser Angaben nicht auf andere oder zukünftige Nachrichten zugreifen.
Was passiert, wenn ich als Empfänger eine der beiden zugestellten Mails lösche?
Sie benötigen die Angaben aus beiden Mails, um auf die spezifische E-Mail in Ihrem Postfach zugreifen zu können. Sollten Sie eine der beiden Mails gelöscht haben, ohne vorher die Informationen abgespeichert zu haben, müssen Sie den Absender kontaktieren. Dieser kann durch seine E-Mail-Adresse spezifiziert werden. In einem solchen Fall müsste die ursprüngliche Mail noch einmal vom Absender beim Gothaer Konzern an Sie versendet werden.
Was geschieht, wenn ich als Empfänger nur eine Benachrichtigungs-Mail bekommen habe?
Sie benötigen als der Empfänger die Angaben aus beiden Mails, um auf die spezifische E-Mail in Ihrem Postfach zugreifen zu können. Sollten Sie wider Erwarten nur eine der beiden Mails erhalten haben, müssen Sie den Absender kontaktieren. Dieser kann durch seine E-Mail-Adresse spezifiziert werden. In einem solchen Fall müsste die ursprüngliche Mail noch einmal vom Absender beim Gothaer Konzern versendet werden.
Welche Informationen aus Benachrichtigungs-Mails gehören zusammen?
Die zusammengehörenden Benachrichtigungs-Mails zu einer Mail im Webmailerpostfach sind durch eine identische Mail-ID (zehnstellige Nummer) in der Subjektzeile der beiden E-Mails gekennzeichnet, die Sie als Benachrichtigung erhalten.#
Sie benötigen die Angaben aus beiden Mails, um auf die spezifische E-Mail in Ihrem Postfach zugreifen zu können.
Muss für die sichere Mail-Kommunikation spezielle Software installiert werden?
Nein, Ihr E-Mail-Programm muss lediglich den S/MIME-Standard unterstützen, was alle gängigen Mail-Programme wie Lotus Notes, Microsoft Outlook oder Mozilla Thunderbird tun.
Was muss ich tun, um selber verschlüsselte E-Mails zu erhalten?
Wer selber verschlüsselte E-Mails erhalten möchte, benötigt ein digitales Zertifikat. Digitale Zertifikate werden für verschiedene Nutzungszwecke und Sicherheitsstufen (Klassen) von akkreditierten Zertifizierungsstellen (Gütesiegel nach Satz 3 SigG) wie beispielsweise GlobalSign oder TC TrustCenter angeboten und ausgegeben. Voraussetzung für die Ausstellung ist eine zweifelsfrei positive Identitätsprüfung zur Person (Verifikation).
Ein solches Zertifikat verbindet die Angaben zu einer natürlichen Person mit dem öffentlichem Schlüssel (public key). Neben dem öffentlichen Schlüssel umfasst dies weitere Angaben wie zum Beispiel Name des Zertifikatsausstellers, Seriennummer oder Gültigkeit. Der private Schlüssel (private key) zum Zertifikat verbleibt beim Anwender und darf nicht weitergegeben werden. Die E-Mail, die ein Kommunikationspartner mit seinem öffentlichen Schlüssel verschlüsselt hat, kann die Gegenseite nur mit dem passenden privaten Schlüssel entschlüsseln und lesen.
Besitzt ein Kommunikationspartner ein Zertifikat, ist er nicht nur in der Lage, mit dem Gothaer Konzern verschlüsselte Mails auszutauschen. Auch anderen Personen oder Unternehmen wird so die Möglichkeit gegeben, dem Zertifikatsbesitzer verschlüsselte Mails zu senden.
Auf welcher rechtlichen Grundlage verschlüsselt die Gothaer E-Mails?
Die Notwendigkeit zur Datenverschlüsselung ergibt sich aus der DSGVO, welche in Artikel 32 auf den Schutz personenbezogener Daten eingeht. Bei Nichtbeachtung drohen Strafen in empfindlicher Höhe.
Welche Gothaer-Adressen versenden verschlüsselte E-Mails?
Grundsätzlich kann jede Gothaer E-Mail Adresse verschlüsselte Nachrichten versenden. Bei Sammeladressen werden in vielen Fällen automatisch alle ausgehenden E-Mails verschlüsselt versendet, da Sie regelmäßig vertrauliche Daten versenden. Dies gilt z.B. für Sammeladressen im Bereich Krankenversicherung.