KIF435:Verschlüsselte Gremienmails ?!
Aus KIF
Anforderungen
- verschlüsselte Mails
- innerhalb einer Mailingliste
- auch von außen eingehend
- geringer Administrationsaufwand (für ständig wechselnde Gremienmitglieder)
- leicht verständlich / geringe Einarbeitungszeit für User
Probleme
- Breite Anwendungslandschaft (Mail-Client plattformübergreifend oft nicht nutzbar)
- DAU und Schlüsselpaare ("ich hab dir mal meine Schlüssel geschickt")
- Archivierung
- geteilte Arbeitsplätze in öffentlichem Büro
Lösungsvorschläge
- Vereinheitlichung der Applikation
- nimmt Komplexität auf Nutzerseite raus, weniger Raum für fehlerhafte Nutzung
- Es sollte aber eine Möglichkeit für andere Geräte/Applikationen geben
- "Schleuder" Mailinglisten-Verschlüsselungs-dings
- enschlüsselt, und verschlüsselt an alle Empfänger
- "Designated Revoker" (der andere darf mich auch revoken)
- Keinen Schlüssel direkt in die Hände geben; Komplettlösung bereitstellen
- lösbar mit Hardwaretoken (z.B. yubikey)
- Archivbot mit eigenem Schlüssel
Diverses
- Vor Implementation im Asta sollte vorher eine ausführliche Anforderungsanalyse geschehen
- Verschiedene Szenarien mit unterschriedlichem Verhältnis von Komfort und Sicherheit aufzeigen und zur Diskussion stellen
- Nach ISO 27000-27009 wird in Unternehmen Verschlüsselt