Die Schweizerische Post setzt für die sichere Übertragung von sensiblen Daten auf S-TRUST-Zertifikate der DSV-Gruppe (Deutscher Sparkassenverlag)

Anwenderbericht: Elektronische Signatur bei der Schweizerischen Post

"Wir möchten unseren Kunden alle Vorteile der modernen Kommunikationsmittel bieten und gleichzeitig die Sicherheit der Daten gewährleisten", erklärt Rolf Leuenberger, IT-Sicherheitsbeauftragter der Schweizerischen Post. Damit unterstreicht Leuenberger den Unternehmensanspruch, neben 15 Millionen Briefen am Tag auch die digitale Post samt Inhalt zuverlässig und sicher zuzustellen. "Dies gilt für alle Geschäftsbereiche der Schweizerischen Post, in denen per E-Mail Daten ausgetauscht werden. Besondere Anforderungen hat vor allem der Bereich von PostFinance."

Als eigenständiger Geschäftsbereich der Schweizerischen Post entwickelt PostFinance für seine Kunden umfassende Lösungen. Der sichere Transfer von sensiblen Finanz- und Kundendaten ist dabei oberstes Gebot. Da die E-Mails von PostFinance häufig vertrauliche Daten beinhalten, sind dafür digitale Unterschriften unverzichtbar geworden. Erst mit ihnen kann der Kunde schnell und einfach überprüfen, ob es sich beim Absender der signierten Mail tatsächlich um einen PostFinance-Mitarbeiter handelt und ob der Inhalt der Mail unverändert ist. "Für die E-Mail-Signierung und Verschlüsselung war bei der Schweizerischen Post lange Zeit 'PGP 7.1' im Einsatz. Im Hinblick auf die Migration von Windows 2000 auf Windows Vista muss die Software jedoch abgelöst werden. Die Post suchte von Anfang an eine Gatewayorientierte Lösung für das Verschlüsseln und Signieren von E-Mails", berichtet Leuenberger. "Während des Projektverlaufs kam der Wunsch unseres Finanzbereichs PostFinance auf, Signaturen mit Klasse-2-Zertifikaten zu verwenden. Bei der Software entschieden wir uns für TrustMail der Firma Totemo in Küsnacht (Schweiz), die E-Mail-Zertifikate beziehen wir bei S-TRUST vom Deutschen Sparkassenverlag."

Seit April 2006 versendet PostFinance nur noch signierte E-Mails mit den so genannten "Klasse-2-Zertifikaten" von S-TRUST ins Internet. Diese Zertifikate sind vom Empfänger eindeutig einer Person zuzuordnen und bieten als 'persönliche Signaturen' die Möglichkeit zur Authentifizierung auf Basis einer schriftlichen Identitätsprüfung. "Die S-TRUST-Zertifikate sind eine Art Siegel in der virtuellen Welt. Durch sie werden die Kundendaten während des Transfers umfassend geschützt und gesichert", so Leuenberger. Eine automatische Signaturprüfung, die bereits Bestandteil der meisten Mailprogramme ist, erkennt die Echtheit der E-Mail. Durch einen Klick auf das Signatursymbol prüfen die PostFinance-Kunden schließlich, ob die Signatur gültig ist und ob die Mail vom richtigen Absender stammt. "Ist mit der Signatur etwas nicht in Ordnung, erscheint ein Warnhinweis. In diesem Fall sollte der Kunde genauer hinschauen und mit PostFinance Kontakt aufnehmen", erklärt Leuenberger den Überprüfungsprozess der Signaturen. Die S-TRUST-Zertifikate der DSV-Gruppe bedeuten für die Kunden der Schweizerischen Post maximale Vertraulichkeit und Verbindlichkeit bei allen Datentransfers, die per E-Mail abgewickelt werden", fasst Leuenberger den Profit der S-TRUST-Zertifikate zusammen.