Anzeige

Anzeige

E-Mail Sicherheit

Der Hack von Microsofts Exchange zeigt einmal mehr auf, wie angreifbar unsere digitale Kommunikation sein kann. Dabei wäre der Vorfall mit einer konsequenten Verschlüsselung nur halb so schlimm – oft nutzen Unternehmen diese allerdings nicht.

Statt jedoch bei der Notwendigkeit einer Ende-zu-Ende-Verschlüsselung und ihrem Fehlen im E-Mail-Verkehr anzusetzen, kommt einmal mehr der Abgesang der E-Mail auf den Tisch: eine seltsame Stilblüte.

Weltweit gibt es aufgrund des hohen Verbreitungsgrades von Microsoft Exchange wohl kaum ein Land, in dem kein Unternehmen von der Schwachstelle betroffen war. Und so warnen die nationalen Behörden unisono vor den Gefahren durch die Schwachstelle. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gab zum Beispiel eine Cyber-Sicherheitswarnung heraus, die der Bedrohungslage mit „4 / Rot“ die höchste Warnstufe verlieh und sie als „extrem kritisch“ bezeichnete.

Eine Befürchtung im Zuge des Exchange-Hacks bestand darin, dass die Angreifer Zugriff auf die E-Mails erhalten könnten, die auf dem Exchange-Server On-Premises unverschlüsselt liegen. Da die E-Mail-Kommunikation in Unternehmen weit verbreitet ist und viele der Nachrichten dann samt Anhängen auf den Servern verbleiben, dürften Cyberkriminelle darunter viele wertvolle Informationen finden. Diese Situation kennen viele IT-Sicherheitsexperten schon lange. Der Journalist Sebastian Grüner vertritt auf golem.de deshalb die Meinung, dass es Zeit wäre, die Kommunikation auf Messenger- und Kollaborationssysteme zu verlagern, die Ende zu Ende verschlüsselt sind. Ohne E-Mail wäre der Exchange-Hack nicht passiert, also Schluss mit E-Mail – diese Forderung zielt völlig daneben.

Schwieriger Wechsel wegen mangelnder Business-Eignung 

Auch im Social-Media-Zeitalter werden laut Statista weltweit noch 306,4 Milliarden E-Mail-Nachrichten pro Tag geschrieben. Zum Vergleich: WhatsApp kommt auf 100 Milliarden, wobei diese Nachrichten überwiegend einen privaten Austausch abbilden. Und genau das ist einer der Knackpunkte: Im geschäftlichen Kontext wird vorwiegend E-Mail genutzt, denn bei der Kommunikation per Messenger fehlen gewisse Voraussetzungen, die für Unternehmen entscheidend sind. Dazu gehören die Archivierung, um die gesetzlich vorgeschriebenen Aufbewahrungsfristen von Geschäftsunterlagen einzuhalten, Möglichkeiten der strukturierten Ablage und Untersuchung der Kommunikation sowie die Beweiskraft elektronischer Nachrichten. Die Deutsche Bank verbannte 2017 sämtliche Messenger-Dienste von geschäftlich genutzten Handys. Hintergrund waren Compliance-Überlegungen im Zusammenhang mit der Archivierung und der Druck von Aufsichtsbehörden.

Darüber hinaus verkennt die Forderung nach einem Wechsel des Kommunikationskanals den entscheidenden Vorteil der E-Mail: Fast alle Unternehmen sowie Privatanwender sind per E-Mail zu erreichen, und das weltweit. Neben WhatsApp gibt es viele andere Dienste, über die sich die Messenger-Kommunikation heute verteilt. Sich mit allen Geschäftspartnern auf den Wechsel zum gleichen vertrauenswürdigen Business Messenger zu einigen, der nutzerfreundlich Ende-zu-Ende verschlüsselt, ist unrealistisch, zumal keiner der bestehenden Dienste Interesse hat, seine Nutzer einzubüßen. 

Sicherheitsaffine Anwender konnten diese Erfahrung in den letzten Monaten angesichts der Aktualisierung der Nutzungsbedingungen von WhatsApp machen. Sie mussten meist feststellen, wie schwierig es ist, alle Teilnehmer der Sportvereins-, Kindergarten- oder Schul-Chatgruppe zum Wechsel auf den gleichen alternativen Messenger wie Signal, Threema oder Telegram zu bewegen. 

Der problematische Generalschlüssel

Zusätzlich gibt es regelmäßig Vorstöße aus der Politik – zuletzt mit einer EU-Resolution vom 14. Dezember 2020 – zur Überwachung und Aufklärung bei schweren Verbrechen einen „Generalschlüssel“ für Messenger bereitzuhalten. Mit diesem sollen Polizei und Nachrichtendienste unter bestimmten Bedingungen Zugriff auf den Inhalt der Nachrichten erlangen können. Die Folgen wären für Messenger-Nutzer fatal: Sollte der Generalschlüssel einmal kompromittiert werden, käme das einem kryptografischen GAU gleich. Mit einem Schlag erhielte der Angreifer Zugang zu sämtlichen Inhalten. Ein staatlicher Ausnahme-Zugang würde die Verschlüsselung und den Schutz der Privatsphäre grundsätzlich schwächen, in der letzten Konsequenz wären auch Staats- und Geschäftsgeheimnisse nicht mehr sicher. Das Vertrauen, für das die Verschlüsselung sorgt, darf nicht so einfach aufs Spiel gesetzt werden.

Marcel Mock, CTO und Mitbegründer
Marcel Mock
CTO und Mitbegründer, totemo

Artikel zu diesem Thema

Email Security
Mär 09, 2021

Spam, Malware und Phishing: Was ist zu tun, damit E-Mails sicherer werden?

Viele haben gedacht, die E-Mail würde aussterben und durch Messenger & Co. ersetzt. Doch…
E-Mail-Sicherheit
Nov 17, 2020

Die sichere Kommunikation aus Nutzersicht angehen

Eine E-Mail-Verschlüsselung sowie sicherer Dateientransfer müssen einfach, verständlich,…
E-Mail-Security
Nov 07, 2020

E-Mail-Sicherheit im Home-Office

Die E-Mail-Kommunikation ist einer der Hauptangriffsvektoren im Bereich der…

Weitere Artikel

Papiertiger

Drei Jahre DSGVO: Effektives Werkzeug oder Papiertiger?

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 EU-weit offiziell in Kraft trat, waren die Hoffnungen der Datenschützer groß. Endlich sollten Verletzungen des Schutzes personenbezogener Daten mit erheblichen Geldstrafen geahndet, Digitalkonzerne wie…
Digitale Signaturen

Digitale Signaturen: Entrust stellt Remote Signing Service vor

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, integriert mit seinem Remote Signing Service (RSS) hochsichere, verifizierbare Mitarbeiter-Signaturfunktionen in Dokumentanwendungen und Workflows.
Cookies

DSGVO-Beschwerden: Cookies im Fadenkreuz der Datenschützer

Es zeigt sich, dass Cookies für Unternehmen schnell eine Gefahrenquelle beim Thema Datenschutz werden können. Die Datenschutzaktivisten der Gruppe Noyb rund um Max Schrems haben Beschwerden an über 560 Unternehmen verschickt und nach eigener Aussage 10.000…
Digitale Signatur

Dokumente rechtssicher digital unterschreiben

Dokumente, wie Rechnungen, Verträge, Vollmachten, Finanzunterlagen oder Konstruktionszeichnungen, enthalten sensible Informationen oder Betriebsgeheimnisse. Damit diese rechtssicher und ihre Integrität sowie Vertrauenswürdigkeit gewahrt bleiben, müssen sie…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.