Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

E-Mail Security

Ist „einer der zentralen Bausteine für sichere Kommunikation im digitalen Zeitalter zertrümmert“ und das Verschlüsseln von E-Mails „kaputt und wohl nicht zu retten“, wie es aktuelle Schlagzeilen und Kommentare in den Medien behaupten? Ein Gastkommentar von Kim Nguyen, Geschäftsführer der D-TRUST GmbH, zum Stichwort „Efail“.

Die klare Antwortet lautet: Nein! Die entdeckten Sicherheitslücken des deutschen Forscherteams bei der E-Mail-Verschlüsselung, unter dem Stichwort „Efail“ bekannt, beziehen sich nicht auf die Verschlüsselungstechnik und die eingesetzten Algorithmen. Beide sind intakt und können weiterhin sicher eingesetzt werden.

Das Problem liegt in der Art und Weise, wie E-Mail-Verschlüsselung in den Mail-Clients implementiert und umgesetzt ist. Im Zentrum steht das automatische Laden von HTML-Inhalten, wie Bilder oder Darstellungscodierungen (Styles), das in einigen Mail-Clients voreingestellt ist. Verschlüsselte Mails können dann mit HTML-Inhalten so manipuliert werden, dass nach dem Entschlüsseln durch den Empfänger der Klartext an einen Server der Angreifer geschickt wird. Diese Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen.

Wegen Efail muss keiner das Verschlüsseln von E-Mails deaktivieren oder etwa ganz aus der Technik aussteigen. Langfristig müssen wir aber Antworten auf die Frage finden, wie sich mehr Anwender für das Thema gewinnen lassen? Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der deutschen Unternehmen ihre Mails mit einem Verschlüsselungssystem. Das muss sich ändern.

Denn Unternehmen versenden per Mail zunehmend auch vertrauliche Dokumente, zum Beispiel Verträge, Patente oder Protokolle. Die Gefahr ist groß, dass geschäftskritische Informationen in die falschen Hände geraten. So wird E-Mail-Verschlüsselung zu einem wichtiger Faktor für die deutsche Wettbewerbsfähigkeit.

Efail könnte sich vor diesem Hintergrund langfristig positiv auswirken, vorausgesetzt, wir leiten jetzt die richtige Schritte ein. Welche sind das?

Efail hat gezeigt, dass die Tools, die Protokolle und auch die Benutzerfreundlichkeit zu verbessern sind. So muss das Nicht-Laden von HTML-Inhalten standardmäßig eingestellt sein. Das ist bei einigen E-Mail-Programmen bereits der Fall, bei anderen noch nicht.

Zudem müssen die technischen Standards zur Mailverschlüsselung – OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions) – weiterentwickelt werden. Moderne Verschlüsselungstechnik – wie sie Instant Messenger-Dienste einsetzen – können hier den Weg weisen. Dabei kommen authentifizierte Verschlüsselungsverfahren zum Einsatz, die sofort erkennen, ob die Mail auch tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde.

Damit mehr Unternehmen ihre Mails verschlüsseln, benötigen wir einfache und leicht zu handhabende Lösungen. Wie das in der Praxis aussehen kann, zeigen sogenannte Secure-Mail-Gateway-Lösungen. Bei diesen werden die Mails und dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss.

Neben der fehlenden Benutzerfreundlichkeit gehört ein mangelndes Know-how zu den Hauptgründen, wieso Unternehmen auf eine E-Mail-Verschlüsselung verzichten. Bewusstsein für das Thema lässt sich beispielsweise mit speziellen Mitarbeiter-Seminaren schaffen, in denen die Grundlagen der Technik vermittelt werden. Bei der Bedarfsanalyse und der Konzeption können externe Berater weiterhelfen. Und die Mittel für das Verschlüsseln von Mails gibt es bei sogenannten Vertrauensdiensteanbietern (VDA), die die Rolle als vertrauenswürdige dritte Instanz wahrnehmen und für Zuverlässigkeit und Sicherheit sorgen.

Efail könnte sich somit als Weckruf für alle Akteure der E-Mail-Verschlüsselung erweisen, sich intensiver mit dem Thema zu beschäftigen und die Probleme und Herausforderungen gemeinsam und aktiv anzugehen.

Weitere Informationen:

CEBIT 2018, Halle 12 Stand B24 (Stand der Bundesdruckerei)

Kim Nguyen ist Geschäftsführer der D-TRUST GmbH. Das Tochterunternehmen der Bundesdruckerei ist ein qualifizierter Vertrauensdiensteanbieter (qVDA), früher Trustcenter. Qualifizierte Vertrauensdiensteanbieter bieten Dienste für eine vertrauenswürdige und sichere Online-Kommunikation. Dazu gehören Mittel für das Verschlüsseln von E-Mails, aber auch elektronische Signaturen, Siegel und Zeitstempel oder Zertifikate für die unterschiedlichsten Anwendungen, zum Beispiel für die Authentifizierung einer Webseite (SSL-Zertifikate). Ein qualifizierter Vertrauensdiensteanbieter unterliegt sehr strengen Sicherheitsvorschriften und Haftungsregelungen.

www.bundesdruckerei.de
 

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…