Sicherer Datenaustausch für den Gesundheitssektor

Dr. Günther Hoffmann von ContentPro hat mit DocRAID bereits mehrere Preise gewonnen (Foto: ContentPro AG).

Die ContentPro AG will mit ihrer Lösung DocRAID für mehr Sicherheit im Austausch von Nachrichten im Gesundheitssektor sorgen. Der Anbieter sicherer Cloud-Storages im RAID-Verbund bietet einfaches File-Sharing und E-Mail-Verschlüsselung. Neben Verschlüsselung von Anhängen oder ganzen Nachrichten gehören Abrufkontrolle, Ablaufdaten von E-Mails und Zugriff-Alerts zu den Funktionen der E-Mail-Verschlüsselung. Sie soll den Nutzer dort abholen, wo er arbeitet: im Browser, im Dateimanager oder in Outlook. Das Plugin für Microsoft Outlook funktioniert laut Anbieter mit jedem E-Mail-Provider. Anders als zum Beispiel PGP setzt der Dienst auf der Empfängerseite keine zusätzliche Software voraus.

Um die Akzeptanz beim Anwender für den Einsatz einer Verschlüsselungslösung zu steigern, setzt DocRAID gezielt auf Nutzerfreundlichkeit. So kann der Anwender bei jeder E-Mail auswählen, ob die gesamte E-Mail oder nur der Anhang verschlüsselt werden soll. Im letzteren Fall wird auch nur der Anhang auf einem DocRAID-Server gespeichert, während der Body der E-Mail an den Empfänger weitergeleitet wird. Der verschlüsselte Anhang lässt sich vom Empfänger über einen Link in der Mail aufrufen und wie gewohnt abspeichern. Zudem können sowohl der Empfänger, als auch der Sender die gesamte E-Mail im Mail-Programm unverschlüsselt abspeichern, um sie archivierbar und durchsuchbar zu halten. Auf Sender-Seite reicht eine einmalige Einstellung, damit alle über DocRAID gesendeten E-Mails weiterhin im Ordner „Gesendet“ als unverschlüsselte Kopie erhalten bleiben. Der Empfänger kann auf Wunsch über einen mitgeschickten Link nicht nur den Anhang, sondern die gesamte E-Mail im Original wahlweise als msg-, txt- oder html-Datei herunterladen und mit dem entsprechenden Mail-Programm öffnen.

Compliance im Fokus

Im Vergleich zu PGP oder S/MIME bietet eine Server-basierte Lösung einen größeren Funktionsumfang. So können auf DocRAID-Servern zum Download stehende Anhänge und E-Mails auch mit einem Verfallsdatum versehen werden. Werden sie innerhalb des festgelegten Zeitraums nicht abgerufen, dann werden sie automatisch gelöscht. Zudem wird protokolliert, wann wer welchen Anhang abgerufen hat. Außerdem kann der Mail-Sender Alert-Funktionen einstellen. Ob und wann ein Anhang oder eine E-Mail abgerufen wurden, kann zweifelsfrei dokumentiert werden, ohne dass die Empfänger-Seite dies explizit bestätigen muss. Alle Einstellungen, wie Ablaufdatum oder Alert-Funktion lassen sich auch nachträglich nach Versenden der E-Mail ändern. So kann etwa ein versehentlich verschickter Anhang noch solange gelöscht werden, wie er nicht abgerufen wurde. Praktisch: Da der Server des eigentlichen E-Mail-Providers faktisch umgangen wird, fällt auch die Größenbegrenzung des E-Mail-Providers weg. Dadurch lassen sich Anhänge in beliebiger Größe an beliebige Empfänger verschicken.

Sicherheit inklusive

Eine Lösung, die nur vom Sender allein installiert und bedient werden kann und keine Anforderungen an den Empfänger stellt, hat den Vorteil, dass sie von den Anwendern auch tatsächlich eingesetzt wird. Zu den Nachteilen gehört, dass man sich angreifbarer gegenüber Man-in-the-Middle-Attacken macht. Um dem vorzubeugen, sind von DocRAID für das Outlook-Plugin spezielle Funktionen hinzugefügt worden. Dazu gehört eine Codesperre, die der Absender dem Anhang oder der gesamten E-Mail hinzufügen kann. Der Empfänger erhält wie gewohnt den Link, muss sich dann aber zunächst an eine E-Mail-Adresse seiner Wahl eine PIN schicken lassen, mit der er die online hinterlegten Informationen abrufen kann. In der Praxis muss ein Angreifer bei einer Man-in-the-Middle-Attacke also Zugriff auf zwei verschiedene E-Mail-Postfächer erlangen. Außerdem wird auch bei einer Codesperre jeder Abruf und auch die Anforderung der PIN protokolliert. Eine Attacke würde dadurch nicht unbemerkt bleiben. Zusätzlich lässt sich der Zugriff der online bei DocRAID hinterlegten Daten auf bestimmte Personengruppen beschränken.

„Angriffen von Verschlüsselungstrojanern kann man mit der richtigen Sicherheitsstrategie entgegnen“, ergänzt Dr. Günther Hoffmann, Geschäftsführer der ContentPro AG. Er ist überzeugt: „Mit DocRAID unterstützen wir die Akteure im Gesundheitswesen mit einer effektiven und einfach handhabbaren Sicherheitslösung.“ Denn das ist ein angenehmer „Nebeneffekt“ beim Einsatz der Lösung. Die so genannten Verschlüsselungstrojaner laufen ins Leere.

Zusammengefasst:

DocRAID von ContentPro AG ist eine Cloudlösung mit Cloud-RAID Technologie, mit deren Hilfe sich Dateien sicher austauschen lassen. Die Dateien werden fragmentiert, die Fragmente verschlüsselt und in drei Speichern redundant abgelegt.

Mit DocRAID für Microsoft Outlook werden E-Mails verschlüsselt. Auch großen Anhänge lassen sich damit einfach versenden. Der Anwender behält weiterhin seinen bekannten E-Mail-Provider, ein Wechsel ist nicht erforderlich. Der Empfänger muss keine Software installieren.