Sichere Medizinforschung
dank E-Mail-Verschlüsselung von Zertificon

Die Wissenschaftler der MorphoSys AG erforschen Wirkstoffe zur Behandlung schwerer Krankheiten. Mit hauseigenem Know-how überführen sie vielversprechende Kandidaten in ihre so genannte Entwicklungspipeline – eine Art Bibliothek, mit deren Hilfe aus bestimmten Kombinationen von Wirkstoffen am Ende ein gezielt wirkendes Medikament entsteht. Diese Pipeline ist für ein solches Unternehmen der goldene Kern. Mit mehr als 100 geprüften Wirkstoffen hat sich MorphoSys eine der umfassendsten Pipelines der gesamten Biotechnologiebranche aufgebaut.

Das Biotechnologieunternehmen arbeitet dafür mit ausgewählten Partnern aus Wissenschaft und Forschung zusammen. Mit ihnen tauscht es entsprechend sensible Informationen und Projektdaten aus. Die Entwicklungszeiten von Medikamenten sind lang und kostenintensiv. Die massive Bedrohung durch Wirtschaftsspionage ist offensichtlich. Ohne entsprechende IT-Sicherheitsmaßnahmen könnte das 1992 gegründete Unternehmen heute vermutlich nicht mehr bestehen.

Der erste Versuch

Kurz vor der Jahrtausendwende begann das Forschungsunternehmen, E-Mail-Verschlüsselung zu nutzen. Die anfängliche dezentrale OpenPGP-Verschlüsselung auf den einzelnen Arbeitsplatzrechnern war jedoch sehr supportintensiv. Die Geschäftsführung erkannte, dass ein zentrales Verschlüsselungsmanagement sowohl den Administratoren als auch den Anwendern wertvolle Zeit und unnötigen Ärger ersparen würde. 2004 führte MorphoSys‘ IT-Abteilung daher ein E-Mail-Gateway ein, das die Verschlüsselung via OpenPGP und S/MIME zentralisierte.

Die MorphoSys-Mitarbeiter hatten von da an kaum mehr Probleme. Allerdings blieb ein anderes Problem ungelöst: Viele der Unternehmen und Institutionen, mit denen MorphoSys kommunizieren wollte, hatten keine Verschlüsselungslösung im Einsatz. Wie also sollte man mit externen Partnern sichere E-Mails austauschen, die niemand Unbefugtes lesen kann, wenn die Empfänger keinen der Verschlüsselungsstandards OpenPGP oder S/MIME verwenden?

Der Anspruch wächst

Das zunächst eingeführte Produkt bot eine Möglichkeit, E-Mails automatisiert in verschlüsselte PDFs umzuwandeln. „Aber die Usability war nicht so, wie wir uns das vorgestellt haben“, sagt Michael Müller. Der Fachinformatiker für Systemintegration hatte 1999 seine Ausbildung bei MorphoSys absolviert, arbeitete dann unter anderem im Anwendersupport und ist jetzt seit rund fünf Jahren für das IT-Infrastrukturteam verantwortlich. Er kennt sowohl die Anforderungen der User und des Managements, als auch die Probleme der Techniker.

„Die erste Lösung war solide von Technikern entwickelt. Aber genauso sah sie auch aus“, beschreibt Müller die damalige Situation. Beispielsweise verzerrte die Umwandlung zum PDF die Formatierungen der E-Mails. Bei MorphoSys wuchsen jedoch mit der Zeit die Ansprüche.

Anspruchsvolle Anwender sollen möglichst einfach und professionell sicher miteinander kommunizieren. Die Usability steht im Vordergrund, und damit steht und fällt der Erfolg der ganzen Lösung.

Die Usability überzeugt

2014 lautete also die Aufgabe, die bisherige zentrale E-Mail-Verschlüsselungslösung durch ein passenderes Produkt zu ersetzen. Die sichere und auch komfortable Kommunikation mit Empfängern ohne OpenPGP oder S/MIME war das entscheidende Kriterium. Die MorphoSys-Techniker recherchierten im Internet das aktuelle Angebot auf dem Markt und stießen auf das Z1 SecureMail Gateway, das die Messenger-Komponente für die vertrauliche Kommunikation mit Kontakten ohne eigene E-Mail-Verschlüsselungslösungen mitbringt.

Der Kontakt zu Zertificon erfolgte direkt über die Webseite. Der nächste Schritt war eine Produktdemonstration im eigenen Haus.

Das war überzeugend Die Messenger-Komponente sah schick aus und ließ sich gut bedienen. Wir durften auch unter die Motorhaube auf die Implementierung schauen. Auch da sah das Ganze gut aus. Wichtig war für uns auch, dass wir das Design an unsere Bedürfnisse anpassen konnten. Der Z1 Messenger wird bei uns intensiv genutzt, und dabei ist die Benutzeroberfläche für jeden externen Kommunikationspartner sichtbar. Benutzerfreundlichkeit und ein zeitgemäßes Design sind daher wichtig.
– Michael Müller

Die Messenger-Funktion des Z1 SecureMail Gateway kommt nun zum Einsatz, wenn der Kommunikationspartner über keine eigene IT-Infrastruktur mit Schlüsseln und Zertifikaten verfügt. Der Z1 Messenger erstellt für einen solchen Empfänger beim Erstkontakt automatisch einen Account und sendet ihm eine Benachrichtigung zur Accountaktivierung. Bei der Aktivierung vergibt der Empfänger ein Passwort und hat nun Zugriff auf die vertrauliche Nachricht. Ab sofort wird er benachrichtigt, wenn neue E-Mails eintreffen. Über den Z1 Messenger-Account kann er auch verschlüsselt antworten. Zu Optik und Benutzerführung sagt Müller: „Das gefällt auch anspruchsvollen Usern.“

Schnelle Hilfe im Supportfall

Den Zertificon-Support nimmt das MorphoSys-Team grob geschätzt alle zwei Monate in Anspruch. Dabei erreichen sie schnell jemanden, der weiß, wovon er redet, berichtet Müller.

Es gäbe ja bei den Supportfällen zwei Typen, schiebt er schmunzelnd hinterher. Entweder nämlich, man selbst hat nicht richtig hingeschaut. Oder aber, es ist ernst. Auch Müller wird wieder ernst. „In der Regel ist es bei uns so. Wir haben viel Know-how im Haus und wissen uns wirklich zu helfen. Wenn man bei uns externen Support braucht, dann brennt die Hütte. Und wenn ich dann am Supporttelefon bin, dann brauche ich keinen Checklistenabarbeiter mehr. Dann brauche ich schnell kompetente Hilfe. Diese Art von Hilfe habe ich bei Zertificon bisher immer bekommen.“

„Ja, wirklich: 5 von 5 Sterne“

Nach rund drei Jahren Produktivbetrieb haben wir Michael Müller gebeten, zwischen 1 und 5 Sternen zu vergeben. Er denkt nach. Gibt zur Antwort: Fünf. Wir haken nach: Wirklich? Er denkt nochmal nach. Und nickt:

Ja! Ich bin zufrieden mit der Lösung. Es ist ein Produkt, das einfach mitläuft. Es funktioniert. Man hat nicht viel Ärger damit, und es ist wirklich sehr wartungsarm. Die Kommunikation mit Externen, die nicht über S/MIME oder OpenPGP verfügen, können wir nun bei guter Bedienbarkeit sicherstellen. Das war das Hauptkriterium für die Entscheidung. Und darum ist das Management der MorphoSys AG ebenfalls überzeugt, hier sinnvoll investiert zu haben.