Aktuelles, Branche, Produkte - geschrieben von ct am Sonntag, Juni 2, 2019 17:02 - noch keine Kommentare
E-Mail-Verschlüsselung: Doppelt schützt besser
Versand sensibler Daten erfolgt bei vielen Betrieben noch immer so offen, als würden Ansichts-Postkarten verschickt werden
[datensicherheit.de, 02.06.2019] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) veranschaulicht das Versenden von E-Mails mit einer Analogiebetrachtung des Verschickens von Postkarten über die Briefpost: Diese simple Beispiel zeigt sehr deutlich auf, warum es zwei wesentliche Sicherheitsaspekte für des Versenden und Empfangen von Nachrichten auf diesen Wegen gibt. So müsste einerseits der Transportweg gesichert werden – aber eine Postkarte geht durch viele Hände, angefangen von der Entleerung eines Postkastens, über die Verteilungsstationen, diverse Fahrzeuge, bis hin zum Briefkasten oder sogar über die Hauspoststelle bis hin zum Postfach des Empfängers. Diese Zwischenstationen – ohne Anspruch auf Vollständigkeit – führen andererseits vor Augen, dass auch der Inhalt geschützt werden müsste, um halt nur für den Empfänger selbst lesbar zu sein. Indes ist die Unbekümmertheit des Verschickens von Postkarten auch beim heute verbreiteten und aus dem Alltag nicht mehr wegzudenkenden E-Mail-Versand zu beobachten. Ein Jahr nach dem endgültigen Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) gibt es zudem einen weiteren Grund, über E-Mail-Verschlüsselung intensiv nachzudenken und dann zielgerichtet und zweckdienlich zu handeln.
E-Mails ohne Verschlüsselung: Wie Postkarten auszulesen und zu verfälschen
Noch vor dem Siegeszug der E-Mail im Betriebsalltag von Unternehmen, Behörden und Verbänden, bis ca. Mitte der 1990er-Jahre, wäre wohl kaum ein ordentlich handelnder Mitarbeiter auf die Idee gekommen, vertrauliche Informationen auf Postkarten zu schreiben und zu verschicken. Selbstverständlich wurden verschlossene Briefe genutzt – bei besonderer Vertraulichkeit ggf. sogar in versiegelten Umschlägen mit speziellen Kurieren. Mit dem Einzug der elektronischen Kommunikation in die Büros, zuerst das Telefax und dann die E-Mail, machte sich zuweilen selbst bei renommierten Großkonzernen eine gefährliche Fahrlässigkeit breit.
So wundert es kaum, dass nach Erkenntnissen des TeleTrusT nur rund 60 Prozent der E-Mails transportverschlüsselt übertragen werden und der Anteil der E-Mails mit verschlüsseltem Inhalt kaum nachweisbar sein soll. Der TeleTrusT warnt sehr deutlich, dass E-Mails ohne Verschlüsselung eben wie Postkarten auch für Unbefugte lesbar sind und zudem auf dem Übertragungsweg manipuliert oder gar gelöscht werden könnten.
Bedrohungsszenarien: Ausforschung, Missbrauch und Malware-Attacken
Der unverschlüsselte E-Mail-Versand, der somit heute vielfach noch den Arbeitsalltag prägt, ist ein willkommener Angriffsvektor für Cyber-Kriminelle: Das Routing der E-Mails erfolgt zwischen unterschiedlichen Servern, die oft in verschiedenen Ländern stationiert sind. Hier droht also die berühmt-berüchtigte „Man in the middle“-Attacke. Hacker könnte unerkannt Zugriff auf Daten erlangen und diese zum Schaden des Senders, des Empfängers bzw. sogar zu Lasten Dritter missbrauchen.
IT-Sicherheitsexperten schätzen, dass heute mehr als 80 Prozent aller Angriffe per E-Mail erfolgen, d.h. dass auch diese Bedrohung eine zusätzliche Motivation sein sollte, die elektronische Kommunikation alltagstauglich zu verschlüsseln. Im Ernstfall drohen sonst empfindliche finanzielle Schäden, schwer behebbare Reputationseinbußen und auch lästige juristische Folgen.
E-Mail-Verschlüsselung: Spezielle Verfahren zu implementieren
Oft ist bei kleinen und mittleren Unternehmen (KMU) die Ausrede zu hören, dass bei ihnen ja nichts zu holen sei – solche Ausflüchte sind schlicht töricht und nicht zu entschuldigen. Jeder Betrieb ist aus moralischen wie rechtlichen Gründen zur Geheimhaltung verpflichtet und die Entscheiderebene hat dessen Vermögen sowie die Integrität und der mit ihm in Kontakt stehenden Personen zu wahren. Außerdem: Bei wem nichts zu holen ist, wäre quasi wertlos und damit entbehrlich…
Mittelständler meinen nicht selten, dass der von ihnen bereits umgesetzte Grundschutz, zumeist in Form einer Firewall, eines Spamfilters oder eines Virenscanners, bereits ausreichend sei – die Kommunikation per E-Mail wird davon aber nicht geschützt. Hierzu sind spezielle Verfahren der E-Mail-Verschlüsselung notwendig, die es zu implementieren gilt.
Vor Auswahl der Lösung: Daten-Klassifizierung
Jeder Betrieb sollte vor der Auswahl einer konkreten Lösung zur Verschlüsselung der E-Mails den eigenen Datenbestand klassifizieren, um die Schutzstufen zu definieren: Die Einteilung kann dabei z.B. von der Klasse „A“, gewissermaßen die „Kronjuwelen“ (etwa Konstruktions- und Planungsdaten), über „B“ bis „C“ gehen – wobei unter „C“ die am wenigsten sicherheitskritischen Daten (wie der aktuelle Wochenspeiseplan der Kantine) zu finden wären.
Aus einer solchen „Daten-Inventur“ lassen sich Schutzziele definieren, Maßnahmen ableiten und evtl. mit externer Hilfe passende Dienstleistungen und Produkte im Kontext der Mailverschlüsselung auswählen. Diese sollten dann die sogenannte Transportverschlüsselung nach dem gängigen „Transport Layer Security“-Protokoll (TLS) ermöglichen sowie eine „Ende-zu-Ende“-Verschlüsselung, damit nur der Versender und der gewünschte Empfänger den Inhalt als Klartext lesen können. Wichtig zu wissen ist, dass bei der Inhaltsverschlüsselung die beauftragten E-Mail-Provider nicht mitlesen können und Cyber-Kriminellen der Missbrauch quasi unmöglich gemacht wird.
Weitere Informationen zum Thema:
datensicherheit.de, 30.05.2019
Schaden für Deutschland: Unverschlüsselt im Netz
datensicherheit.de, 22.05.2018
Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren