Facebook iconTwitter icon
B2B-Network:
Die hartnäckigsten Mythen über E-Mail-Verschlüsselung
Die hartnäckigsten Mythen über E-Mail-Verschlüsselung
Time icon 5 December 2018, 10:12 am

E-Mail-Verschlüsselung ist eine wichtige Maßnahme, um sensible Daten zu schützen. Trotzdem verzichten noch immer viele Unternehmen darauf. Sie halten die Technologie für zu teuer, zu kompliziert oder gar unnötig. Höchste Zeit, mit den hartnäckigen Mythen aufzuräumen.

E-Mail-Verschlüsselung? – Brauche ich nicht! Das mag so manches kleinere oder mittelständische Unternehmen denken. Was habe ich schon zu verbergen? Wer so argumentiert, begibt sich jedoch auf gefährliches Terrain. Denn tatsächlich ist es gesetzlich vorgeschrieben, E-Mails mit personenbezogenen Daten zu verschlüsseln – und das nicht erst seit der neuen EU-Datenschutzgrundverordnung. Schon im Bundesdatenschutzgesetz war dies festgelegt. Mit der DSGVO sind die Regelungen jedoch strenger geworden. Jetzt drohen bei Datenschutzverletzungen drastische Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Außerdem müssen Unternehmen Vorfälle innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Besteht für die betroffenen Personen ein erhöhtes Risiko, sind auch sie zu verständigen. Wer E-Mails verschlüsselt, ist von dieser Benachrichtigungspflicht entbunden und vor Sanktionen gefeit. Denn Artikel 32 der DSGVO nennt Verschlüsselung ausdrücklich als adäquate Maßnahme nach aktuellem Stand der Technik, um personenbezogene Daten zu schützen. 

E-Mail-Verschlüsselung kann DSGVO-Strafen aufgrund mangelnden Datenschutzes vermeiden

 

E-Mail-Verschlüsselung muss nicht kompliziert sein

Noch immer hat E-Mail-Verschlüsselung allerdings den Ruf, kompliziert und umständlich zu sein. Das schreckt gerade Unternehmen ab, deren Mitarbeiter technisch weniger versiert sind. Es stimmt: Mit OpenPGP und S/MIME gibt es verschiedene Verschlüsselungsstandards, die nicht miteinander kompatibel sind. Auch das Schlüsselmanagement überfordert viele Anwender. Es gibt jedoch Lösungen, die all das automatisch im Hintergrund erledigen. Solche Verschlüsselungs-Gateways beherrschen die gängigen Verschlüsselungsmethoden und übernehmen das Schlüsselmanagement. Möchte ein Anwender eine Nachricht verschlüsseln, muss er lediglich in seinem E-Mail-Programm auf den entsprechenden Button klicken – alles Weitere passiert von alleine. Dafür ist noch nicht einmal die Installation eines Plug-ins nötig. Denn die gängigen E-Mail-Clients haben bereits Verschlüsselung auf Basis von S/MIME integriert. 

 

Verschlüsselte Kommunikation mit externen Partnern

Und was ist, wenn mein Kommunikationspartner eine andere Verschlüsselungsmethode verwendet als ich? Viele Unternehmen meinen, dass sie ihre externen Partner von ihrem eigenen Verfahren überzeugen müssten. Das ist jedoch nicht nötig. Wenn ein Verschlüsselungs-Gateway alle etablierten Verschlüsselungsstandards beherrscht, kann jeder Partner die Methode einsetzen, die er möchte. Auch wer viel mit Privatpersonen oder Unternehmen kommuniziert, die selbst keine Verschlüsselung einsetzen können oder wollen, muss nicht auf sichere E-Mails verzichten. Für solche Fälle gibt es zum Beispiel die Möglichkeit, Nachrichten über ein Webportal bereitzustellen. Dort kann der Empfänger die für ihn verschlüsselte E-Mail lesen, nachdem er sich authentifiziert hat.

Alternative Verfahren zur E-Mail-Verschlüsselung

 

Transportverschlüsselung und Inhaltsverschlüsselung

Ich nutze doch schon SSL/TLS – da brauche ich keine weitere Verschlüsselungslösung. Auch das ist ein weit verbreiteter Irrtum. TLS ist eine Transportverschlüsselung. Sie baut einen sicheren Tunnel zwischen zwei Rechnern auf, durch den die E-Mail geschickt wird. Dadurch kann die Nachricht unterwegs nicht mitgelesen werden. Am Start- und Endpunkt liegt sie jedoch im Klartext vor. Zudem wird die E-Mail auf ihrem Weg durch das Internet über viele Stationen geleitet. Nur, wenn jeder beteiligte Rechner wieder erneut eine verschlüsselte Verbindung herstellt, ist die Nachricht sicher. Darauf hat der Absender jedoch keinen Einfluss. Deshalb ist zusätzlich zur Transportverschlüsselung eine Inhaltsverschlüsselung wichtig. Dafür gibt es zwei Standards: OpenPGP und S/MIME. Sie verschlüsseln das, was in der E-Mail steht. Nur ein Empfänger, der den passenden Schlüssel hat, kann den Inhalt lesen. Im Klartext bleiben allerdings Metadaten wie Absender, Empfänger und Versanddatum. Erst die Kombination aus Inhaltsverschlüsselung und Transportverschlüsselung macht die Kommunikation daher wirklich sicher.

 

Funktionieren Anti-Viren-, DLP- und Archiv-Lösungen trotz E-Mail-Verschlüsselung?

Auch das ist eine Frage, die viele Unternehmen beschäftigt und gegenüber E-Mail-Verschlüsselung skeptisch macht. Schutz vor Viren und Malware ist heute unverzichtbar. Lösungen zur Data Loss Prevention sorgen zudem für die Umsetzung von Richtlinien und unterstützen damit bei der Einhaltung der Compliance. Beide können ihrer Funktion nur nachkommen, wenn sie in der Lage sind, den Inhalt von E-Mails zu untersuchen. Gegenüber verschlüsselten Nachrichten sind sie blind. Es gibt jedoch eine Möglichkeit, solchen Sicherheitssystemen Zugang zum Klartext zu ermöglichen. Das funktioniert über einen hybriden Ansatz mit einem zwischengeschalteten Gateway. Ganz ähnlich lässt sich auch eine Archivlösung über einen Proxy anbinden. So ist sie in der Lage, den Inhalt einer Nachricht zu indexieren, kann sie anschließend aber verschlüsselt speichern. Auch verschlüsselte E-Mails sind dann im Archiv durchsuchbar und können bei Bedarf schnell aufgefunden werden.

 

Vertrauen ist gut, eigene Kontrolle ist besser

Wer E-Mail in der Cloud nutzt, denkt sich vielleicht: Mein Cloud-Anbieter verschlüsselt doch bereits, das reicht aus. Das stimmt, wenn man seinem Cloud-Provider grenzenlos vertraut. Unternehmen sollten sich aber darüber im Klaren sein, dass ein Anbieter, der sowohl das E-Mail-Management als auch die -Verschlüsselung übernimmt, auch die zugehörigen Schlüssel hat. Das heißt, er kann alle Nachrichten mitlesen. Möchte man dies vermeiden, sollte man entweder E-Mail-Management und -Verschlüsselung voneinander trennen oder eine Lösung einsetzen, bei der man die Schlüssel selbst speichert. 

 

Fazit: Auf Verschlüsselung zu verzichten kann teuer werden

Die meisten Gründe, warum Unternehmen auf Verschlüsselung verzichten, lassen sich mit einer geeigneten Verschlüsselungslösung widerlegen. Ein Verschlüsselungs-Gateway, das auf Standards setzt, die Komplexität vom Anwender wegnimmt und Schnittstellen zu Archiv-, DLP- und Anti-Virus-Lösungen bietet, macht sichere Kommunikation einfach und praktikabel. Bleibt ein letztes Argument: Eine solche Verschlüsselungs-Lösung kostet natürlich Geld. Es ist jedoch deutlich günstiger, in Sicherheit zu investieren, als einen Datenschutzvorfall zu riskieren. Denn dann drohen nicht nur drastische Sanktionen – auch der Schaden, der durch den Reputationsverlust entsteht, kann immens sein. Die Frage lautet also nicht: Kann ich mir E-Mail-Verschlüsselung leisten? Sondern vielmehr: Kann ich es mir leisten, darauf zu verzichten?

 

Wir möchten uns herzlich bei Marcel Mock, CTO und Mitbegründer von totemo, für die Bereitstellung dieses Artikels bedanken. Die totemo AG ist ein Anbieter für Lösungen zur E-Mail-Verschlüsselung, sicheren Datenaustausch und sicheren Kommunikation in Unternehmen. 

Loader