E-Mails mit der Distributed Ledger Technologie absichern Wie E-Mails durch die Blockchain revisionssicher werden

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

SEPPmail - Deutschland GmbH

Keeper Security EMEA Ltd.

totemo ag

50 Jahre nach ihrer Erfindung zählt die E-Mail zu den erfolgreichsten Kommunikationsmitteln im Internet. Wenn allerdings Authentizität und Integrität in der digitalen Kommunikation relevant werden, müssen Anwender noch immer auf das Fax oder Einschreiben ausweichen. Die Distributed Ledger Technologie (DLT) kann nun den Wandel bringen.

Die E-Mail zählt zu den langlebigsten Erfolgsgeschichten des Internets. Jedes Unternehmen und die meisten ihrer Kunden können im DACH-Raum per E-Mail erreicht werden. Daher ist es kaum vorstellbar, dass ihr Erfinder Ray Tomlinson sie noch als eine „nette Idee“ bezeichnete. Zweifellos wird sie für viele weitere Jahre einer der wichtigsten Kommunikationskanäle bleiben.

Zu einem Medienbruch kommt es allerdings, wenn eine Nachricht nachverfolgbar und ihr Empfang nachweisbar sein soll. In diesem Fall müssen Unternehmen auf das Fax oder Einschreiben ausweichen, was den Aufwand und die Kosten erhöht. Diese Nachweisbarkeit fehlt der E-Mail bislang. Allerdings zählt es zu einer der Kernfunktionen der DLT, genauer der Blockchain, Transaktionen revisionssicher zu dokumentieren.

Sicherheit durch Synergien von Blockchain und E-Mail

Die Blockchain wurde dafür entwickelt, Datensätze – die namensgebenden Blöcke – über Transaktionen mit einer digitalen Währung zu verifizieren und sicher zu speichern. Die Verkettung solcher einzigartigen Datensätze bildet eine dokumentierte Historie an Vorgängen – ob das nun im Detail eine Überweisung oder ein E-Mail-Versand ist, spielt im Grunde keine Rolle. Daher lassen sich beide Technologien kombinieren, um die fehlenden Fähigkeiten für eine nachweisbare Kommunikation für den E-Mail-Verkehr zu ergänzen. Dazu arbeiten die Schweizer Unternehmen totemo und Vereign an einer gemeinsamen Lösung. Dieses E-Mail-Gateway übernimmt alle Funktionen, die zur Umsetzung einer Kombination aus Blockchain und E-Mail notwendig sind.

Das Konzept gestaltet sich einfach: Wenn in einem Unternehmen mit Gateway ein Mitarbeiter eine E-Mail verschickt, dann reichert das Gateway die Nachricht mit einem verlinkten QR-Code an. Ausserdem hält das Gateway den Versandstatus in einer Key-Value-Datenbank fest, welche durch einen Hash-Baum (Merkle Tree) gesichert wird. Dieser Hash-Baum wird anschließend in der Blockchain gespeichert. Die Daten enthalten die notwendigen Angaben für einen Nachweis des Versands durch den Absender sowie Hintergrundinformationen wie zum Beispiel die Anzahl der Anhänge der abgeschickten E-Mail.

Phishing bereits beim Absender unterbinden

Auf der empfangenden Seite können die Nutzer nach Erhalt der E-Mail nun den QR-Code mit gängigen Scannern auf ihrem Smartphone scannen oder die Verlinkung per Klick nutzen. Das lädt eine Anwendung im Browser, die die in der Key-Value-Datenbank hinterlegten Informationen über Absender, Betreff und Datum sowie Anzahl der Anhänge abruft und den Hash-Wert mit dem zuvor gespeicherten Wert in der Blockchain prüft. Der Empfänger kann den Status der ursprünglichen E-Mail nun mit der empfangenen Nachricht abgleichen. Bei einer Übereinstimmung kann sich der Adressat über die Integrität und Authentizität der E-Mail sicher sein. Der Vorgang erfolgt unabhängig von weiteren Sicherheitsmerkmalen wie einem digital signierten oder verschlüsselten Versand, die eine zusätzliche Sicherheitsebene schaffen.

Eine solche Maßnahme, die beim versendenden Unternehmen anfängt, kann Vertrauen in die E-Mails des Absenders aufbauen. Der Empfänger einer Nachricht bekommt ein Werkzeug an die Hand gegeben, mit dem er die E-Mail aktiv sowohl auf Phishing als auch Manipulationen prüfen kann. Fälscht jemand Externes die Absenderinformationen für Phishing-Nachrichten, fehlt entweder der QR-Code oder der Empfänger erhält einen Hinweis auf eine mögliche Manipulation. Hängen der erhaltenen Nachricht beispielsweise mehr Dateien als der gesendeten E-Mail an, dann weist das darauf hin, dass etwa per Man-in-the-Middle-Angriff nachträglich wahrscheinlich bösartige Dokumente ergänzt wurden.

Die untrügliche Empfangsbestätigung

Auch der Absender kann durch die Integration einer Blockchain in die E-Mail-Kommunikation von einer steigenden Nachweisbarkeit profitieren. Dazu wird bei Eingang einer Nachricht der Empfang durch den Empfänger ebenfalls in der Key-Value-Datenbank und in der Blockchain codiert.

Der Empfänger oder sein Unternehmen nutzt ebenfalls ein Gateway, eine spezielle Scan-App oder ein Plug-in, das für die gängigen E-Mail-Anwendungen und -Anbieter wie Outlook und Gmail verfügbar ist. Dann wird die E-Mail, sobald sie eintrifft, entweder durch das Gateway geleitet, das in einen Datenblock den Empfangsstatus in der Key-Value-Datenbank hinterlegt und einen Hash-Wert in der Blockchain speichert. Diese Aufgabe können auch die App oder das Add-on übernehmen. Nun können die Administratoren im Unternehmen des Absenders den Empfang prüfen und nachweisen.

Absender und Empfänger profitieren

Revisionssicherheit in der digitalen Kommunikation bringt viele Vorteile. Der E-Mail-Verkehr wird sicherer, erspart die zusätzlichen Kosten und Aufwände des bisher notwendigen Medienbruchs und verwirklicht ein Anti-Phishing-Konzept, das beim Absender – statt wie die bisherigen Ansätze beim Empfänger – ansetzt. Die E-Mails von Unternehmen, die eine solche Blockchain verwenden, gewinnen an Reputation. Das wiederum kann weitere Effekte haben, wie eine höhere Lese- und Interaktionsrate. In jedem Fall werden Unternehmen und Privatpersonen noch lange E-Mails schreiben, weshalb es eine gute Idee ist, über zusätzliche Funktionen für die E-Mail-Sicherheit nachzudenken.

Über den Autor: Marcel Mock ist CTO und Mitgründer von totemo.

(ID:47304451)