5 Tipps für die Auswahl einer Verschlüsselungs-Lösung

Selbst vertrauliche Geschäftsdokumente werden heute oft noch verschlüsselt übertragen, als normaler Anhang an eine E-Mail. Damit können sie zur leichten Beute werden. Wer eine wirksame Verschlüsselungslösung einführen will, müsse allerdings einige Eckpunkte beachten, rät das deutsche IT-Unternehmen QSC. [...]

Von unverschlüsseltem geschäftlichen E-Mailverkehr gehen große Gefahren aus, denn auf dem Weg vom Sender zum Empfänger kann jeder ohne großen Aufwand die Informationen lesen. Wollen Unternehmen das verhindern, müssen sie ihre vertraulichen E-Mails wirksam schützen. Die FTAPI Software GmbH, ein Unternehmen der QSC AG, nennt fünf wichtige Aspekte bei der Auswahl einer effizienten Lösung zur Verschlüsselung von E-Mails.

1. Sensible Daten, die ein Unternehmen verlassen, müssen verschlüsselt werden.
Unternehmen haben viel Geld in Spamfilter, Virenschutz und Firewalls investiert und damit ihre IT-Sicherheit verbessert. Der E-Mailversand und die damit verbundenen Risiken werden aber weitgehend ignoriert. Gelangen vertrauliche Daten – und das betrifft rund zwei Drittel aller geschäftlichen Informationen – durch Diebstahl in die falschen Hände, entsteht daraus schnell ein hoher materieller und oft auch ein massiver Imageschaden. Eine wirksame, durchgängige Datenverschlüsselung legt die Hürden höher und macht es Angreifern so schwer wie möglich.

2. Eine reine Transportverschlüsselung reicht nicht aus.
Wenn von einer Transportverschlüsselung per HTTPS die Rede ist, sollten Unternehmen hellhörig werden. Ein Schutz besteht dann nur auf dem Weg vom Versender bis zu den Servern eines E-Mail-Providers. Dort liegen die Daten zumindest kurzzeitig im Klartext vor und es besteht die Gefahr des Diebstahls oder der Manipulation. Für den Austausch vertraulicher Daten ist die Transportverschlüsselung nicht ausreichend. Sie muss um zusätzliche Verfahren ergänzt werden.

3. Eine durchgehende Ende-zu-Ende-Verschlüsselung ist unverzichtbar.
Eine echte Ende-zu-Ende-Verschlüsselung liegt nur dann vor, wenn der Versender die vertraulichen Daten auf seinem Endgerät verschlüsselt, sie auf dem gesamten Weg unverändert bleiben und erst der Empfänger sie mit seinem Passwort wieder in Klartext umwandelt. Ein verschlüsselter E-Mail-Transfer in Kombination mit einem Virenscanner erfüllt diese Anforderung nicht, denn dazu müssen die Daten auf dem Server des E-Mail-Providers entschlüsselt werden und es entsteht eine gefährliche Sicherheitslücke.

4. Schutz der Daten nach dem Public-Private-Key-Prinzip sicherstellen.
Das Prinzip von öffentlichen und privaten Schlüsseln bietet eine wirksame Methode für den Schutz der Daten. Vertrauliche Daten werden mit Public Keys verschlüsselt, die der Anbieter einer Verschlüsselungslösung an einem zentralen Ort vorhält. Der Versender verschlüsselt eine E-Mail für einen Geschäftspartner mit einem Public Key, der die Nachricht mit seinem Private Key entschlüsselt. Auch die Private Keys sind verschlüsselt gespeichert und über ein Passwort, das nur der jeweilige Empfänger der E-Mail kennt, zugänglich.

5. Verschlüsselungslösung sollte auf „Zero Knowledge“ basieren.
Bei der Ende-zu-Ende-Verschlüsselung muss das „Zero-Knowledge-Prinzip“ zum Einsatz kommen. Es gilt unter Sicherheitsexperten als ein sehr effizientes Mittel gegen Cyberkriminalität. In diesem Fall haben selbst der Anbieter einer Verschlüsselungslösung oder eines Cloud-Storage-Services keinen Zugriff auf das Schlüsselmanagement. Sie können nicht an den zur Entschlüsselung benötigten Key gelangen, um damit Einblick in die Kundendaten zu erhalten.

„Unternehmen, die vertrauliche Daten sicher und nachvollziehbar übertragen wollen, kommen an einer Ende-zu-Ende-Verschlüsselung nicht vorbei“, sagt Stephan Niedermeier, Gründer und Geschäftsführer der FTAPI Software GmbH. „Über Erfolg und  Akzeptanz entscheidet nicht zuletzt die einfache Bedienung, denn im Alltag entstehen die meisten Sicherheitsprobleme deshalb, weil sich Mitarbeiter überfordert fühlen, eine Lösung als zu kompliziert einstufen und sie daher vieles tun, um die Sicherheitsvorschriften zu umgehen.“ (pi)