E-Mail: Einfallstor für Cyberkriminelle

Das Henne-Ei-Problem der Verschlüsselung

Von unserem Gastautor Szilveszter Szebeni, CISO von Tresorit

[datensicherheit.de, 06.04.2023] Eine forsa-Umfrage im Auftrag von Tresorit vom vergangenen Sommer kommt zu dem Ergebnis, dass ein knappes Viertel (23 Prozent) der befragten Unternehmen ab 50 Mitarbeitern in Deutschland ihre E-Mails ganz und weitere 60 Prozent teilweise verschlüsseln. Gleichzeitig gelingt es Cyberkriminellen weiterhin, sich über täuschend echt aussehende, aber unverschlüsselte E-Mails Zugang zu Unternehmensnetzen zu verschaffen. Im Folgenden wird der Frage nachgegangen, ob E-Mail-Verschlüsselung der Sicherheit zuträglich ist.

Im Rahmen der Umfrage wurden 100 Verantwortliche für IT-Sicherheit und Datenschutz sowie Geschäftsführer von Unternehmen ab 50 Mitarbeitern befragt. Neben dem hinsichtlich Datenschutz, Compliance und IT-Sicherheit erfreulichen Befund, dass mittlerweile über 80 Prozent der Unternehmen in Deutschland ihre E-Mail-Kommunikation zumindest teilweise verschlüsseln, berichtet mehr als die Hälfte der Befragten davon, dass sie einen Anstieg des Anteils verschlüsselter E-Mails in der Unternehmenskommunikation feststellen: Sieben Prozent sehen einen deutlichen Anstieg, knapp die Hälfte (48 Prozent) einen leichten.

Szilveszter Szebeni, CISO von Tresorit, Bild: Tresorit

Diese Umfrageergebnisse geben in der Tat Anlass zur Hoffnung, dass Cyberkriminelle immer weniger unverschlüsselte E-Mais als Einfallstor für ihre Angriffe nutzen können. Ob es sich dabei um gewöhnliche Spam-Nachrichten handelt, die sich an einen großen Empfängerkreis richten, oder um vermeintlich von Vorständen und Geschäftsleitungen (Stichwort „CEO Fraud“) stammende und gezielt an das Führungspersonal (Stichwort „Spear Phishing“) adressierte elektronische Nachrichten, spielt dabei eine untergeordnete Rolle. Das Ergebnis ist stets dasselbe: Datenspionage und -diebstahl oder das Einschleusen von Schadsoftware wie zum Beispiel Ransomware.

Leider jedoch scheint es vorerst bei der Hoffnung zu bleiben. So macht etwa die EU-Agentur für Cybersicherheit (ENISA) in ihrem aktuellen Lagebericht zu Cyberbedrohungen vom November 2022 Angriffe mit Ransomware als die aktuell größte Bedrohung aus, während das BSI in seinem Bericht „Ransomware“ zur Bedrohungslage 2022 banale Spam-E-Mails als Angriffstaktik identifiziert, die Cyberkriminelle weiterhin bevorzugen, weil sie damit erfolgreich sind.

Inhaltsverschlüsselung: Durchbruch steht aus

Der Trend zu Homeoffice und Neuordnung der Lieferketten hat zusammen mit einer verschärften Bedrohungslage zu einem größeren Sicherheitsbewusstsein in den Unternehmen geführt und den Anteil an verschlüsselter E-Mail-Kommunikation erhöht. Zwar wurde in der forsa-Befragung nicht zwischen Transport- und Inhaltsverschlüsselung unterschieden. Jedoch kommt in dem Bemühen, das bei Cyberkriminellen beliebte Einfallstor E-Mail-Kommunikation so weit wie möglich zu schließen, der Inhaltsverschlüsselung eine besondere Rolle zu: Verschlüsseln Versender ihre E-Mail-Nachrichten und deren Inhalte, ja sogar die Betreffzeilen in der E-Mail-Anwendung ihres Rechners, können Cyberkriminelle die Kommunikation nicht mehr mitlesen, selbst wenn sie die E-Mail-Server infiziert haben. Die Fälschungsversuche werden qualitativ schlechter und als solche leichter erkennbar, die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe sinkt.

Doch wie sehen das Entscheiderinnen und Entscheider in deutschen Unternehmen? Laut forsa-Umfrage sind rund 70 Prozent der Befragten der Meinung, dass E-Mail-Verschlüsselung dazu geeignet ist, Betrugsmaschen wie „CEO Fraud“ und „Spear Phishing“ zu vereiteln. Zwar wurde in der Studie nicht danach gefragt, ob E-Mail-Verschlüsselung auch dazu geeignet ist, Ransomware-Angriffe zu erschweren, aber da Cyberkriminelle sowohl bei den genannten Betrugsmaschen „CEO Fraud“ und „Spear Phishing“ als auch bei Ransomware-Attacken gefälschte E-Mail-Nachrichten als Angriffsmethode nutzen, erscheint das Studienergebnis durchaus auch auf Ransomware übertragbar – nicht zuletzt deshalb, weil laut ENISA-Bericht Ransomware-Angreifer neben eher gewöhnlichen Spam-Nachrichten auch auf ausgefeiltere Angriffstaktiken wie „Spear Phishing“ zurückgreifen.

Das Henne-Ei-Problem der E-Mail-Verschlüsselung

Das Haupthindernis, das der Verbreitung von Inhaltsverschlüsselung im E-Mail-Verkehr im Wege steht, ist ein klassisches Henne-Ei-Problem: Bei gängiger Ende-zu-Ende-Verschlüsselung müssen Sender und Empfänger dieselbe Lösung einsetzen, was in der Regel aber gerade nicht der Fall ist. Dass der im Grunde richtige Ansatz von De-Mail weitgehend aufgegeben und damit eine Chance auf die allgemeine Nutzung von E-Mail-Verschlüsselung in den Unternehmen und der Bevölkerung vertan wurde, lässt sich in erster Linie genau darauf zurückführen.

Im Umkehrschluss bedeutet das für eine ausreichend hohe Anwenderakzeptanz: Damit die Unternehmen entsprechende Angebote wahrnehmen und ihr Personal diese im Arbeitsalltag nutzt, müssen die verwendeten Lösungen auch dann funktionieren, wenn die Empfänger verschlüsselter Nachrichten nicht dieselbe Verschlüsselungslösung einsetzen wie die Versender. Ebenso wichtig ist, dass die Empfänger auf verschlüsselte Nachrichten mit verschlüsselten Antworten reagieren können.

Verschlüsselung braucht Vertrauen und Bedienkomfort

Zwar spricht gerade letzter Punkt für ein externes Angebot. Doch viele Unternehmen sind weiterhin skeptisch. Laut forsa-Studie begründet rund die Hälfte der Unternehmen, die bisher keinen externen Verschlüsselungsdienst nutzen oder wollen, dies unter anderem damit, dass Empfänger den gleichen Service nutzen müssten beziehungsweise dass der externe Anbieter auf die verschlüsselten Mails zugreifen könne. Und denjenigen Unternehmen, die bereits eine externe Verschlüsselungslösung nutzen oder dies planen, ist es fast ausnahmslos wichtig, dass sich der Service nahtlos in die eigene E-Mail-Umgebung einbinden beziehungsweise auch ohne vorherige Schulung einfach nutzen lässt. Darüber hinaus ist die Verfügbarkeit einer echten Ende-zu-Ende-Verschlüsselung für rund drei Viertel dieser Unternehmen ein wichtiges Entscheidungskriterium.

Vertrauen, Einfachheit und Integration sind also der Schlüssel für die erforderliche User-Akzeptanz und damit für eine flächendeckende inhaltsverschlüsselte E-Mail-Kommunikation im Geschäftsverkehr. Das sind sicherlich hohe Anforderungen an eine entsprechende Verschlüsselungslösung. Nur wenn sie erfüllt sind, lässt sich jedoch das Henne-Ei-Problem lösen und gleichzeitig für den notwendigen Integrationsgrad und damit Bedienkomfort sorgen.

Der Aufwand, geeignete Angebote im Markt zu evaluieren und zu abonnieren, lohnt sich für Unternehmen in jedem Fall. Schließlich verriegelt eine von Client zu Client verschlüsselte E-Mail-Kommunikation das derzeit am meisten missbrauchte Einfallstor für Cyberangriffe so gut wie keine andere Technologie.

Weitere Informationen zum Thema:

datensicherheit.de, 09.06.2022
E-Mails: Sicherheit funktioniert nur flächendeckend

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht bei den Standards