Unternehmen müssen auf Vielfalt der Verschlüsselungsstandards reagieren

E-Mails sind aus dem Arbeitsalltag nicht wegzudenken: Unternehmen erreichen fast alle Kunden, sowohl Endverbraucher als auch Firmen, sowie ihre Geschäftspartner auf diesem Weg.

Eine starke E-Mail-Verschlüsselung zählt deshalb zu den wichtigsten Grundlagen, um geschäftskritische oder personenbezogene Daten bei der Übertragung und Speicherung vor dem Zugriff durch Unbefugte zu schützen. Deshalb sollten sich IT-Sicherheitsverantwortliche mit den Standards TLS, PGP/OpenPGP, MIP und S/MIME auseinandersetzen. Dabei wird schnell klar: E-Mail-Verschlüsselung benötigt einen „Fachübersetzer“ und IT-Verantwortliche einen guten Durchblick.

Anzeige

 

TLS: Der Transportschutz

Bei TLS (Transport Layer Security) handelt es sich um ein kryptografisches Protokoll, das den Transportkanal zwischen Absender und Empfänger verschlüsselt. Der Vorteil einer solchen „Transportverschlüsselung“ liegt darin, dass während der Übertragung selbst Metadaten wie Absender und Empfänger, Betreff und Zeit des Versands nicht von außen einsehbar sind.

Dafür müssen die Mail-Systeme des Versenders und Empfängers direkt miteinander kommunizieren. Das ist jedoch meistens nicht gegeben, sodass die Verschlüsselung nur bis zum nächsten Knotenpunkt greift. Deswegen raten Experten dazu, das TLS-Protokoll mit einer Inhaltsverschlüsselung wie S/MIME oder PGP zu kombinieren. Das gleicht die Schwächen von TLS aus.

 

PGP: Ziemlich gut, aber komplex

PGP steht für „Pretty Good Privacy“ und verschlüsselt im Gegensatz zu TLS den Inhalt einer E-Mail, der unabhängig vom Übertragungskanal dann nur vom berechtigten Empfänger lesbar gemacht werden kann. Dieser Standard setzt bei der Validierung eines Schlüssels auf ein „Web of Trust”. Öffentliche Schlüssel werden dabei dezentral von vielen Personen zertifiziert. Das gewährt die Sicherheit unter der Annahme, dass ein potenzieller Angreifer nur schwerlich gleichermaßen alle täuschen kann, die zuvor den Schlüssel signiert haben. Auf der anderen Seite bleibt im Dunkeln, wer überhaupt zur Zertifizierung beigetragen hat.

Obwohl PGP zu einem der wichtigsten Standards zählt, greifen aufgrund mangelnder Benutzerfreundlichkeit hauptsächlich technikaffine Firmen und Privatnutzer aus der IT-Community auf PGP zurück. Ein Grund ist, dass der Standard nicht in alle gängigen E-Mail-Clients integriert ist – eine konsistente Nutzererfahrung fehlt also.

 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Microsoft 365 bietet eine Alternative mit MIP

Mit Microsoft Information Protection (MIP) in Microsoft 365 (M365) gibt es prinzipiell eine sehr nutzerfreundliche Option, um E-Mails mit einer weitverbreiteten Lösung zu verschlüsseln. Allerdings gilt das hauptsächlich für Geschäftskunden – selten für Privatnutzer.

Anwender sollten außerdem hellhörig werden: Der Cloud-Anbieter besitzt die Schlüssel für die Verschlüsselung. US-Behörden können sich auf den CLOUD Act von 2018 berufen, um US-Unternehmen dazu zu zwingen, personenbezogene Daten selbst dann herauszugeben, wenn sie auf Servern im Ausland liegen. Wer sich darauf einlässt, übergibt Microsoft sozusagen eine Geldkassette, auf deren Unterseite der Schlüssel klebt.

 

S/MIME: Ein Allrounder?

Die Inhaltsverschlüsselung S/MIME erfreut sich einer ähnlichen Bekanntheit wie PGP und hat den Vorteil, bereits in gängige Mail-Clients integriert zu sein. Da keine zusätzlichen Plug-ins oder Downloads erforderlich sind, bietet S/MIME eine hohe Nutzerfreundlichkeit – auch für M365. Daher greifen viele Unternehmen auf diesen Standard statt auf PGP zurück.

Im Unterschied zu PGP sieht der Standard für die Validierung von öffentlichen Schlüsseln eine kleine Anzahl von zuverlässigen Zertifizierungsstellen vor. Auch wenn das Verfahren nicht unfehlbar bleibt, bietet es den Nutzern mehr Sicherheit als das Web of Trust von PGP, bei dem faktisch jeder die Funktionen der Zertifizierungsstelle übernehmen kann, quasi ohne Aufsicht.

Eine echte Allround-Lösung ist leider auch dieser Standard nicht, weil er – wie fast alle Verfahren – erfordert, dass ihn sowohl Absender als auch Empfänger nutzen. Dazu kommt, dass Anwender ihre Schlüssel und die von Kommunikationspartnern verwalten müssen – keine triviale Aufgabe.

 

Gesucht: Flexibler Fachübersetzer

Es gibt also viele gute Verschlüsselungsstandards – diese sind jedoch wie Sprachen: Sender wie auch Empfänger müssen dieselbe Sprache sprechen, um verschlüsselte Nachrichten „zu verstehen“. Eine Alternative sind Push- und Pull-Verfahren, bei dem der Empfänger keine eigene Verschlüsselung nutzen muss. Diese sind sehr sicher und erlauben es dem Nutzer ohne eigene Verschlüsselung, die verschlüsselte E-Mail entweder als Anhang einer E-Mail im eigenen Postfach zu öffnen oder auf einem externen Web-Portal – je nach gewählter Methode. 

Auf technischer Ebene kann ein E-Mail-Gateway helfen, das die gängigsten Standards „spricht“. Dieses übernimmt die Verschlüsselung im Hintergrund, indem es vor dem Versand einer E-Mail prüft, welchen Standard der Empfänger beherrscht und die Nachricht des Absenders automatisch entsprechend verschlüsselt. Dadurch wird die E-Mail-Verschlüsselung nutzerfreundlicher und kann möglichst breit gewährleistet werden.

Marcel Mock

totemo -

CTO und Mitbegründer

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.