Immer wieder kommt es vor, dass man im Firmen-Umfeld plötzlich das Bedürfnis verspürt, Daten verschlüsselt zu kommunizieren, ohne die notwendige Infrastruktur dafür zu haben. Langfristig besteht dann natürlich die Möglichkeit, eine entsprechende Infrastruktur (z.B. durch ein Crypto-Gateway, einen pgp/gpg-Rollout oder durch eine PKI-Intergration mit S/MIME) aufzubauen. Kurzfristig hilft dies allerdings nicht weiter, da sich keine dieser Maßnahmen “eben mal so” implementieren lässt. Hier stellt sich dann die Frage, welche Optionen man für kurzfristige Übergangslösungen hat.

Im Wesentlichen hängt die passende Lösung von den Möglichkeiten des Empfängers ab:

• Falls bereits eine Crypto-Infrastruktur beim Empfänger besteht:
  Hat der Empfänger ein Crypto-Gateway, dann kann dies unter Umständen genutzt werden, ohne dass man eigene Software benötigt. Manche Crypto-Gateways bieten eine Webmail-Schnittstelle, bei der der Sender einen Account eingerichtet bekommt, mit dem er Senden und Empfangen kann. Die eigentliche Kommunikation wird dann mittels https verschlüsselt.
  Hat der Empfänger eine pgp/gpg Infrastruktur, dann kann bis zur Umsetzung einer permanenten Crypto-Lösung erst einmal mit Einzelplatzlösungen gearbeitet werden. Setzt man  selbst Outlook ein, dann bietet sich der Einsatz von gpg4win an. Für Outlook 2003 und 2007 ist in dem Programmpaket das Modul GpgOL enthalten. Für Outlook 2010 steht diese Lösung nicht zur Verfügung. Kommt dagegen Thunderbird als Email-Lösung zum Einsatz, dann kann man das Plugin enigmail zusammen mit gpg nutzen. In beiden Fällen muss man selbst-generierte Schlüssel einsetzen, da eine Firmen-Infrastruktur fehlt.
  Hat der Empfänger eine S/MIME Infrastruktur, dann man zwar theoretisch auch dafür eine lokale Lösung finden. Praktisch ist dies aber schwierig, da man in einem Firmen-Umfeld in der Regel nicht selbstständig Zertifikate importieren kann.
• Falls der Empfänger keinerlei Crypto-Infrastruktur hat:
  Erfahrungsgemäß wird man sich schwer tun, einen Empfänger zum Aufbau einer komplexen Crypto-Infrastruktur zu bewegen. Hier müssen dann alternative Methoden eingesetzt werden.
  Der einfachste Weg ist der Einsatz von verschlüsselten ZIP-Dateien. Hierzu wird einmalig ein Schlüssel zusammen mit dem Kommunikationspartner festgelegt. Der Schlüsselaustausch sollte natürlich nicht gerade per Mail stattfinden, da ein Angreifer, der Klartext-Mails abfangen kann, damit auch gleich das Passwort abhören kann. Am besten vereinbart man das Passwort per Telefon oder tauscht es per SMS aus. Der Schlüssel sollte möglichst komplex sein, keine Wörter aus einem Wörterbuch enthalten, und hinreichend lang sein (10 Zeichen sind ein guter Grundwert). Zu guter Letzt: Mit jedem Kommunikationspartner sollte ein eigener Schlüssel generiert werden.  Als Software kann man gute kostenlose Tools einsetzen (z.B. Pea ZIP,IZArc oder 7-Zip). 7-Zip steht auch unter Linux-Betriebssystemen zur Verfügung. Hat man im Unternehmen sowieso eine Winzip-Lizenz, dann kann man dies natürlich auch nutzen. Bei allen Tools sollte man darauf achten, dass man als Verschlüsselungs-Algorithmus “AES 256″ einstellt. Die schwache PKZIP-Verschlüsselung ist sehr einfach zu brechen, andere Verfahren (z.B. AES 128 oder AES 192) werden nicht von allen Tools unterstützt.
  Besteht keinerlei Option zur Installation eines Tools auf beiden Seiten, dann bleibt nur der Einsatz eines alternativen Mediums. Dies kann zum Beispiel ein oben beschriebenes existierendes Crypto-Gateway sein, oder zum Beispiel der Einsatz eines Datei-Servers, der eventuell schon bei einem der Kommunikationspartner zur Verfügung steht. Viele Unternehmen setzen beispielsweise heutzutage Sharepoint-Server ein. Wenn der Sharepoint-Server für externe Kommunikation eingesetzt wird, dann kann man hier relativ einfach einen Bereich zum Datenaustausch einrichten. Der andere Kommunikationspartner benötigt dann nur noch einmalig einen Account, und kann ab dann seine Daten über den Web-Browser via https verschlüsselt auf den Sharepoint-Server hochladen.

Zum Abschluss sollte beachtet werden, dass die oben beschriebenen Lösungen als Workaround in großen Unternehmen eingesetzt werden können. Ein vollwertiger Ersatz für eine vernünftige Crypto-Struktur sind sie in der Regel nicht. Dies fällt sehr schnell auf, wenn man beispielsweise die ZIP-Passwörter für 100 oder mehr Kommunikationspartner verwalten muss. Oder, wenn man die Passwörter alle wechseln muss, weil ein Kollege die Abteilung verlässt, der die Passwörter kennt. Daher empfiehlt sich rechtzeitig die Implementierung einer unternehmensweiten Crypto-Infrastruktur. Dies ist heutzutage eigentlich eine Pflichtübung für nahezu alle Unternehmen.