KIF435:Verschlüsselte Gremienmails ?!

Aus KIF
Version vom 13. November 2015, 01:58 Uhr von 131.220.200.208 (Diskussion) (→‎Anforderungen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Anforderungen

  • verschlüsselte Mails
    • innerhalb einer Mailingliste (zum Schutz von sensiblen Daten)
    • Sicherstellung wer Email sendet (über Signatur)
    • auch von außen eingehend
  • geringer Administrationsaufwand (für ständig wechselnde Gremienmitglieder)
  • leicht verständlich / geringe Einarbeitungszeit für User

Probleme

  • Breite Anwendungslandschaft (Mail-Client plattformübergreifend oft nicht nutzbar)
  • DAU und Schlüsselpaare ("ich hab dir mal meine Schlüssel geschickt")
  • Archivierung
  • geteilte Arbeitsplätze in öffentlichem Büro

Lösungsvorschläge

  • Vereinheitlichung der Applikation
    • nimmt Komplexität auf Nutzerseite raus, weniger Raum für fehlerhafte Nutzung
    • Es sollte aber eine Möglichkeit für andere Geräte/Applikationen geben
  • "Schleuder" Mailinglisten-Verschlüsselungs-dings
    • enschlüsselt, und verschlüsselt an alle Empfänger
  • "Designated Revoker" (der andere darf mich auch revoken)
  • Keinen Schlüssel direkt in die Hände geben; Komplettlösung bereitstellen
    • lösbar mit Hardwaretoken (z.B. yubikey)
  • Archivbot mit eigenem Schlüssel

Diverses

  • Vor Implementation im Asta sollte vorher eine ausführliche Anforderungsanalyse geschehen
    • Verschiedene Szenarien mit unterschriedlichem Verhältnis von Komfort und Sicherheit aufzeigen und zur Diskussion stellen
  • Nach ISO 27000-27009 wird in Unternehmen Verschlüsselt