Thought Leadership
Die Verschlüsselung von E-Mails war jahrzehntelang eine hoch komplizierte Angelegenheit. Deshalb schreckten viele Nutzer vor der Verwendung zurück. Heute ist es möglich, eine sichere Verschlüsselung auf Knopfdruck zu erzeugen.
Die ersten E-Mails wurden vor fünf Jahrzehnten zwischen unterschiedlichen Accounts eines Großcomputers verschickt. Sie entsprachen inhaltlich dem, was wir heute als SMS oder Instant Messages übermitteln, selbstverständlich ohne Bilder und Links. Der Transportweg war sicher vor externen Zugriffen. E-Mails im heutigen Sinn wurden erst Jahre später verschickt, als sich Rechner über unterschiedliche Standorte hinweg vernetzen ließen.
Lange Zeit interessierte es kaum jemanden, ob die Nachrichten und Daten als Klartext auf die Reise gingen und sie eventuell mitgelesen wurden. Es gab nur wenige Menschen, die sich gut genug mit dieser Technik auskannten, und die ersten „Hacker“ hatten vor allem das Interesse, ihre Geschicklichkeit zu beweisen.
Erst Anfang der 90er-Jahre dachte das Gros der E-Mail-Versender und -Empfänger darüber nach, wie die Inhalte der elektronischen Nachrichten gegen neugierige Dritte abzuschirmen wären. Der US-Amerikaner Phil Zimmermann hatte auf der Suche nach einer Möglichkeit, Bürger und insbesondere Bürgerbewegungen vor dem Zugriff durch Geheimdienste zu schützen, kurz zuvor eine Lösung gefunden: Er nannte sie „Pretty Good Privacy“, kurz PGP, und sie wurde schnell zum Quasi-Standard für die E-Mail-Verschlüsselung.
Pretty Good oder gut genug?
PGP war für Technik-affine Anwender ausreichend sicher und handhabbar. Weniger gut eignete es sich für Nutzer im Unternehmensumfeld: Es war nicht in den E-Mail-Client integriert und setzte den gewissenhaften Umgang mit den genutzten Schlüsseln voraus. So entstanden Fehler, und oft wurde die Software eingeführt, aber nicht genutzt.
In Unternehmen ist heute der um 1995 entwickelte Kryptographie-Standard S/MIME (Secure/Multipurpose Internet Mail Extensions) verbreitet. Viele E-Mail-Clients integrieren S/MIME bereits, sodass der Einsatz des Standards – im Gegensatz zu PGP – keine zusätzlichen Plug-ins oder Downloads erfordert. Sowohl PGP als auch S/MIME verschlüsseln den Inhalt einer E-Mail. Deshalb werden die Standards oft mit einem Verfahren für die Transportverschlüsselung kombiniert, das Transport Layer Security (TLS) genannt wird.
TLS setzt sich aus zwei Komponenten zusammen: dem TLS-Handshake und dem TLS-Record. Der „Handschlag“ regelt den Austausch der Schlüssel und die Authentifizierung der Inhalte. Mit Hilfe der ausgehandelten (symmetrischen) Schlüssel sichert TLS-Record den Transportweg der E-Mails gegen Mitlesen und Manipulation – allerdings nur zwischen zwei Knotenpunkten. Es wäre deshalb möglich, das TLS-Verfahren ohne PGP und S/MIME zu nutzen. Dann wäre der Schutz der E-Mail-Nachrichten allerdings nur wie gewünscht gegeben, wenn die Mailsysteme von Absender und Empfänger direkt miteinander kommunizieren.
Was moderne Lösungen leisten
In den Anfangstagen der Informationstechnik noch „nice to have“, ist E-Mail-Verschlüsselung heute eine Notwendigkeit. Viele Unternehmen müssen sich strengen Sicherheitsbestimmungen unterwerfen. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben Sicherheitslecks oder Verletzungen der Privatsphäre schwerwiegende Folgen. Diese reichen von Vertrauensverlust bei Kunden und Partnern bis hin zu juristischen sowie finanziellen Konsequenzen.
Folglich beschäftigen sich die Unternehmen heute verstärkt mit der E-Mail-Verschlüsselung. Die richtige Lösung zu finden ist aber nicht einfach. PGP beispielsweise muss via Plug-in oder Add-in mit dem E-Mail-Client verbunden werden. Die Verschlüsselung mit S/MIME ist zwar in vielen E-Mail-Clients nativ integriert, allerdings sind die beiden Standards nicht miteinander kombinierbar. So galten Sicherheit und Nutzerfreundlichkeit in der E-Mail-Verschlüsselung lange als unvereinbar. Heute gibt es jedoch Softwareprodukte, die den Encryption-Prozess automatisieren. Der Nutzer kann mit einem Klick verschlüsseln, alles Weitere übernimmt die Software.
Für ein zeitgemäßes E-Mail-Verschlüsselungs-Gateway wie totemomail spielt es keine Rolle, welche Verschlüsselungsmethode die Empfängerseite bevorzugt. Es verschlüsselt die Nachricht vor dem Versand genau mit der Methode, die der Empfänger benutzt.
Ein solches Gateway funktioniert sogar, wenn die andere Seite gar keine Verschlüsselung anwendet. Die bewährte Lösung hierfür ist ein von der Absenderseite betriebenes Webmail-Portal, an das die mit TLS verschlüsselte E-Mail verschickt wird. Der Empfänger meldet sich dort an, um die E-Mail im Klartext abzurufen. Eine Weiterentwicklung ist das Push-Verfahren. Hier wird der E-Mail-Inhalt in ein Trägermedium wie ein ZIP-Archiv, ein PDF-Dokument oder eine HTML-Seite eingebettet.
Drinnen lauern auch Gefahren
Weit verbreitet ist die Ansicht, dass der interne E-Mail-Verkehr unproblematisch sei und die E-Mails deshalb im Klartext durchlaufen dürften. Doch anders als in der Anfangszeit der E-Mails ist das heute nicht mehr der Fall: Cyberangriffe erfolgen auch im Unternehmensnetz – weshalb auch der interne E-Mail-Verkehr verschlüsselt werden muss. Gateways wie totemomail verfügen über eine integrierte Verschlüsselungsfunktion, die bei jedem Absender automatisch ausgelöst werden kann. E-Mails werden also auch innerhalb des Unternehmens verschlüsselt. Handelt es sich um eine E-Mail mit einem externen Empfänger, wird diese intern verschlüsselt, dann am Gateway umgeschlüsselt, damit sie dann wieder mit der bevorzugten Verschlüsselungsmethode des Empfängers zugestellt werden kann. Das bedeutet Sicherheit von Anfang bis Ende – ohne zusätzliche Belastung für die Nutzer.
