E-Mail-Verschlüsselung ist nicht erst seit den NSA-Skandalen in aller Munde. Wenn Unternehmen Informationen mit Geschäftsspartnern austauschen, muss der Zugriff darauf durch Dritte verhindert werden. E-Mails verschlüsseln schon jetzt viele Anwender in den Unternehmen. Manche lassen sich abschrecken. Oftmals liegt dies an der komplizierten Handhabung der Verschlüsselungsverfahren wie S/Mime und PGP. Was tun?
Datenschutz ist schon im Bewusstsein der Unternehmen angelangt
Es ist keine Frage: die deutschen Unternehmen sind sich der Bedeutung des Datenschutz bewusst. Zugänge zu Geräten und Räumen werden mit Fingerprintsensoren geschützt. Die Bedrohung durch Viren wird durch Einsatz der Produkte von Norton, Kaspersky & Co. eingedämmt. Angriffe von außen stoßen mittlerweile recht flächendeckend auf Firewalls. Werden Daten extern verarbeitet, wird auch beim Partner die Einhaltung der Sicherheitsbestimmungen eingefordert. Cloud-Lösungen mit einem Standort außerhalb von Deutschland werden kritisch beäugt und eher nicht eingesetzt. Für den File-Transfer werden ausschließlich Managed-File-Transfer-Lösungen eingesetzt, die eine sichere Datenübertragung gewährleisten. Doch wie schon einst Siegfried in der Nibelungensage ist auch die Datensicherheit im Unternehmen mit einer Achillesferse geschlagen: die E-Mail.
E-Mail: die Achillesferse des digitalen Unternehmens
Eine E-Mail wird standardmäßig offen über tragen. Dies bedeutet, dass wer sich Zugriff auf die Übertragungsleitung verschafft, die unverschlüsselte E-Mail mitlesen kann. Dieses Mitlesen kann nicht einmal nachverfolgt werden. Während Schränke mit Personalakten abgeschlossen werden, kommt eine sensible PDF-Datei schon mal in den Anhang einer E-Mail und verlässt das Unternehmen völlig ungeschützt. Was geschehen kann, wenn auf diese Weise Kalkulationen, Entwicklungsergebnisse, Kundeninformationen in unbefugte Hände geraten, kann sich jeder leicht vorstellen. Eine Information darüber in der Öffentlichkeit zerstört das Vertrauen der Geschäftspartner, das zuvor in Jahren mühevoll aufgebaut wurde, in Sekunden. Darüber hinaus können so Verstöße gegen geltende Datenschutzbestimmungen entstehen, die zudem empfindliche Geldstrafen nach sich ziehen können.
Einzige Lösung: E-Mails verschlüsseln
Wer vertrauliche Informationen per E-Mail übermittelt hat keine andere Wahl, als die E-Mail samt Inhalt zu verschlüsseln. Punkt. Doch was bedeutet dies und wie macht man es richtig (sicher)?
Es beginnt bereits beim Mailprovider. Wer die Maildienste bereitstellt darf nicht in die Lage versetzt werden, die von seinen Systemen versandten E-Mails einzusehen und mitzulesen. Eine E-Mail wird am Besten mit einer End-to-End-Verschlüsselung versehen. Dies bedeutet, dass nur Sender und der berechtigte Empfänger über eine Möglichkeit verfügen, die E-mail zu lesen. Fällt sie aus welchen Gründen auch immer in unberechtigte Hände, kann keine Einsichtnahme erfolgen.
E-Mails verschlüsseln: Transportverschlüsselung oder End-to-End-Verschlüsselung
Wodurch unterscheidet sich die Transportverschlüsselung von der End-to-End-Verschlüsselung? Was ist sicherer?
Transportverschlüsselung
Die Transportverschlüsselung sorgt lediglich für eine Verschlüsselung bei der Übertragung. Wird eine solche E-Mail von einem Mailserver aufgenommen, der als Relais bei der Übertragung von A nach B fungiert, so liegt die E-Mail auf dem Relaisserver in unverschlüsselter Form vor – obwohl sie während der Übertragung dorthin verschlüsselt war. Dies stellt ein Sicherheitsrisiko dar.
End-to-End-Verschlüsselung
Bei der End-to-End-Verschlüsselung wird die gesamte E-Mail einschließlich etwaiger Anhänge beim Versender verschlüsselt. Nur der authorisierte Empfänger ist in der Lage, die verschlüsselte E-Mail wieder zu entschlüsseln. Dazu benutzt der Empfänger einen sogenannten Schlüssel, der nur für diese gesicherte Übertragung bereitgestellt wurde. Gelangt eine solche End-to-End-verschlüsselte E-Mail auf einen Relaisserver, so kann diese dort nicht entziffert werden.
Bundesministerium für Verbraucherschutz: nahtlose Verschlüsselung soll Pflicht werden
Das Bundesministerium für Verbraucherschutz will alle Anbieter von Maildiensten zu einer nahtlosen, will sagen „Ende-zu-Ende“-Verschlüsselung von Mails zwingen. Dies äußerten in einem Interview mit iRights.info die beiden Staatssekretäre im Ministerium, Ulrich Kelber und Gerd Billen. Eine solche Vorschrift soll in eine künftige EU-Datenschutzverordnung aufgenommen werden.
Bestrebungen zu mehr Datensicherheit gibt es mittlerweile bereits. Die großen Mailprovider GMX, Web.de und T-Online bieten bereits eine verschlüsselte E-Mail-Übertragung an. Die Sicherheit endet jedoch, wenn die E-Mail auf den Servern gespeichert werden. Dies geschieht laut dem Chaos Computer Club (CCC) nämlich weiterhin ungesichert.
E-Mails verschlüsseln per Softwarelösung
Eine Verschlüsselung per Softwarelösung bietet beispielsweise FTAPI an – eine Tochter der QSC AG. Diese verschlüsselt den gesamten Inhalt der E-Mail. Eine Integration in CRM- und ERP-Systeme wird als einfach angepriesen. Das Verfahren erfordert einen SecuTransfer-Server, welcher wahlweise beim Dienstleister gehostet wird oder im Rechenzentrum des Unternehmens stehen kann. Für die Verschlüsselung werden Verfahren wie AES 256 und RSA-4096 eingesetzt (ähnlich wie bei der App Infinit). Die E-Mails werden erst vom authorisierten Empfänger entschlüsselt, der über den benötigten Schlüssel verfügt.
Um den sicheren Mailversand zu gewährleisten, werden automatisch Schlüssel (Keys) generiert. Bei der Generierung der Keys kommen unterschiedliche Krypto-Verfahren (AES 256 und RSA-4096) zum Einsatz. Die Daten bleiben dabei auch auf dem Server verschlüsselt und werden erst beim Empfänger wieder in Klartext umgewandelt.