Thought Leadership
Verschlüsselung ist wichtiger denn je, denn aufgrund der Einschränkungen, die das Coronavirus mit sich bringt, kommunizieren Unternehmen und Privatpersonen mehr denn je via Collaboration-Tools und Video-Konferenzen, aber auch via E-Mail. Nachfolgend daher ein Blick auf den aktuellen Stand der PGP-Verschlüsselungstechnologie in der E-Mail-Kommunikation.
Dementsprechend werden vermehrt sensible Daten wie Vertragsdetails oder Bankdaten verschickt. Da dies auch viele Cyberkriminelle als Gelegenheit erkannt haben, ist es umso wichtiger, die E-Mail-Kommunikation ausreichend zu schützen. Eine geeignete und bezahlbare Technologie hierfür ist die PGP-Verschlüsselung.
Es gibt zwei Hauptanwendungen von PGP in der E-Mail-Kommunikation: Signieren und Verschlüsseln. Das Signieren erlaubt es dem Empfänger, die Integrität der Nachricht zu überprüfen – also ob der Inhalt manipuliert wurde. Zudem beweist es, dass die Nachricht tatsächlich vom Signierer, der in der Regel auch der Absender ist, gesendet wurde. Durch die Verschlüsselung wiederum stellt der Absender sicher, dass der Inhalt der Nachricht von niemandem außer den gewünschten Empfängern gelesen werden kann. Üblich ist auch die Kombination von Signieren und Verschlüsseln: dadurch wird gewährleistet, dass die Nachricht vom Absender erstellt wurde, nur der adressierte Empfänger sie lesen kann und eine Manipulation nicht möglich ist.
In aller Kürze: wie funktioniert die PGP-Verschlüsselung?
Für die PGP-Verschlüsselung muss ein Benutzer ein Paar aus öffentlichem und privatem Schlüssel besitzen. Beide sind mit seiner E-Mail-Adresse verknüpft. Der private Schlüssel muss sicher verwahrt werden und wird verwendet, wenn eine ausgehende E-Mail signiert oder eine eingehende E-Mail entschlüsselt wird. Der öffentliche Schlüssel muss unter denjenigen Personen verteilt werden, mit denen der Benutzer kommunizieren möchte. Er erlaubt es den Empfängern einer signierten E-Mail, die Signatur überprüfen.
Wie Authentizität und Integrität sichergestellt werden
Die Integrität einer Nachricht – also die Tatsache, dass der signierte Inhalt nicht manipuliert wurde – kann durch asymmetrische Verschlüsselung überprüft werden. Dazu berechnet der Absender zunächst aus der Nachricht eine eindeutige Prüfsumme. Diese Prüfsumme wird mit dem privaten Schlüssel des Absenders verschlüsselt, wodurch eine digitale Signatur entsteht. Diese Signatur wird an die E-Mail angehängt und versandt. Der Empfänger entschlüsselt dann die Signatur mit dem öffentlichen Schlüssel des Absenders und erhält die Prüfsumme der E-Mail. Die Prüfsumme wird mit der vom Empfänger berechneten Prüfsumme verglichen. Stimmen sie überein, ist sichergestellt, dass die Integrität der Nachricht erhalten geblieben ist.
Wird das generierte Schlüsselpaar eines Eigentümers zusätzlich formal und nachweislich mit einer E-Mail-Adresse verknüpft, so wird durch eine erfolgreiche Integritätsprüfung der Signatur auch sichergestellt, dass die Nachricht tatsächlich von der E-Mail-Adresse stammt, zu der das Schlüsselpaar gehört. Auf diese Weise kann auch die Authentizität des Absenders gewährleistet werden. Eine verschlüsselte und signierte E-Mail entspricht somit einem versiegelten Brief.
Fazit
In den meisten Unternehmen ist die E-Mail-Verschlüsselung noch nicht sehr weit verbreitet. Obwohl es normal ist, ein kritisches Dokument per Einschreiben zu versenden, ist es nach wie vor eher ungewöhnlich, dieselben Vorsichtsmaßnahmen für den Versand von E-Mails zu treffen. Vielleicht sollten IT-Administratoren diesen Vergleich ziehen, wenn sie Büroangestellte über die Folgen einer nachlässigen E-Mail-Nutzung aufklären.
www.emclient.com
