Warum eine Workflow-Engine?
Organisationen, die personenbezogene oder vertrauliche Informationen per E-Mail austauschen – sei es im B2C- oder B2B-Kontext – müssen nicht nur DSGVO-Anforderungen erfüllen, sondern zunehmend auch Vorgaben aus NIS2, branchenspezifischen Compliance-Richtlinien oder internen Sicherheitsstandards.
Kritische Infrastrukturen, Kliniken, Forschungseinrichtungen, Versicherungen, Behörden und Zulieferer stehen dabei exemplarisch für eine Herausforderung, die längst alle Unternehmen betrifft:
Wie lässt sich E-Mail-Kommunikation sicher, automatisiert und nachweisbar gestalten – ohne den Betriebsablauf zu behindern?
Statische Transportregeln – etwa „TLS aktivieren, wenn verfügbar" – sind dafür nicht flexibel genug. Sie können nur eingeschränkt auf Empfänger, Inhalt oder Risikokontext reagieren – und greifen bei komplexen Szenarien oft zu spät oder gar nicht. Auch stellt gerade TLS immer nur eine Verschlüsselung bis zum nächsten Server auf dem Transportweg sicher.
Intelligente E-Mail-Verarbeitung
Die regelbasierte Workflow-Engine
von mail:u secure löst dieses Problem mit maximaler Flexibilität:
• Beliebig viele Bedingungen (Empfänger, Domain, Dateityp, Betreff, Klassifikation, Benutzeraktion etc.) die mit einander verknüpft werden können.
• Frei kombinierbare Aktionen (S/MIME, PGP, PDF-Container, FileLink, Signatur, Archiv, API-Routing …)
• Vollständig konfigurierbare Ausführungsreihenfolge
• Regelverknüpfungen über UND/ODER/IF-THEN-Logik
• Dynamisches Routing der E-Mail auf Basis aller Parameter
• Auch komplexe Spezialfälle wie Sicherheitsvorfall, Datenklassen oder Rollenbezogene Zustellung abbildbar
• Einbeziehen der Userspezifischen Entscheidungen aus dem Client oder Dritt-Tool (Outlook, ERP, CRM etc.)
Jede E-Mail wird exakt so verarbeitet, wie es der Schutzbedarf und der Kommunikationskontext erfordern.
Funktionsweise der Engine
Bedingungskatalog
• Sensitivity Labels (Microsoft Purview, VS-NfD, TISAX)
• Dateityp und -größe
• Betreff-Tags (z. B. #NIS2, #HCONF)
• Header-Flags aus Fachsystemen
• Content Inhalte
Aktionen
• Signatur / Signaturprüfung
• PDF-Container mit Kennwort
• Auslieferung über ein Portal incl. optionalem 2-Faktor-Auth (Webanwendung)
• FileLink-Aussteuerung incl. optionalem 2-Faktor-Auth
• Archiv- oder Journal-Copy
• Übergabe an Portal, DMS, SIEM via API
Beispiel-Policy
AND Attachment.Size > 25MB
THEN Attachment → FileLink (TTL 14 Tage)
Mail → S/MIME verschlüsselt, signiert
ELSE IF Schlüssel fehlt
Mail → PDF-Container + Rückkanal
Regeln lassen sich per Web-Wizard konfigurieren oder als YAML/JSON über eine GitOps-Pipeline ausrollen.
Nutzen in regulierten Bereichen
Mehrwerte für sichere Datenübertragung
Feingranulare Policies
Separate Regelsets pro Fachabteilung, Benutzer, Standort oder Mandant
Versioniert & auditierbar
Git-Historie, Policy-Diffs für ISO 27001- und NIS2-Nachweis
Simulation-Modus
"Trockenlauf" erzeugt Report ohne reale Zustellung
API-First
Fachsysteme (LIS, ERP, Ticketing) können Aktionen per Header oder Betreff triggern
Anwendungsfälle
Praxis-Workflows
Befundbilder im Gesundheitswesen
CT-Bildserie (120 MB, DICOM) wird erkannt ⇒ FileLink + S/MIME-Signatur ⇒ Radiologe lädt DSGVO-konform herunter.
Incident-Report eines Energie-Betreibers
Betreff enthält #NIS2 ⇒ PDF-Container, Passwort per SMS, Kopie ans Security-Team.
CAD-Datei in der Supply-Chain
STEP-File 35 MB, Empfänger ohne PKI ⇒ FileLink mit Zwei-Faktor-Portalzugang, vollständiger Audit-Trail.
Angebots-Kommunikation mit einem B2C Kunden
Sichere Ablage des Angebots und aller Informationen (Verträge) im Portal. Sicherer Zugang für den Kunden ohne Verschlüsselungstechnik selber im Einsatz zu haben. Antwortmöglichkeiten und Download der Daten und Informationen.
Technischer Deep-Dive
Policy as Code
YAML im Git-Repo, CI/CD-Pipeline, Rollback.
OpenTelemetry
Traces, Metrics, Logs für SOC / SIEM.
Mandanten-Trennung
eigene Rule-Sets, Schlüssel-Stores, FileLink-Spaces.
Kubernetes-Cluster
automatisches Horizontal-Scaling, Blue-/Green-Deploy.
Compliance-Abdeckung
| Regelwerk / Norm | Umsetzung durch die Engine |
|---|---|
| DSGVO Art. 32 | Ende-zu-Ende-Kryptografie, Audit-Trail |
| NIS2 | Incident-Webhook, Mandanten-Segregation, Policy-Nachweis |
| ISO 27001 | Rollen-basiertes Admin-Portal, versionierte Policies |
| B3S Gesundheitswesen | FileLink im DE-RZ, Kennwort-geschützte PDF-Container |
Einführung in fünf Schritten
Analyse-Workshop
Datenflüsse, Labeling, Anhangstypen erfassen
Proof of Concept (1 Woche)
SaaS-Tenant, zwei Test-Policies, SECFLOW für Pilot-User
Policy-Design-Sprint
Regeln modellieren, Git-Repo aufsetzen
Go-Live
Blue/Green-Deployment ohne Downtime
Optimierungs-Zyklus
Quartalsweiser Policy-Review & Audit-Report
'%3e%3ccircle%20cx='493.5'%20cy='493.5'%20r='249.5'%20fill='url(%23paint0_linear_144_957)'/%3e%3c/g%3e%3cdefs%3e%3cfilter%20id='filter0_f_144_957'%20x='0'%20y='0'%20width='987'%20height='987'%20filterUnits='userSpaceOnUse'%20color-interpolation-filters='sRGB'%3e%3cfeFlood%20flood-opacity='0'%20result='BackgroundImageFix'/%3e%3cfeBlend%20mode='normal'%20in='SourceGraphic'%20in2='BackgroundImageFix'%20result='shape'/%3e%3cfeGaussianBlur%20stdDeviation='122'%20result='effect1_foregroundBlur_144_957'/%3e%3c/filter%3e%3clinearGradient%20id='paint0_linear_144_957'%20x1='371.5'%20y1='477.5'%20x2='680'%20y2='363'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23E42FE8'/%3e%3cstop%20offset='0.265625'%20stop-color='%236FCBFE'/%3e%3cstop%20offset='0.494792'%20stop-color='%239FB4FC'/%3e%3cstop%20offset='0.776042'%20stop-color='%23B7E4BB'/%3e%3cstop%20offset='1'%20stop-color='%236CF760'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)