Anzeige

E-Mail-Sicherheit

Eine E-Mail-Verschlüsselung sowie sicherer Dateientransfer müssen einfach, verständlich, sicher und rechtskonform für Sender und Empfänger sein. Die Nutzerfreundlichkeit fehlt den asymmetrischen Verschlüsselungsstandards OpenPGP und S/MIME, weshalb Anwender ihre Nachrichten lieber unverschlüsselt verschicken.

Das lässt sich mit einem nutzerzentrierten Ansatz ändern, der auf einen bekannten symmetrischen Algorithmus setzt. 

Die E-Mail ist und bleibt fester Bestandteil im Privat- wie Berufsleben. Für Hacker ist das Nachrichtenformat jedoch der bevorzugte Angriffsvektor für ihre kriminellen Aktivitäten. Zu dieser Einschätzung kommt der Industrieversicherer AIG in seinem Report „Cyber-Schaden 2019“, über den die Süddeutsche Zeitung berichtete. Demnach standen Business E-Mail Compromise (BEC)-Angriffe, also Phishing-E-Mails, 2018 zum ersten Mal mit 23 Prozent an der Spitze der Cyber-Schadenmeldungen. 

Gegen die Bedrohung schützen sich nur die Nutzer angemessen, die ihre E-Mails verschlüsseln. Eine Empfehlung dafür lässt sich auch aus der EU-Datenschutz-Grundverordnung (DSGVO) herauslesen, die den Umgang persönlicher Daten von EU-Bürgern regelt. Die DSGVO formuliert keine direkten technischen Schutzmaßnahmen, sondern empfiehlt im Artikel 32, personenbezogene Daten zu verschlüsseln. Diese Angaben sowie Interna und geistiges Eigentum sind besonders schützenswert und deshalb sollten sich Nutzer darüber in ihrer geschäftlichen E-Mail-Kommunikation ausschließlich verschlüsselt austauschen. 

Das Ziel ist eine durchgehende Ende-zu-Ende-Verschlüsselung, die darauf basiert, Übertragungs- und Inhaltsverschlüsselung zu kombinieren. Dafür kommen das Protokoll "Transport Layer Security" (TLS) sowie symmetrische oder asymmetrischen Algorithmen zum Einsatz. Der symmetrische Ansatz, wie der AES (Advanced Encryption Standard), beruht auf zwei wesentlichen Aspekten: Sender und Empfänger nutzen denselben Schlüssel, den sie über einen sicheren, zweiten Kanal austauschen. 

Überforderte Nutzer zeigen den großen Bedarf

Die asymmetrische Verschlüsselung nutzt die Standardprotokolle S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) beziehungsweise OpenPGP. Der Sender verschlüsselt hierbei den Inhalt mit dem öffentlichen Schlüssel des Empfängers. Der Adressat entschlüsselt die erhaltende Nachricht mit seinem geheim gehaltenen privaten Schlüssel. Obwohl S/MIME oder PGP-Plug-ins für die gängigen E-Mail-Programme bereitstehen, überfordert es die meisten Nutzer, ihre Nachrichten zu verschlüsseln. So schreibt das Fachmagazin Security Insider, dass ein Verschlüsseln mit OpenPGP oder S/MIME faktisch nicht stattfindet. 

Wer jedoch weiterhin unverschlüsselt per E-Mail kommuniziert, geht ein hohes Risiko ein. Insbesondere Berufsgeheimnisträger – beispielsweise Steuerberater, die mit ihren Mandanten per E-Mail kommunizieren  – benötigen eine Verschlüsselung, die sie intuitiv und damit schnell routiniert im Alltag einsetzen können. Den Bedarf haben auch andere Dienstleister, die sensible Daten verwalten, wie Rechtsanwälte, Ärzte oder Apotheker. Weitere mittelstandgeprägte Branchen wie die Medien mit ihren Verlagen, Grafik- oder Werbeagenturen müssen regelmäßig große Datenmengen teilen und benötigen eine Lösung für den sicheren Dateientransfer. Selbst Behörden und öffentliche Einrichtungen müssen verschlüsselt kommunizieren können, ohne bestimmte Arbeitsabläufe unnötig zu behindern oder zu verkomplizieren. 

Nutzerfreundliches Umsetzen von Vertraulichkeit, Integrität und Authentizität 

Eine E-Mail-Verschlüsselung sowie sicherer Dateientransfer funktionieren in der Praxis nur, wenn diese Anwendungen einfach, verständlich, sicher und rechtskonform für Sender und Empfänger sind. Diesen nutzerzentrierten Ansatz müssen Verschlüsselungsanbieter konsequent verfolgen. AnkhLabs beispielsweise nutzt für seine Lösung WeEncrypt Mail den symmetrischen Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) mit 256-Bit Schlüssellänge. Sender und Empfänger verwenden wie bei anderen symmetrischen Algorithmen denselben Schlüssel, der über eine andere Route als die verschlüsselte E-Mail, ohne weiteren Aufwand für den Nutzer, automatisch übermittelt wird.

Entweder der Empfänger erhält in seiner verschlüsselten E-Mail einen Download-Link oder an seiner Nachricht hängt ein verschlüsseltes PDF. Mit dem Schlüssel aus der zweiten E-Mail wird entschlüsselt, was den Zugriff auf eine Download-Seite verschafft. Oder man öffnet einen der verbreiteten PDF-Reader zum Lesen des dechiffrierten Dokuments. Welche der beiden Optionen greift, legt der Absender fest. Automatisch im Hintergrund läuft die TSL-Verschlüsselung ab. Sie gewährleistet die Vertraulichkeit der Nachrichten. Eine Legitimationsprüfung stellt, wie eine digitale Signatur, die Integrität der empfangenen Nachricht sicher. 

Ebenso wichtig wie die gute Bedienbarkeit ist eine einfach Installation und Inbetriebnahme eines Verschlüsselungsdienstes. Um Einstiegshürden für die Nutzer so gering wie möglich zu halten, installieren und registrieren diese WeEncrypt Mail mit einem Klick, dann ist die Verschlüsselung als Add-in nahtlos in Microsoft Outlook integriert und nach fünf Minuten startklar. Genauso einfach erfolgt das Einrichten der mobilen Apps für iOS und Android. E-Mail und Anhang lassen sich mit WeEncrypt in einem Zug mit Passwort Ende-zu-Ende-verschlüsseln.

E-Mail-Sicherheit muss Commodity werden

Die etablierten Verschlüsselungsstandards S/MIME und OpenPGP sind nutzerunfreundlich, was sich in ihrer geringen Verbreitung widerspiegelt. Die beste Verschlüsselung und der sicherste Datentransfer, ist der, den ein Nutzer weder sieht noch merkt. Sie erfolgen unabhängig und automatisch, sobald dieser Daten austauscht. Die Frage, ob man Lust hat, irgendwann auf einen Button für Datensicherheit zu klicken, stellt sich beim nutzerzentrierten Ansatz nicht mehr. Der Anspruch für die Zukunft muss sein, dass Anwender ungestört arbeiten, weshalb Sicherheitslösungen unkompliziert werden sollten. Das bedeutet: Die Sicherheitstechnologie muss künftig direkt in allen verwendeten Plattformen integriert sein. Ein Anwender von Outlook, Teams, CRM oder anderen Applikationen für Warenwirtschaft, Lohnbuchhaltung und vielen weiteren Systemen, will schnell Daten teilen und verschicken, ohne sich Gedanken zu machen.

Volkan Yilmaz, Gründer und Geschäftsführer
Volkan Yilmaz
Gründer und Geschäftsführer, AnkhLabs

Artikel zu diesem Thema

Sicherheitsschwachstelle
Nov 10, 2020

Diese zehn Sicherheitslücken verursachten die größten Probleme

Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker – die so genannten…
E-Mail-Security
Nov 07, 2020

E-Mail-Sicherheit im Home-Office

Die E-Mail-Kommunikation ist einer der Hauptangriffsvektoren im Bereich der…
DSVGO
Okt 27, 2020

Wenn der Datenschutz das Gruppenfoto verhindert

Für die Europäische Kommission ist die Datenschutz-Grundverordnung (DSGVO) eine…

Weitere Artikel

Ransomware

Lehren aus dem Ransomware-Angriff auf den Pipelinebetreiber Colonial

Die Folgen der Ransomware-Attacke auf den größten US-Pipelinebetreiber Colonial sind noch nicht ausgestanden. Die Benzinversorgung der US-amerikanischen Ostküste ist durch die Cyberattacke empfindlich gestört worden, die US-Regierung warnt derweil vor…
Hacker

Angst vor Cyber-Kriminellen? So können Sie sich schützen!

Mehr Angst vorm Hacker-Angriff als vor dem Einbruch in die eigene Wohnung: 39 Prozent der Internet-Nutzerinnen und -Nutzer fürchten sich mehr vor Kriminalität im Netz als in der analogen Welt.
Gesundheitswesen

Hohe Risiken für Patientendaten und medizinische Forschungsergebnisse

Der neue Datenrisiko-Report für den Gesundheitssektor von Varonis Systems zeigt ein enormes Ausmaß an Exposition interner und sensibler Dateien in Krankenhäusern, Biotech- und Pharmaunternehmen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.