Anzeige

E-Mail Verschlüsselung

Unverschlüsselte E-Mails sind riskant, dafür hat die DSGVO das Bewusstsein geschärft. Allerdings fällt es vielen Unternehmen schwer, eine geeignete E-Mail-Verschlüsselung für die datenschutzkonforme Kommunikation einzuführen. Klare Kriterien helfen, eine praxistaugliche Lösung auszuwählen.

Der Blick in zwei Studien zeigt, dass sich die E-Mail-Verschlüsselung in Unternehmen verbreitet, wenn auch langsam. So ermittelte der „SicherheitsMonitor 2016 Mittelstand“ von „Deutschland sicher im Netz“ (DsiN), dass unter den kleinen und mittleren Unternehmen (KMU) 17 Prozent Nachrichten verschlüsselten. Zu dem Zeitpunkt verpflichtete das Bundesdatenschutzgesetz deutsche Unternehmen bereits, dies bei Nachrichten mit personenbezogenen Daten zu tun. Seit Frühjahr 2018 gilt die DSGVO, die im Artikel 32 ausdrücklich Verschlüsselung als geeignete Maßnahme bezeichnet, um personenbezogene Daten zu schützen. Im Herbst 2018 fragte die Bundesdruckerei für die „Initiative Mittelstand verschlüsselt!“ nach.

Ein halbes Jahr nach Inkrafttreten der DSGVO wendeten 40 Prozent der Firmen eine Transportverschlüsselung mittels Transport Layer Security (TLS) oder der Vorgängerversion Secure Socket Layer (SSL) an. In dem Fall bauen Absender und Empfänger für den E-Mail-Austausch einen geschützten Tunnel auf. Auf dem Server und im Postfach des Empfängers liegen die E-Mails im Klartext. Rund ein Fünftel der Mittelständler verschlüsselte deshalb zusätzlich mit einer Inhaltsverschlüsselung wie S/MIME (Secure / Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy). Dadurch wird der Inhalt der Nachricht durchgehend verschlüsselt. Zudem zeigte die Umfrage: Sieben von zehn Firmen hatten konkrete Regeln zum Verschlüsseln von E-Mails aufgestellt.

Effektiv das Risiko senken

Ob sich über solche Vorgaben das Risiko von Cyberattacken, Datenverlust und Sicherheitsvorfällen inklusive drastischer Strafen nach DSGVO effektiv senken lässt? Der praxisrelevantere Ansatz liegt sicher in einer E-Mail-Verschlüsselung, die möglichst alle Anwendungsfälle berücksichtigt und Mitarbeiter in ihrem Tun nicht behindert. Wie finden Unternehmen eine solche Lösung? Ganz einfach: Eine Verschlüsselungsanwendung eignet sich in der Praxis, wenn sie diese zehn Kriterien erfüllt: 

1. Verwenden von Standards; Kombinieren von Transport- und Inhaltsverschlüsselung

Standards wie OpenPGP, S/MIME und TLS sind verbreitete robuste Verschlüsselungstechnologien. Ihr Einsatz schafft eine einfache Kommunikation mit Kollegen, Kunden und Partnern. Für den höchstmöglichen und durchgehenden Schutz empfiehlt sich, sowohl Inhalt (per S/MIME oder OpenPGP) als auch Übertragung (per TLS) zu verschlüsseln. 

2. Alternative Methoden für die externe Verschlüsselung stehen bereit

Für die sichere Kommunikation mit Empfängern, die keine E-Mail-Verschlüsselung im Einsatz haben, muss eine praxistaugliche Lösung verschiedene Optionen bieten. Infrage kommt die Push-Methode, die eine versandte E-Mail in eine verschlüsselte Datei umwandelt, die wiederum an eine neue E-Mail angehängt wird. Bei der zweiten Alternative, der sogenannten Pull-Methode, holt der Empfänger die verschlüsselte Nachricht bei einem sicheren Web-Portal ab.

3. Interne E-Mails werden verschlüsselt

Meist wird angenommen, dass Bedrohungen nur durch externe Faktoren entstehen. Aber auch interne Bedrohungen durch böswillige Insider oder schlichtweg neugierige Kollegen kann niemand völlig ausschließen, weshalb die Verschlüsselung auch innerhalb des Unternehmens greifen muss. Das gilt vor allem bei sensiblem Inhalt, den die meisten Mitarbeiter nicht erfahren dürfen. 

4. Zentrale Datenfluss- und Inhaltskontrolle greift

E-Mail-Verschlüsselungs-Lösungen müssen Schnittstellen zu zentralen Systemen der Datenfluss- und Inhaltskontrolle wie Virenscannern, Antispam- oder DLP-Tools (Data Loss Prevention) haben. Die Nachrichten werden dann am sogenannten Verschlüsselungs-Gateway kurzfristig entschlüsselt, damit diese Programme ihre Prüfungen vornehmen können.

5. Anspruch an „höchste Geheimhaltung“ 

Es müssen bei Bedarf Optionen für die höchste Geheimhaltung verfügbar sein, bei denen die Nachrichten zu keiner Zeit während der Übertragung entschlüsselt werden. In diesen Fällen wiegt die Vertraulichkeit schwerer als die mögliche Bedrohung durch Viren, Spam oder dergleichen. Herkömmliche Gateway-Lösungen reichen hierfür nicht aus, erforderlich ist eine strikte Ende-zu-Ende-Verschlüsselung, bei der die oben erwähnte zentrale Datenfluss- und Inhaltskontrolle entfällt.

6. E-Mails von Business-Applikationen sichern

Diverse Anwendungen für geschäftliche Zwecke verschicken und empfangen unverschlüsselte E-Mails mit personenbezogenen Daten oder Informationen, die Unternehmen geheim halten wollen, um ihre Marge zu schützen. Dazu gehören beispielsweise Lohnabrechnungen von Human-Resources-Systemen oder Lieferscheine und Rechnungen aus dem Customer Relationship Management. Da diese Systeme selbst oft keine Verschlüsselung ihrer E-Mails anbieten, sollte eine Verschlüsselungslösung hier einspringen können. 

7. Der Umgang mit großen Anhängen

Benutzer möchten unter Umständen große Dateien mit Kollegen, externen Partnern und Kunden per E-Mail austauschen. Eine Verschlüsselungslösung muss das unterstützen, ohne Mailserver zu überlasten und zu verstopfen. 

8. Mobiles Verschlüsseln

Viele Nutzer lesen geschäftliche E-Mails auf dem Smartphone oder Tablet. Deshalb ist es für Verschlüsselungs-Tools unerlässlich, alle Funktionen auch auf Mobilgeräten zu bieten – und zwar nutzerfreundlich. Außerdem sollte die Lösung auf allen mobilen Plattformen funktionieren – ohne dass dafür zusätzliche Apps installiert werden müssen.

9. Plattformunabhängiges Betreiben

Eine Verschlüsselungslösung ist flexibel und zukunftsfähig, wenn sie Anwender nicht an eine bestimmte Technologie oder Plattform bindet. Eine solche „technologieunabhängige“ Anwendung lässt sich sowohl in einer Windows- als auch einer Linux-Infrastruktur sowie in der Cloud und On-Premises betreiben.

10. Anwenderfreundlichkeit steht im Fokus

Die sicherste Verschlüsselung der Welt ist nutzlos, wenn sie sich nicht intuitiv bedienen lässt, denn dann verweigern Mitarbeiter die Nutzung. Daher sollte bei der Auswahl einer Verschlüsselungslösung die Benutzerfreundlichkeit mit an oberster Stelle stehen.
 

Marcel Mock, CTO und Mitbegründer
Marcel Mock
CTO und Mitbegründer, totemo

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Data Breach

Internationaler Report zu Datenverstößen

ForgeRock gibt die Ergebnisse seines Consumer-Identity-Breach-Jahresbericht zu Datenverstößen in Deutschland, USA, Großbritannien und Australien bekannt. Mehr als 7,8 Milliarden US-Datensätze in den letzten zwei Jahren betroffen.
DSGVO Concept

Wir brauchen endlich klare Ansagen der Datenschützer!

Am 25. Mai 2020 ist die DSGVO seit genau zwei Jahren in Kraft. ownCloud gratuliert der Datenschutz-Grundverordnung zum Geburtstag – und wünscht sich klare Ansagen der obersten Datenschützer.
DSGVO

Zwei Jahre DSGVO: Wichtige Wissenslücken schließen

Nach zwei Jahren DSGVO haben viele Unternehmen immer noch mit dem Aufspüren personenbezogener Informationen in ihren Datenbeständen zu kämpfen. IntraFind erläutert, wie ihnen Enterprise Search-Technologie helfen kann. Am 25. Mai 2020 ist die DSGVO seit genau…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!