E-Mail-Verschlüsselung: Fehlanzeige?

E-Mail-Sicherheit im Fokus

Stiefkind E-Mail-Verschlüsselung

Für eine Vielzahl von Unternehmen ist die Verbesserung des Datenschutzes und die Vermeidung von Know-how Abfluss in der elektronischen Kommunikation ein aktuelles Brennpunkt-Thema. Trotz Sensibilisierung für das Thema Datenschutz im E-Mail-Verkehr vernachlässigen offenbar zahlreiche Unternehmen und Behörden immer noch ihre E-Mail-Sicherheit: In einem automatisierten Check des Bayerischen Landesamtes für die Datenschutzaufsicht fehlte bei rund einem Drittel von 2000 Probanden die Transportverschlüsselung TLS sowie die Unterstützung von Perfect Forward Secrecy für den E-Mail-Versand. In diesem Zusammenhang erachten die Datenschützer den Einsatz von StartTLS zur Verschlüsselung der Kommunikation zwischen Mailservern als erforderlich.

§ 9 BDSG: Verpflichtung zum Datenschutz

Grundsätzlich gilt: Jede Form der Verschlüsselung ist besser als gar keine, da andernfalls die E-Mail im Klartext durch das World Wide Web unterwegs ist. Das Mitlesen und Verändern von E-Mails ist damit ohne Weiteres möglich. Unternehmen sind nach Paragraph 9 des Bundesdatenschutzgesetzes (BDSG) im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle sogar zur Verwendung von „dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ verpflichtet, um den Anforderungen des Datenschutzes gerecht zu werden.

Transportverschlüsselung vs. E-Mail-Verschlüsselung

Datenschützer schlagen Alarm Die eingangs erwähnte Mailserver- oder auch Transportverschlüsselung ist jedoch kein Ersatz für eine E-Mail-Verschlüsselung. Der Einsatz des Verschlüsselungsprotokolls StartTLS entspricht zwar dem Stand der Technik, ersetzt aber nicht eine sichere Ende-zu-Ende-Verschlüsselung der E-Mail Inhalte mit PGP oder S/MIME.

TLS ist die serverseitige Verschlüsselung des Datenaustausches auf Transportebene. Konkret bedeutet dies, dass die E-Mail-Übertragung vom sendenden zum empfangenden Mailserver verschlüsselt erfolgt. Diese kann jedoch von technisch gut ausgerüsteten Hackern angegriffen werden. Eine Ende-zu-Ende-Verschlüsselung dagegen verschlüsselt zusätzlich die Inhalte einer E-Mail gegen unbefugte Zugriffe.

Verschlüsselung von E-Mail-Inhalten: (K)ein wunder Punkt

Verschlüsselung mithilfe der Verfahren PGP oder S/MIME – das klingt erst einmal gut und richtig, da beide Verfahren ein hohes Maß an Sicherheit garantieren. Wer allerdings mit der Thematik wenig vertraut ist, für den kann es rasch kompliziert werden: Denn der Einsatz dieser Verschlüsselungsverfahren gestaltet sich aufgrund ihrer Komplexität für viele Unternehmen schwierig und verhindert oftmals einen unternehmensweiten Einsatz. Glücklicherweise gibt es inzwischen Lösungen, die im Gegensatz zu PGP und S/MIME einfach zu handhaben sind und eine sichere Ende-zu-Ende-Verschlüsselung bieten.

Über 50% der E-Mails sind ungesichert

Wie aus der aktuellen Studie der Initiative „Deutschland sicher im Netz“ hervorgeht, bereiten vor allem mittelständischen und kleinen Unternehmen die Themen Internetsicherheit, Datensicherung und -entsorgung dank Virenscanner und ähnlichen Schutzmechanismen kaum noch Schwierigkeiten. Die sichere Kommunikation per E-Mail dagegen bejahten nur 43 Prozent der befragten Unternehmen – sieben Prozent weniger als im Vorjahr! Demnach versenden und empfangen über die Hälfte der deutschen Unternehmen ihre E-Mails ohne Sicherheitsmaßnahmen. Dabei werden sogar immer mehr sensible und unternehmenskritische Daten versendet: Der E-Mail Verkehr nimmt stetig zu. Laut Studie um 10 Prozent im Vergleich zum Vorjahreszeitraum.

Warum schwierig, wenn’s auch einfach geht

Wir haben uns als Unternehmen auf die Absicherung der E-Mail-Kommunikation spezialisiert und dabei schon früh die Hemmnisse für Anwender erkannt: Die oben beschriebene Komplexität ist meist das größte No-Go. Denn je komplexer eine IT-Landschaft wird, umso mehr Schlüssel und Zertifikate sind zur Absicherung notwendig. Klassische Lösungen, die am PC-Arbeitsplatz ansetzen, versagen hier.

Webbasiert und sicher

LesetippIn diesem Artikel stellen wir webbasierte Methoden für die E-Mail-Verschlüsselung vor.

Deswegen favorisieren wir einen zentralen Ansatz in der E-Mail-Verschlüsselung. Das heißt, sämtliche Ver- und Entschlüsselungsprozesse laufen auf dem Mail-Server. Davon bekommen Anwender nichts mit und können ihrem Tagesgeschäft wie gewohnt nachgehen. In Kopplung mit einem zentralen Schlüsselmanagement wird so die Komplexität reduziert. Andere, webbasierte Verfahren folgen noch mehr dem Prinzip der Einfachheit: Der Empfänger benötigt gar keine Soft- oder Hardware, um verschlüsselt zu kommunizieren. Stattdessen reicht ein Internetbrowser und Zugang zu einem abgesicherten Webportal. Wenn Sie mehr über solche Lösungen erfahren möchten, können Sie gern hier weiterlesen.

Fazit

E-Mail ist als Kommunikationsmittel nicht wegzudenken. Es bestehen jedoch eine ganze Reihe Gefährdungen, welche die Integrität und Vertraulichkeit der Nachricht sowie die Echtheit des Absenders betreffen. Cyberkriminelle, die sich Zugriff auf den E-Mail-Verkehr verschaffen, können unverschlüsselte E-Mails mitlesen und verfälschen. Schutz kann nur eine Verschlüsselung der gesamten E-Mail-Kommunikation – inklusive der Inhalte einer E-Mail – bieten.

Welche Bedeutung hat Ver- und Entschlüsselung von E-Mails in Ihrem Unternehmen? Welche Ansätze verfolgen Sie und welche Erfahrungen haben Sie bereits gemacht? Ich freue mich auf Ihre Kommentare und Anregungen.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.