E-Mail-Verschlüsselung: Doppelt schützt besser

Versand sensibler Daten erfolgt bei vielen Betrieben noch immer so offen, als würden Ansichts-Postkarten verschickt werden

[datensicherheit.de, 02.06.2019] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) veranschaulicht das Versenden von E-Mails mit einer Analogiebetrachtung des Verschickens von Postkarten über die Briefpost: Diese simple Beispiel zeigt sehr deutlich auf, warum es zwei wesentliche Sicherheitsaspekte für des Versenden und Empfangen von Nachrichten auf diesen Wegen gibt. So müsste einerseits der Transportweg gesichert werden – aber eine Postkarte geht durch viele Hände, angefangen von der Entleerung eines Postkastens, über die Verteilungsstationen, diverse Fahrzeuge, bis hin zum Briefkasten oder sogar über die Hauspoststelle bis hin zum Postfach des Empfängers. Diese Zwischenstationen – ohne Anspruch auf Vollständigkeit – führen andererseits vor Augen, dass auch der Inhalt geschützt werden müsste, um halt nur für den Empfänger selbst lesbar zu sein. Indes ist die Unbekümmertheit des Verschickens von Postkarten auch beim heute verbreiteten und aus dem Alltag nicht mehr wegzudenkenden E-Mail-Versand zu beobachten. Ein Jahr nach dem endgültigen Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) gibt es zudem einen weiteren Grund, über E-Mail-Verschlüsselung intensiv nachzudenken und dann zielgerichtet und zweckdienlich zu handeln.

E-Mails ohne Verschlüsselung: Wie Postkarten auszulesen und zu verfälschen

Noch vor dem Siegeszug der E-Mail im Betriebsalltag von Unternehmen, Behörden und Verbänden, bis ca. Mitte der 1990er-Jahre, wäre wohl kaum ein ordentlich handelnder Mitarbeiter auf die Idee gekommen, vertrauliche Informationen auf Postkarten zu schreiben und zu verschicken. Selbstverständlich wurden verschlossene Briefe genutzt – bei besonderer Vertraulichkeit ggf. sogar in versiegelten Umschlägen mit speziellen Kurieren. Mit dem Einzug der elektronischen Kommunikation in die Büros, zuerst das Telefax und dann die E-Mail, machte sich zuweilen selbst bei renommierten Großkonzernen eine gefährliche Fahrlässigkeit breit.
So wundert es kaum, dass nach Erkenntnissen des TeleTrusT nur rund 60 Prozent der E-Mails transportverschlüsselt übertragen werden und der Anteil der E-Mails mit verschlüsseltem Inhalt kaum nachweisbar sein soll. Der TeleTrusT warnt sehr deutlich, dass E-Mails ohne Verschlüsselung eben wie Postkarten auch für Unbefugte lesbar sind und zudem auf dem Übertragungsweg manipuliert oder gar gelöscht werden könnten.

Bedrohungsszenarien: Ausforschung, Missbrauch und Malware-Attacken

Der unverschlüsselte E-Mail-Versand, der somit heute vielfach noch den Arbeitsalltag prägt, ist ein willkommener Angriffsvektor für Cyber-Kriminelle: Das Routing der E-Mails erfolgt zwischen unterschiedlichen Servern, die oft in verschiedenen Ländern stationiert sind. Hier droht also die berühmt-berüchtigte „Man in the middle“-Attacke. Hacker könnte unerkannt Zugriff auf Daten erlangen und diese zum Schaden des Senders, des Empfängers bzw. sogar zu Lasten Dritter missbrauchen.
IT-Sicherheitsexperten schätzen, dass heute mehr als 80 Prozent aller Angriffe per E-Mail erfolgen, d.h. dass auch diese Bedrohung eine zusätzliche Motivation sein sollte, die elektronische Kommunikation alltagstauglich zu verschlüsseln. Im Ernstfall drohen sonst empfindliche finanzielle Schäden, schwer behebbare Reputationseinbußen und auch lästige juristische Folgen.

E-Mail-Verschlüsselung: Spezielle Verfahren zu implementieren

Oft ist bei kleinen und mittleren Unternehmen (KMU) die Ausrede zu hören, dass bei ihnen ja nichts zu holen sei – solche Ausflüchte sind schlicht töricht und nicht zu entschuldigen. Jeder Betrieb ist aus moralischen wie rechtlichen Gründen zur Geheimhaltung verpflichtet und die Entscheiderebene hat dessen Vermögen sowie die Integrität und der mit ihm in Kontakt stehenden Personen zu wahren. Außerdem: Bei wem nichts zu holen ist, wäre quasi wertlos und damit entbehrlich…
Mittelständler meinen nicht selten, dass der von ihnen bereits umgesetzte Grundschutz, zumeist in Form einer Firewall, eines Spamfilters oder eines Virenscanners, bereits ausreichend sei – die Kommunikation per E-Mail wird davon aber nicht geschützt. Hierzu sind spezielle Verfahren der E-Mail-Verschlüsselung notwendig, die es zu implementieren gilt.

Vor Auswahl der Lösung: Daten-Klassifizierung

Jeder Betrieb sollte vor der Auswahl einer konkreten Lösung zur Verschlüsselung der E-Mails den eigenen Datenbestand klassifizieren, um die Schutzstufen zu definieren: Die Einteilung kann dabei z.B. von der Klasse „A“, gewissermaßen die „Kronjuwelen“ (etwa Konstruktions- und Planungsdaten), über „B“ bis „C“ gehen – wobei unter „C“ die am wenigsten sicherheitskritischen Daten (wie der aktuelle Wochenspeiseplan der Kantine) zu finden wären.
Aus einer solchen „Daten-Inventur“ lassen sich Schutzziele definieren, Maßnahmen ableiten und evtl. mit externer Hilfe passende Dienstleistungen und Produkte im Kontext der Mailverschlüsselung auswählen. Diese sollten dann die sogenannte Transportverschlüsselung nach dem gängigen „Transport Layer Security“-Protokoll (TLS) ermöglichen sowie eine „Ende-zu-Ende“-Verschlüsselung, damit nur der Versender und der gewünschte Empfänger den Inhalt als Klartext lesen können. Wichtig zu wissen ist, dass bei der Inhaltsverschlüsselung die beauftragten E-Mail-Provider nicht mitlesen können und Cyber-Kriminellen der Missbrauch quasi unmöglich gemacht wird.

Weitere Informationen zum Thema:

datensicherheit.de, 30.05.2019
Schaden für Deutschland: Unverschlüsselt im Netz

datensicherheit.de, 22.05.2018
Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln