Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

E-Mail Security

Ist „einer der zentralen Bausteine für sichere Kommunikation im digitalen Zeitalter zertrümmert“ und das Verschlüsseln von E-Mails „kaputt und wohl nicht zu retten“, wie es aktuelle Schlagzeilen und Kommentare in den Medien behaupten? Ein Gastkommentar von Kim Nguyen, Geschäftsführer der D-TRUST GmbH, zum Stichwort „Efail“.

Die klare Antwortet lautet: Nein! Die entdeckten Sicherheitslücken des deutschen Forscherteams bei der E-Mail-Verschlüsselung, unter dem Stichwort „Efail“ bekannt, beziehen sich nicht auf die Verschlüsselungstechnik und die eingesetzten Algorithmen. Beide sind intakt und können weiterhin sicher eingesetzt werden.

Das Problem liegt in der Art und Weise, wie E-Mail-Verschlüsselung in den Mail-Clients implementiert und umgesetzt ist. Im Zentrum steht das automatische Laden von HTML-Inhalten, wie Bilder oder Darstellungscodierungen (Styles), das in einigen Mail-Clients voreingestellt ist. Verschlüsselte Mails können dann mit HTML-Inhalten so manipuliert werden, dass nach dem Entschlüsseln durch den Empfänger der Klartext an einen Server der Angreifer geschickt wird. Diese Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen.

Wegen Efail muss keiner das Verschlüsseln von E-Mails deaktivieren oder etwa ganz aus der Technik aussteigen. Langfristig müssen wir aber Antworten auf die Frage finden, wie sich mehr Anwender für das Thema gewinnen lassen? Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der deutschen Unternehmen ihre Mails mit einem Verschlüsselungssystem. Das muss sich ändern.

Denn Unternehmen versenden per Mail zunehmend auch vertrauliche Dokumente, zum Beispiel Verträge, Patente oder Protokolle. Die Gefahr ist groß, dass geschäftskritische Informationen in die falschen Hände geraten. So wird E-Mail-Verschlüsselung zu einem wichtiger Faktor für die deutsche Wettbewerbsfähigkeit.

Efail könnte sich vor diesem Hintergrund langfristig positiv auswirken, vorausgesetzt, wir leiten jetzt die richtige Schritte ein. Welche sind das?

Efail hat gezeigt, dass die Tools, die Protokolle und auch die Benutzerfreundlichkeit zu verbessern sind. So muss das Nicht-Laden von HTML-Inhalten standardmäßig eingestellt sein. Das ist bei einigen E-Mail-Programmen bereits der Fall, bei anderen noch nicht.

Zudem müssen die technischen Standards zur Mailverschlüsselung – OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions) – weiterentwickelt werden. Moderne Verschlüsselungstechnik – wie sie Instant Messenger-Dienste einsetzen – können hier den Weg weisen. Dabei kommen authentifizierte Verschlüsselungsverfahren zum Einsatz, die sofort erkennen, ob die Mail auch tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde.

Damit mehr Unternehmen ihre Mails verschlüsseln, benötigen wir einfache und leicht zu handhabende Lösungen. Wie das in der Praxis aussehen kann, zeigen sogenannte Secure-Mail-Gateway-Lösungen. Bei diesen werden die Mails und dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss.

Neben der fehlenden Benutzerfreundlichkeit gehört ein mangelndes Know-how zu den Hauptgründen, wieso Unternehmen auf eine E-Mail-Verschlüsselung verzichten. Bewusstsein für das Thema lässt sich beispielsweise mit speziellen Mitarbeiter-Seminaren schaffen, in denen die Grundlagen der Technik vermittelt werden. Bei der Bedarfsanalyse und der Konzeption können externe Berater weiterhelfen. Und die Mittel für das Verschlüsseln von Mails gibt es bei sogenannten Vertrauensdiensteanbietern (VDA), die die Rolle als vertrauenswürdige dritte Instanz wahrnehmen und für Zuverlässigkeit und Sicherheit sorgen.

Efail könnte sich somit als Weckruf für alle Akteure der E-Mail-Verschlüsselung erweisen, sich intensiver mit dem Thema zu beschäftigen und die Probleme und Herausforderungen gemeinsam und aktiv anzugehen.

Weitere Informationen:

CEBIT 2018, Halle 12 Stand B24 (Stand der Bundesdruckerei)

Kim Nguyen ist Geschäftsführer der D-TRUST GmbH. Das Tochterunternehmen der Bundesdruckerei ist ein qualifizierter Vertrauensdiensteanbieter (qVDA), früher Trustcenter. Qualifizierte Vertrauensdiensteanbieter bieten Dienste für eine vertrauenswürdige und sichere Online-Kommunikation. Dazu gehören Mittel für das Verschlüsseln von E-Mails, aber auch elektronische Signaturen, Siegel und Zeitstempel oder Zertifikate für die unterschiedlichsten Anwendungen, zum Beispiel für die Authentifizierung einer Webseite (SSL-Zertifikate). Ein qualifizierter Vertrauensdiensteanbieter unterliegt sehr strengen Sicherheitsvorschriften und Haftungsregelungen.

www.bundesdruckerei.de
 

GRID LIST
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…
Passwort

Datenklau 2019: Passwort-Manager schützen vor Hacker-Angriffen

Das Thema Datenklau ist durch den vor Kurzem öffentlich gewordenen Leak von Politiker-…
Schloss vor Tastatur

E-Mail-Verschlüsselung für jeden

Reddcrypt soll E-Mails ganz einfach verschlüsseln, auf jedem Endgerät, mit jeder…
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…