Interview mit Stefan Klein, CEO von SEPPmail

"E-Mail-Verschlüsselung ist noch längst nicht Standard"

Seit den 80ern hat sich einiges getan bei der E-Mail-Kommunikation – nur nicht bei der Sicherheit. SEPPmail kämpft bereits seit 20 Jahren für ein sichereres Internet. Wieso es für Unternehmen heute wichtiger denn je ist, ihre E-Mails zu verschlüsseln, wie das überhaupt funktioniert und wofür das SEPP in SEPPmail steht, erklärt Stefan Klein, Gründer und CEO von SEPPmail.

SEPPmail gibt es nun seit 20 Jahren. Haben Sie noch dieselbe E-Mail-Adresse wie damals?

Stefan Klein: Leider nein. Unser Produkt gibt es zwar seit 20 Jahren, SEPPmail als Firmennamen und Domain aber erst seit 15 Jahren. Die erste Firma, die ich mit Kollegen gründete, war Onaras. Die wurde aber von Investoren an die Wand gefahren. Wir kauften die Rechte an der Lösung und vertrieben sie weiter mit Zoe-One. Daraus entstand dann vor rund 15 Jahren SEPPmail – seit da habe ich dieselbe E-Mail-Adresse.

Was veranlasste Sie zur Gründung?

Mir war schon immer klar, dass ich mehr Unternehmer als Angestellter bin. Meine erste Firma gründete ich schon kurz nach der Matura. Als Inhaber und zugleich einziger Angestellter verwaltete ich während des Studiums die IT für mehrere Anwaltskanzleien. Im Rahmen dieser Arbeit gab es eine Kanzlei, die E-Mail-Verkehr mit russischen Klienten pflegten. Diese verlangten von der Kanzlei eine PGP-Verschlüsselung, die ich umsetzen sollte. Ich stellte schnell fest, dass man Mitarbeitenden im Backoffice noch gut erklären konnte, wie das Public-Key-Verfahren funktioniert und wie es angewendet wird. Bei Anwälten war das jedoch unmöglich. Daraus entstand die Idee, das Ganze zu zentralisieren und einen Secure E-Mail PGP Proxy zu bauen – daher auch der Name SEPPmail. Der Proxy sollte den Nutzenden ermöglichen, ganz einfach verschlüsselte E-Mails zu verschicken und zu empfangen.

Es gab also nie einen Sepp oder Josef?

(lacht) Das höre ich tatsächlich noch öfters. Der Firmenname ist Segen und Fluch zugleich. Einerseits kann man ihn sich sehr gut merken. Andererseits klingt er vielleicht etwas unprofessionell. Wir sind ja auch in Deutschland aktiv, und in Bayern ist der Sepp umgangssprachlich ein Trottel. Doch ich glaube, die Vor- und Nachteile unseres Namens halten sich die Waage.

Wie hat sich die E-Mail-Kommunikation seither verändert?

Schon vor 20 Jahren gab es Leute, die der Technologie den baldigen Tod prophezeiten. Doch die E-Mail hält sich nach wie vor wacker, auch im Geschäftsumfeld. Die Vorteile sind nicht von der Hand zu weisen. De facto hat sich E-Mail einfach bis in die hinterste Ecke verbreitet. Praktisch jeder hat eine E-Mail-Adresse, es ist sowas wie ein Namensschild im Internet. Gleichzeitig hat der E-Mail-Verkehr auch stark zugenommen, teilweise mit sinnvollen, aber auch mit weniger sinnvollen Inhalten. Vergleichen Sie einmal, wie viel Post sie im Vergleich zu früher noch im physischen Postfach haben – dann werfen Sie einen Blick ins E-Mail-Postfach.

Bedeutet mehr Traffic auch mehr Gefahr?

Viele der E-Mails, die wir jeden Tag erhalten, sind Spam. Doch längst nicht alle. Heute werden auch vermehrt E-Mails mit wichtigen und auch vertraulichen Inhalten verschickt, die früher ausschliesslich per Fax oder per Brief zum Empfänger gingen. Zum Beispiel Lohnabrechnungen. Teilweise werden diese Mails auch heute noch unverschlüsselt verschickt, was alles andere als optimal ist. Zwar sagen mir immer wieder Leute, dass sie nichts Vertrauliches per E-Mail verschicken. Denen sage ich jeweils: Schauen Sie mal in Ihren Postausgang. Und überlegen Sie sich genau, ob alles, was Sie da drin finden, problemlos an die Öffentlichkeit dürfte. Da fällt ihnen meistens schnell auf, dass sie ihre E-Mails eigentlich verschlüsseln sollten.

Sind Unternehmen denn heute weniger sicher als noch vor 20 Jahren?

Tendenziell ja. Vor allem, weil Unternehmen mehr und mehr von analog auf digital umstellen, und so auch zunehmend wichtige und sensible Inhalte per Mail übermittelt werden. Verschlüsseln sie diese nicht, machen sie sich zum Angriffsziel. Als wir damals anfingen, unsere Lösung zu vermarkten, gingen wir davon aus, dass E-Mail-Verschlüsselung spätestens nach drei Jahren zum Alltag gehört. Sie ist zwar ein grösseres Thema als früher, aber leider ist E-Mail-Verschlüsselung noch längst nicht Standard. Durch TLS, also die Verschlüsselung zwischen Mailservern, ist zwar bereits ein guter Teil der Übermittlung mehr oder weniger sicher, aber noch lange nicht alles. Vor 20 Jahren gab es das noch nicht.

Bedrohungen wie Phishing und Social Engineering nehmen von Jahr zu Jahr zu. Gibt es ein Patentrezept, wie sich Unternehmen dagegen wappnen können?

Theoretisch schon, und zwar durch das Signieren von E-Mails mittels S/MIME. So wissen Empfänger, dass E-Mails in ihrem Posteingang auch tatsächlich vom angegebenen Absender stammen. Unmöglich wird Phishing dadurch nicht, aber Cyberkriminelle hätten es schon mal um einiges schwerer. Doch leider verbreitet sich diese Praktik viel zu langsam. Das Problem: Durch das Signieren schützt man nicht sich selbst, sondern Empfängerinnen und Empfänger. Weshalb für etwas bezahlen, das für mich selbst nur begrenzten Nutzen hat? Das ist der Grund, weshalb sich E-Mail-Signaturen viel langsamer verbreiten, als sie eigentlich sollten. Obwohl das Image vieler Unternehmen davon profitieren könnte, in dem sie zeigen, dass ihnen die Sicherheit ihrer Kunden am Herzen liegt. Die insgesamt beste Lösung wäre es allerdings, die Mails nicht nur zu signieren, sondern auch zu verschlüsseln.

Worauf sollten Firmen achten, wenn sie nach einer geeigneten Verschlüsselungslösung suchen?

Meiner Ansicht nach steht und fällt eine solche Lösung mit ihrer Usability. Eine Lösung, die sich nicht einfach nutzen lässt, wird schlicht und ergreifend nicht angenommen. Aus diesem Grund hat sich SEPPmail so gut verbreitet. Unsere Lösung musste sowohl in der Inbetriebnahme als auch in der Nutzung einfach sein, wenn ich nochmal an die Anwaltskanzlei erinnern darf. Das haben wir meiner Meinung auch geschafft. Wenn’s ganz einfach gehen soll, gibt es auch Plugins, die direkt ins Mail-Programm integriert werden. Dann funktioniert die Verschlüsselung mit jedem beliebigen Empfänger auf Knopfdruck.

Ein weiterer Punkt, worauf Firmen achten sollten, ist die Cloud. In der Regel sitzen Verschlüsselungslösungen zwischen Mailserver und Internet. Anders ist es, wenn Firmen bei Clouddienste wie Microsoft Exchange benutzen und der Mailserver nicht On-Premises liegen. Auch für dieses Problem haben wir zusammen mit einer Partnerfirma eine Lösung.

Gibt es verschiedene Methoden zur Verschlüsselung?

Die Standardverschlüsselungsmethoden sind S/MIME und PGP. Dahingehend sind auch die meisten Lösungen auf dem Markt ähnlich oder gleich. Schwierig wird es in der Praxis, wenn das Gegenüber keine Verschlüsselungslösung nutzt, was bei den meisten Privatpersonen der Fall ist. Denn mit S/MIME oder PGP brauchen beide Parteien eine Lösung, damit der Prozess funktioniert. Dort setzt unsere patentierte Technologie an, die wir Gina nennen. Mit Gina können Unternehmen verschlüsselte E-Mails an Leute schicken, die selbst keine Verschlüsselungslösung nutzen. Alles, was die Empfängerinnen und Empfänger dazu brauchen, ist ein Mail-Client und einen Browser. Für sensible oder besonders schützenswerte Daten ist so ein Dienst heutzutage unverzichtbar, nicht zuletzt im Hinblick auf das neue Datenschutzgesetz.

Inwiefern?

Mit dem revidierten Schweizer Datenschutzgesetz ändert sich einiges im Hinblick auf die Datenschutzrechte natürlicher Personen. Weiter definiert das neue Gesetz klare Sanktionen bei einer Verletzung. Im schlimmsten Fall machen sich Firmen beim Versenden einer unverschlüsselten E-Mail strafbar, was hohe Bussen nach sich ziehen kann. Ich hoffe, dass das E-DSG auch hierzulande Unternehmen stärker auf den Datenschutz sensibilisieren wird. Eine solche Änderung im Denken von Unternehmen konnten wir zum Beispiel feststellen, als in Deutschland die DSGVO eingeführt wurde.

Worauf müssen Firmen in Zukunft sonst noch besonders achten?

In puncto E-Mail wird, vermute ich, nicht mehr viel neues dazukommen. Dafür ist der SMTP-Standard schon zu sehr festgesetzt. Eher wird E-Mail irgendwann von einer anderen Technologie abgelöst. Aber bis sich ein neues Kommunikationsmittel etabliert, ist es ein langer Weg. Wir sehen es bei Whatsapp – immer wieder kommen Alternativen, die zwar auch erfolgreich sind, jedoch nicht im gleichen Ausmass wie Whatsapp selbst. Auch Microsoft versucht mehr und mehr, die ganze Kommunikation auf Teams zu lenken. Bis das aber so flächendeckend genutzt wird wie E-Mail, wird noch viel Zeit vergehen.