Anzeige

E-Mail Security

Die Verschlüsselung von E-Mails war jahrzehntelang eine hoch komplizierte Angelegenheit. Deshalb schreckten viele Nutzer vor der Verwendung zurück. Heute ist es möglich, eine sichere Verschlüsselung auf Knopfdruck zu erzeugen.

Die ersten E-Mails wurden vor fünf Jahrzehnten zwischen unterschiedlichen Accounts eines Großcomputers verschickt. Sie entsprachen inhaltlich dem, was wir heute als SMS oder Instant Messages übermitteln, selbstverständlich ohne Bilder und Links. Der Transportweg war sicher vor externen Zugriffen. E-Mails im heutigen Sinn wurden erst Jahre später verschickt, als sich Rechner über unterschiedliche Standorte hinweg vernetzen ließen.

Lange Zeit interessierte es kaum jemanden, ob die Nachrichten und Daten als Klartext auf die Reise gingen und sie eventuell mitgelesen wurden. Es gab nur wenige Menschen, die sich gut genug mit dieser Technik auskannten, und die ersten „Hacker“ hatten vor allem das Interesse, ihre Geschicklichkeit zu beweisen.

Erst Anfang der 90er-Jahre dachte das Gros der E-Mail-Versender und -Empfänger darüber nach, wie die Inhalte der elektronischen Nachrichten gegen neugierige Dritte abzuschirmen wären. Der US-Amerikaner Phil Zimmermann hatte auf der Suche nach einer Möglichkeit, Bürger und insbesondere Bürgerbewegungen vor dem Zugriff durch Geheimdienste zu schützen, kurz zuvor eine Lösung gefunden: Er nannte sie „Pretty Good Privacy“, kurz PGP, und sie wurde schnell zum Quasi-Standard für die E-Mail-Verschlüsselung.

Pretty Good oder gut genug?

PGP war für Technik-affine Anwender ausreichend sicher und handhabbar. Weniger gut eignete es sich für Nutzer im Unternehmensumfeld: Es war nicht in den E-Mail-Client integriert und setzte den gewissenhaften Umgang mit den genutzten Schlüsseln voraus. So entstanden Fehler, und oft wurde die Software eingeführt, aber nicht genutzt.

In Unternehmen ist heute der um 1995 entwickelte Kryptographie-Standard S/MIME (Secure/Multipurpose Internet Mail Extensions) verbreitet. Viele E-Mail-Clients integrieren S/MIME bereits, sodass der Einsatz des Standards – im Gegensatz zu PGP – keine zusätzlichen Plug-ins oder Downloads erfordert. Sowohl PGP als auch S/MIME verschlüsseln den Inhalt einer E-Mail. Deshalb werden die Standards oft mit einem Verfahren für die Transportverschlüsselung kombiniert, das Transport Layer Security (TLS) genannt wird.

TLS setzt sich aus zwei Komponenten zusammen: dem TLS-Handshake und dem TLS-Record. Der „Handschlag“ regelt den Austausch der Schlüssel und die Authentifizierung der Inhalte. Mit Hilfe der ausgehandelten (symmetrischen) Schlüssel sichert TLS-Record den Transportweg der E-Mails gegen Mitlesen und Manipulation – allerdings nur zwischen zwei Knotenpunkten. Es wäre deshalb möglich, das TLS-Verfahren ohne PGP und S/MIME zu nutzen. Dann wäre der Schutz der E-Mail-Nachrichten allerdings nur wie gewünscht gegeben, wenn die Mailsysteme von Absender und Empfänger direkt miteinander kommunizieren. 

Was moderne Lösungen leisten

In den Anfangstagen der Informationstechnik noch „nice to have“, ist E-Mail-Verschlüsselung heute eine Notwendigkeit. Viele Unternehmen müssen sich strengen Sicherheitsbestimmungen unterwerfen. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben Sicherheitslecks oder Verletzungen der Privatsphäre schwerwiegende Folgen. Diese reichen von Vertrauensverlust bei Kunden und Partnern bis hin zu juristischen sowie finanziellen Konsequenzen.

Folglich beschäftigen sich die Unternehmen heute verstärkt mit der E-Mail-Verschlüsselung. Die richtige Lösung zu finden ist aber nicht einfach. PGP beispielsweise muss via Plug-in oder Add-in mit dem E-Mail-Client verbunden werden. Die Verschlüsselung mit S/MIME ist zwar in vielen E-Mail-Clients nativ integriert, allerdings sind die beiden Standards nicht miteinander kombinierbar. So galten Sicherheit und Nutzerfreundlichkeit in der E-Mail-Verschlüsselung lange als unvereinbar. Heute gibt es jedoch Softwareprodukte, die den Encryption-Prozess automatisieren. Der Nutzer kann mit einem Klick verschlüsseln, alles Weitere übernimmt die Software. 

Für ein zeitgemäßes E-Mail-Verschlüsselungs-Gateway wie totemomail spielt es keine Rolle, welche Verschlüsselungsmethode die Empfängerseite bevorzugt. Es verschlüsselt die Nachricht vor dem Versand genau mit der Methode, die der Empfänger benutzt.

Ein solches Gateway funktioniert sogar, wenn die andere Seite gar keine Verschlüsselung anwendet. Die bewährte Lösung hierfür ist ein von der Absenderseite betriebenes Webmail-Portal, an das die mit TLS verschlüsselte E-Mail verschickt wird. Der Empfänger meldet sich dort an, um die E-Mail im Klartext abzurufen. Eine Weiterentwicklung ist das Push-Verfahren. Hier wird der E-Mail-Inhalt in ein Trägermedium wie ein ZIP-Archiv, ein PDF-Dokument oder eine HTML-Seite eingebettet.

Drinnen lauern auch Gefahren

Weit verbreitet ist die Ansicht, dass der interne E-Mail-Verkehr unproblematisch sei und die E-Mails deshalb im Klartext durchlaufen dürften. Doch anders als in der Anfangszeit der E-Mails ist das heute nicht mehr der Fall: Cyberangriffe erfolgen auch im Unternehmensnetz – weshalb auch der interne E-Mail-Verkehr verschlüsselt werden muss. Gateways wie totemomail verfügen über eine integrierte Verschlüsselungsfunktion, die bei jedem Absender automatisch ausgelöst werden kann. E-Mails werden also auch innerhalb des Unternehmens verschlüsselt. Handelt es sich um eine E-Mail mit einem externen Empfänger, wird diese intern verschlüsselt, dann am Gateway umgeschlüsselt, damit sie dann wieder mit der bevorzugten Verschlüsselungsmethode des Empfängers zugestellt werden kann. Das bedeutet Sicherheit von Anfang bis Ende – ohne zusätzliche Belastung für die Nutzer.

Marcel Mock, CTO und Mitbegründer
Marcel Mock
CTO und Mitbegründer, totemo

Artikel zu diesem Thema

Malware
Sep 09, 2021

Einfallstor E-Mail - Malware Shathak entwickelt sich rasant weiter

Eine Cyberattacke der besonderen Art sorgt für immer größeres Aufsehen: Die…
Email Security
Aug 01, 2021

Unternehmen müssen auf Vielfalt der Verschlüsselungsstandards reagieren

E-Mails sind aus dem Arbeitsalltag nicht wegzudenken: Unternehmen erreichen fast alle…
E-Mail-Sicherheit
Mai 24, 2020

Mehr E-Mail-Sicherheit durch S/MIME-Zertifikate

Laut The Radicati Group wird die Gesamtzahl der pro Tag gesendeten und empfangenen…

Weitere Artikel

2022 Security

Das sind die wichtigsten Datenschutz-Trends 2022

Im Hinblick auf die Datenverwaltung und den Datenschutz werden laut Florian Malecki, Vice President International Marketing bei Arcserve, im nächsten Jahr vier wesentliche Trends auf die Unternehmen zukommen.
Data Privacy

70 Prozent würden umfangreiche Daten zur Pandemiebekämpfung zur Verfügung stellen

Zur besseren Bekämpfung der Pandemie wären 71 Prozent bereit, dem Staat umfangreiche personenbezogene Daten zur Verfügung zu stellen. 48 Prozent wären bereit, detaillierte Gesundheitsinformationen inklusive Vorerkrankungen freizugeben. Ein Viertel würde die…
Cookie-Banner

Cookie-Banner – was ab 1.Dezember 2021 zu beachten ist

Jeder kennt das nervige Cookie-Banner. Mit dem Öffnen einer Webseite ploppt sofort ein Fenster auf, bevor es zu den eigentlichen Informationen weiter geht. Es gibt einen fetten Button, um in die Speicherung von Cookies einzuwilligen. Das Ablehnen wird…
Data Breach

Die 5 häufigsten Datenschutzverletzungen

Meldungen von Unternehmen, die von Datenschutzverletzungen und Daten-Leaks betroffen sind, haben in letzter Zeit stark zugenommen. Im Durchschnitt kosten solche Datenschutzverletzungen deutsche Unternehmen stolze 4,11 Millionen Euro – damit liegt Deutschland…
Cookies

Das Aus der Third-Party-Cookies – die Chance für den Neuanfang

Das bevorstehende Ende der Third-Party-Cookies verändert die Spielregeln im Internet. Wir müssen uns von gewohnten Handlungsmustern verabschieden, dürfen uns im Gegenzug aber auf erweiterte Möglichkeiten freuen – von denen nicht zuletzt auch die Nutzer…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.