Anzeige

E-Mail-Sicherheit

Eine E-Mail-Verschlüsselung sowie sicherer Dateientransfer müssen einfach, verständlich, sicher und rechtskonform für Sender und Empfänger sein. Die Nutzerfreundlichkeit fehlt den asymmetrischen Verschlüsselungsstandards OpenPGP und S/MIME, weshalb Anwender ihre Nachrichten lieber unverschlüsselt verschicken.

Das lässt sich mit einem nutzerzentrierten Ansatz ändern, der auf einen bekannten symmetrischen Algorithmus setzt. 

Die E-Mail ist und bleibt fester Bestandteil im Privat- wie Berufsleben. Für Hacker ist das Nachrichtenformat jedoch der bevorzugte Angriffsvektor für ihre kriminellen Aktivitäten. Zu dieser Einschätzung kommt der Industrieversicherer AIG in seinem Report „Cyber-Schaden 2019“, über den die Süddeutsche Zeitung berichtete. Demnach standen Business E-Mail Compromise (BEC)-Angriffe, also Phishing-E-Mails, 2018 zum ersten Mal mit 23 Prozent an der Spitze der Cyber-Schadenmeldungen. 

Gegen die Bedrohung schützen sich nur die Nutzer angemessen, die ihre E-Mails verschlüsseln. Eine Empfehlung dafür lässt sich auch aus der EU-Datenschutz-Grundverordnung (DSGVO) herauslesen, die den Umgang persönlicher Daten von EU-Bürgern regelt. Die DSGVO formuliert keine direkten technischen Schutzmaßnahmen, sondern empfiehlt im Artikel 32, personenbezogene Daten zu verschlüsseln. Diese Angaben sowie Interna und geistiges Eigentum sind besonders schützenswert und deshalb sollten sich Nutzer darüber in ihrer geschäftlichen E-Mail-Kommunikation ausschließlich verschlüsselt austauschen. 

Das Ziel ist eine durchgehende Ende-zu-Ende-Verschlüsselung, die darauf basiert, Übertragungs- und Inhaltsverschlüsselung zu kombinieren. Dafür kommen das Protokoll "Transport Layer Security" (TLS) sowie symmetrische oder asymmetrischen Algorithmen zum Einsatz. Der symmetrische Ansatz, wie der AES (Advanced Encryption Standard), beruht auf zwei wesentlichen Aspekten: Sender und Empfänger nutzen denselben Schlüssel, den sie über einen sicheren, zweiten Kanal austauschen. 

Überforderte Nutzer zeigen den großen Bedarf

Die asymmetrische Verschlüsselung nutzt die Standardprotokolle S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) beziehungsweise OpenPGP. Der Sender verschlüsselt hierbei den Inhalt mit dem öffentlichen Schlüssel des Empfängers. Der Adressat entschlüsselt die erhaltende Nachricht mit seinem geheim gehaltenen privaten Schlüssel. Obwohl S/MIME oder PGP-Plug-ins für die gängigen E-Mail-Programme bereitstehen, überfordert es die meisten Nutzer, ihre Nachrichten zu verschlüsseln. So schreibt das Fachmagazin Security Insider, dass ein Verschlüsseln mit OpenPGP oder S/MIME faktisch nicht stattfindet. 

Wer jedoch weiterhin unverschlüsselt per E-Mail kommuniziert, geht ein hohes Risiko ein. Insbesondere Berufsgeheimnisträger – beispielsweise Steuerberater, die mit ihren Mandanten per E-Mail kommunizieren  – benötigen eine Verschlüsselung, die sie intuitiv und damit schnell routiniert im Alltag einsetzen können. Den Bedarf haben auch andere Dienstleister, die sensible Daten verwalten, wie Rechtsanwälte, Ärzte oder Apotheker. Weitere mittelstandgeprägte Branchen wie die Medien mit ihren Verlagen, Grafik- oder Werbeagenturen müssen regelmäßig große Datenmengen teilen und benötigen eine Lösung für den sicheren Dateientransfer. Selbst Behörden und öffentliche Einrichtungen müssen verschlüsselt kommunizieren können, ohne bestimmte Arbeitsabläufe unnötig zu behindern oder zu verkomplizieren. 

Nutzerfreundliches Umsetzen von Vertraulichkeit, Integrität und Authentizität 

Eine E-Mail-Verschlüsselung sowie sicherer Dateientransfer funktionieren in der Praxis nur, wenn diese Anwendungen einfach, verständlich, sicher und rechtskonform für Sender und Empfänger sind. Diesen nutzerzentrierten Ansatz müssen Verschlüsselungsanbieter konsequent verfolgen. AnkhLabs beispielsweise nutzt für seine Lösung WeEncrypt Mail den symmetrischen Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) mit 256-Bit Schlüssellänge. Sender und Empfänger verwenden wie bei anderen symmetrischen Algorithmen denselben Schlüssel, der über eine andere Route als die verschlüsselte E-Mail, ohne weiteren Aufwand für den Nutzer, automatisch übermittelt wird.

Entweder der Empfänger erhält in seiner verschlüsselten E-Mail einen Download-Link oder an seiner Nachricht hängt ein verschlüsseltes PDF. Mit dem Schlüssel aus der zweiten E-Mail wird entschlüsselt, was den Zugriff auf eine Download-Seite verschafft. Oder man öffnet einen der verbreiteten PDF-Reader zum Lesen des dechiffrierten Dokuments. Welche der beiden Optionen greift, legt der Absender fest. Automatisch im Hintergrund läuft die TSL-Verschlüsselung ab. Sie gewährleistet die Vertraulichkeit der Nachrichten. Eine Legitimationsprüfung stellt, wie eine digitale Signatur, die Integrität der empfangenen Nachricht sicher. 

Ebenso wichtig wie die gute Bedienbarkeit ist eine einfach Installation und Inbetriebnahme eines Verschlüsselungsdienstes. Um Einstiegshürden für die Nutzer so gering wie möglich zu halten, installieren und registrieren diese WeEncrypt Mail mit einem Klick, dann ist die Verschlüsselung als Add-in nahtlos in Microsoft Outlook integriert und nach fünf Minuten startklar. Genauso einfach erfolgt das Einrichten der mobilen Apps für iOS und Android. E-Mail und Anhang lassen sich mit WeEncrypt in einem Zug mit Passwort Ende-zu-Ende-verschlüsseln.

E-Mail-Sicherheit muss Commodity werden

Die etablierten Verschlüsselungsstandards S/MIME und OpenPGP sind nutzerunfreundlich, was sich in ihrer geringen Verbreitung widerspiegelt. Die beste Verschlüsselung und der sicherste Datentransfer, ist der, den ein Nutzer weder sieht noch merkt. Sie erfolgen unabhängig und automatisch, sobald dieser Daten austauscht. Die Frage, ob man Lust hat, irgendwann auf einen Button für Datensicherheit zu klicken, stellt sich beim nutzerzentrierten Ansatz nicht mehr. Der Anspruch für die Zukunft muss sein, dass Anwender ungestört arbeiten, weshalb Sicherheitslösungen unkompliziert werden sollten. Das bedeutet: Die Sicherheitstechnologie muss künftig direkt in allen verwendeten Plattformen integriert sein. Ein Anwender von Outlook, Teams, CRM oder anderen Applikationen für Warenwirtschaft, Lohnbuchhaltung und vielen weiteren Systemen, will schnell Daten teilen und verschicken, ohne sich Gedanken zu machen.

Volkan Yilmaz, Gründer und Geschäftsführer
Volkan Yilmaz
Gründer und Geschäftsführer, AnkhLabs

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Sicherheitsschwachstelle
Nov 10, 2020

Diese zehn Sicherheitslücken verursachten die größten Probleme

Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker – die so genannten…
E-Mail-Security
Nov 07, 2020

E-Mail-Sicherheit im Home-Office

Die E-Mail-Kommunikation ist einer der Hauptangriffsvektoren im Bereich der…
DSVGO
Okt 27, 2020

Wenn der Datenschutz das Gruppenfoto verhindert

Für die Europäische Kommission ist die Datenschutz-Grundverordnung (DSGVO) eine…

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!