Wir wussten, dass die Sicherheitslösungen der PGP Corporation bei weltweit führenden Unternehmen, bei Behörden und Verschlüsselungsexperten eine bewährte Historie hinter sich haben. Daher gab es für uns keine ernsthaften Alternativen." - Chris Cross, Leiter der Sicherheitsabteilung von Paymentech LP

Paymentech Fallbeispiel - nur auf englisch verfügbar [PDF: 90KB]

Industriestandard – Wenn man sich für Produkte entscheidet, die einem bestimmten Industriestandard entsprechen, sichert man sich die Möglichkeit des operativen Austauschs mit anderen Produkten, die denselben Standards entsprechen. Zudem investiert man in gängige Technologieinfrastrukturen und Produkte und erhält auf diese Weise ein größtmögliches Maß an Sicherheit.

Lässt sich mit den gängigen E-Mail-Systemen kombinieren – Lösungen, die auf offenen Standards für öffentliche Schlüsselformate und offenen Technologien basieren, garantieren die größtmögliche Kompatibilität zwischen einzelnen Anwendungen. Produkte, die auf einer Plug-In-Architektur basieren, sind in der Regel für andere Bereiche als die Sicherheit gedacht. Außerdem fehlt es ihnen oftmals an Support, sie verändern sich häufig und erzeugen deshalb Kompatibilitätsprobleme.

Integrierte und verständliche Produktreihe – Anbieter einheitlicher Produktreihen für Verschlüsselung sollten einen langfristigen Produktfahrplan besitzen, der auf einer einzelnen Produktarchitektur basiert. Dieser vereinfacht und verbessert sowohl die Benutzerfreundlichkeit als auch die Kompatibilität.

Zahlreiche flexibel gestaltbare Sicherheitslevels – Die meisten Unternehmen geben an, dass detaillierte Richtlinien große Priorität besitzen, da den Verschlüsselungsanforderungen aller Nutzer entsprochen werden soll. Dies gilt vor allem dann, wenn die Nutzer selbst eintscheiden müssen, wann und auf welche Weise Verschlüsselungsrichtlinien auf E-Mails angewandt werden sollen, oder der Nutzer nichts von Verschlüsselung versteht oder nicht weiß, wie er sie anwenden soll. Gleichzeitig benötigen Unternehmen bilaterale Durchsetzung der Richtlinien, so dass verschlüsselt versendete Nachrichten nicht plötzlich unverschlüsselt wieder vom Empfänger zurückgesandt werden.

Einfache und automatische Schlüsselverwaltung – Die bei der Verwendung von Verschlüsselungslösungen immer notwenidge Schlüsselverwaltung, kann sehr mühsam sein, weil der eigentliche Verschlüsselungsvorgang nur einigen auserwählten Personen innerhalb des Unternehmens vorbehalten ist. Die meisten Unternehmen benötigen skalierbare Lösungen, die den Anforderungen aller Angestellten und sämtlicher externer Unternehmenspartner und Händler nachkommen.

Digitale Unterschriften und Verschlüsselung zur Authentifikation – Authentifikation nennt man den Vorgang, bei dem überprüft wird, ob der Absender tatsächlich derjenige ist, der er vorgibt zu sein und ob der Inhalt der E-Mail nicht unterwegs zum Empfänger verändert wurde. Obwohl eine Verschlüsselung dazu genutzt werden kann, mit Hilfe des persönlichen Schlüssels des Absenders die Identität desselbigen zu sichern, stellt die Authentisierung nicht das Hauptmerkmal der Verschlüsselung dar. Die Identität eines Absenders überprüft man in der Regel über die digitale Unterschrift.

Lässt sich mit Anti-Virus, Anti-Spam und entsprechenden Inhaltsfiltern kombinieren – Mit E-Mail-Hygiene werden sämtliche Aktivitäten bezeichnet man sämtliche Aktivitäten, die notwendig sind, das E-Mail-System einer Organisation stabil und sauber zu halten: Viren-, Spam- und Inhaltsblocker und die Verschlüsselung von E-Mails anhand digitaler Unterschriften. Diese Technologien müssen in jedem Fall nahtlos miteinander interagieren, um die Bedrohung für Systemstabilität, Sicherheit und Produktivität möglichst gering zu halten.

„Ich suchte nach der besten Lösung ihrer Art und wusste, dass PGP der de-facto-Standard für Verschlüsselungstechnologie schlechthin ist.“ – Bill McClelland, Leiter der IT-Abteilung des Montrose Memorial Hospital

Montrose Memorial Fallbeispiel - nur auf englisch verfügbar [PDF: 53KB]

Wiederherstellung verlorener Schlüssel – Sicherheitsbestimmungen, wie jene von Sarbanes-Oxley erfordern zunehmend die Sicherstellung des Zugangs zu verschlüsselten Daten. Dies gilt auch, falls der Schlüsselinhaber seinen persönlichen Schlüssel nicht bereitstellen kann oder will. Organisationen sollten grundsätzlich nur Verschlüsselungslösungen in Betracht ziehen, die erweiterte Schlüsseleigenschaften, wie einen Additional Decryption Key (ADK), Schlüsselwiederherstellung und Schlüsselaufteilung bieten. Diese Eigenschaften garantieren über besondere Richtlinien den Zugang zu gemeinsamen geschützten Daten.

Finanzielle Sicherheit – Unternehmen arbeiten aus Erfahrung am liebsten mit denjenigen Anbietern zusammen, die finanziell abgesichert sind und deshalb langfristige Infrastrukturpartner darstellen. Über ihre finanzielle Sicherheit garantieren diese Partner, dass sie die nötigen Mittel für Investitionen in die Produkt- und Betriebsentwicklung und in den Kundensupport besitzen.