VERANSTALTUNGEN

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

E-Mail Security

Ist „einer der zentralen Bausteine für sichere Kommunikation im digitalen Zeitalter zertrümmert“ und das Verschlüsseln von E-Mails „kaputt und wohl nicht zu retten“, wie es aktuelle Schlagzeilen und Kommentare in den Medien behaupten? Ein Gastkommentar von Kim Nguyen, Geschäftsführer der D-TRUST GmbH, zum Stichwort „Efail“.

Die klare Antwortet lautet: Nein! Die entdeckten Sicherheitslücken des deutschen Forscherteams bei der E-Mail-Verschlüsselung, unter dem Stichwort „Efail“ bekannt, beziehen sich nicht auf die Verschlüsselungstechnik und die eingesetzten Algorithmen. Beide sind intakt und können weiterhin sicher eingesetzt werden.

Das Problem liegt in der Art und Weise, wie E-Mail-Verschlüsselung in den Mail-Clients implementiert und umgesetzt ist. Im Zentrum steht das automatische Laden von HTML-Inhalten, wie Bilder oder Darstellungscodierungen (Styles), das in einigen Mail-Clients voreingestellt ist. Verschlüsselte Mails können dann mit HTML-Inhalten so manipuliert werden, dass nach dem Entschlüsseln durch den Empfänger der Klartext an einen Server der Angreifer geschickt wird. Diese Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen.

Wegen Efail muss keiner das Verschlüsseln von E-Mails deaktivieren oder etwa ganz aus der Technik aussteigen. Langfristig müssen wir aber Antworten auf die Frage finden, wie sich mehr Anwender für das Thema gewinnen lassen? Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der deutschen Unternehmen ihre Mails mit einem Verschlüsselungssystem. Das muss sich ändern.

Denn Unternehmen versenden per Mail zunehmend auch vertrauliche Dokumente, zum Beispiel Verträge, Patente oder Protokolle. Die Gefahr ist groß, dass geschäftskritische Informationen in die falschen Hände geraten. So wird E-Mail-Verschlüsselung zu einem wichtiger Faktor für die deutsche Wettbewerbsfähigkeit.

Efail könnte sich vor diesem Hintergrund langfristig positiv auswirken, vorausgesetzt, wir leiten jetzt die richtige Schritte ein. Welche sind das?

Efail hat gezeigt, dass die Tools, die Protokolle und auch die Benutzerfreundlichkeit zu verbessern sind. So muss das Nicht-Laden von HTML-Inhalten standardmäßig eingestellt sein. Das ist bei einigen E-Mail-Programmen bereits der Fall, bei anderen noch nicht.

Zudem müssen die technischen Standards zur Mailverschlüsselung – OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions) – weiterentwickelt werden. Moderne Verschlüsselungstechnik – wie sie Instant Messenger-Dienste einsetzen – können hier den Weg weisen. Dabei kommen authentifizierte Verschlüsselungsverfahren zum Einsatz, die sofort erkennen, ob die Mail auch tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde.

Damit mehr Unternehmen ihre Mails verschlüsseln, benötigen wir einfache und leicht zu handhabende Lösungen. Wie das in der Praxis aussehen kann, zeigen sogenannte Secure-Mail-Gateway-Lösungen. Bei diesen werden die Mails und dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss.

Neben der fehlenden Benutzerfreundlichkeit gehört ein mangelndes Know-how zu den Hauptgründen, wieso Unternehmen auf eine E-Mail-Verschlüsselung verzichten. Bewusstsein für das Thema lässt sich beispielsweise mit speziellen Mitarbeiter-Seminaren schaffen, in denen die Grundlagen der Technik vermittelt werden. Bei der Bedarfsanalyse und der Konzeption können externe Berater weiterhelfen. Und die Mittel für das Verschlüsseln von Mails gibt es bei sogenannten Vertrauensdiensteanbietern (VDA), die die Rolle als vertrauenswürdige dritte Instanz wahrnehmen und für Zuverlässigkeit und Sicherheit sorgen.

Efail könnte sich somit als Weckruf für alle Akteure der E-Mail-Verschlüsselung erweisen, sich intensiver mit dem Thema zu beschäftigen und die Probleme und Herausforderungen gemeinsam und aktiv anzugehen.

Weitere Informationen:

CEBIT 2018, Halle 12 Stand B24 (Stand der Bundesdruckerei)

Kim Nguyen ist Geschäftsführer der D-TRUST GmbH. Das Tochterunternehmen der Bundesdruckerei ist ein qualifizierter Vertrauensdiensteanbieter (qVDA), früher Trustcenter. Qualifizierte Vertrauensdiensteanbieter bieten Dienste für eine vertrauenswürdige und sichere Online-Kommunikation. Dazu gehören Mittel für das Verschlüsseln von E-Mails, aber auch elektronische Signaturen, Siegel und Zeitstempel oder Zertifikate für die unterschiedlichsten Anwendungen, zum Beispiel für die Authentifizierung einer Webseite (SSL-Zertifikate). Ein qualifizierter Vertrauensdiensteanbieter unterliegt sehr strengen Sicherheitsvorschriften und Haftungsregelungen.

www.bundesdruckerei.de
 

GRID LIST
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security