Die 11 häufigsten Irrtümer über E-Mail-Verschlüsselung

Zu teuer und zu kompliziert – das denken viele Unternehmen über E-Mail-Verschlüsselung. Aber ist das wirklich so? Hier kommen die häufigsten Irrtümer. [...]

E-Mail-Verschlüsselung ist noch nicht in allen Unternehmen angekommen (c) pixabay.com

Fast 28 Prozent der kleinen und mittelständischen Unternehmen in Deutschland setzen noch keine E-Mail-Verschlüsselung ein. Das ergab eine Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie. Als Gründe geben die Befragten unter anderem an, dass ihre Kommunikationspartner nicht mit verschlüsselten Nachrichten umgehen könnten und Mitarbeiter zu wenig technisch versiert seien. Auch Schwierigkeiten bei der Verwaltung von Zertifikaten sind häufig ein Hinderungsgrund.

Solche Bedenken sind berechtigt, lassen sich mit der richtigen Technologie aber leicht aus dem Weg räumen. Hier kommen die elf verbreitetsten Irrtümer über die Verschlüsselung von – und wie sie sich widerlegen lassen.

1. Ich brauche keine E-Mail-Verschlüsselung

Wirklich nicht? Wer Nachrichten mit personenbezogenen Daten verschickt, muss diese verschlüsseln. Das war bereits laut Bundesdatenschutzgesetz vorgeschrieben. Mit der DSGVO sind die Vorschriften noch strenger geworden. Verstöße können jetzt hohe Strafzahlungen nach sich ziehen. Außerdem müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden und sogar die betroffenen Personen verständigen, falls ein erhöhtes Risiko besteht. Wer E-Mail-Verschlüsselung einsetzt, ist hingegen von der Benachrichtigungspflicht der betroffenen Personen befreit.

Wer Nachrichten mit personenbezogenen Daten verschickt, muss diese verschlüsseln (c) totemo

2. Das kann ich mir nicht leisten

Die Frage lautet eher: Können Sie es sich leisten, auf Verschlüsselung zu verzichten? Ein Verstoß gegen die DSGVO kann mit Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem, was höher ist. Dazu kommt der Schaden, der durch den Imageverlust in Folge einer Datenschutzverletzung entsteht. Eine gute E-Mail-Verschlüsselungslösung ist sicher preiswerter.

3. E-Mail-Verschlüsselung ist viel zu kompliziert

Das stimmt, wenn man alles selber machen möchte. Denn mit OpenPGP und S/MIME gibt es verschiedene Verschlüsselungsstandards, die untereinander nicht kompatibel sind. Möglicherweise muss man ein Plug-in im E-Mail Client installieren. Außerdem ist das Schlüsselmanagement komplex. Es gibt heute jedoch Lösungen, bei denen sich der Anwender selbst um nichts kümmern muss. Solche Verschlüsselungs-Gateways lassen sich in der Regel einfach implementieren und sind auch in der Cloud verfügbar.

Wer E-Mails verschlüsseln will, muss nicht alles selbst machen (c) totemo

4. Das kann ich auch alleine machen

Ja, aber das ist sehr aufwändig. Dazu kommt, dass der Anwender wissen muss, was er tut. Wenn er Fehler macht, ist die Kommunikation nicht mehr geschützt. Deshalb empfiehlt es sich, ab einer bestimmten Nutzerzahl oder bei weniger technikaffinen Anwendern eine Lösung einzusetzen, die so viel wie möglich automatisch im Hintergrund erledigt.

5. Ich muss meine Kommunikationspartner von „meiner“ Lösung überzeugen

Das ist nicht nötig. Ein entsprechendes Verschlüsselungs-Gateway erkennt automatisch, welche Technologie ein Kommunikationspartner nutzt. Jeder kann also den Standard einsetzen, den er möchte. Voraussetzung ist allerdings, dass keine proprietäre Technologie verwendet wird. Zudem sollte ein Gateway genutzt werden, das die gängigen Verschlüsselungsmethoden unterstützt.

6. Das klappt nicht, weil meine Kommunikationspartner keine Ahnung von Technik haben

Tatsächlich ist E-Mail-Verschlüsselung bei Privatpersonen kaum verbreitet und wird meist als zu kompliziert empfunden. Das zeigt eine Studie von GMX und Web.de. Wer viel mit Personen kommuniziert, die keine Verschlüsselung einsetzen, kann aber alternative Lösungen anbieten. Eine Möglichkeit ist zum Beispiel ein sicheres Webportal, in dem der Empfänger seine verschlüsselte Nachricht abholen kann.

7. Ich nutze SSL/TSL – das reicht

TLS ist lediglich eine Transportverschlüsselung. Die Technologie baut einen Tunnel zwischen zwei Rechnern auf, durch den die E-Mail geschickt wird. Beim absendenden und empfangenden Rechner liegt die Nachricht jedoch im Klartext vor und kann mitgelesen, manipuliert oder kopiert werden. Außerdem wird die E-Mail auf ihrem Weg durchs Internet von Computer zu Computer weitergeleitet, bevor sie beim Empfänger ankommt.

Der Absender kann nicht kontrollieren, ob jeder der Rechner tatsächlich wieder einen neuen, sicheren Tunnel aufbaut. Zusätzlich zur Transportverschlüsselung sollten Sie daher Inhaltsverschlüsselung mit OpenPGP oder S/MIME einsetzen. Dabei wird der Inhalt der Nachricht verschlüsselt – bis auf Metadaten wie Absender, Empfänger und Versanddatum. Zusammen sorgen Inhaltsverschlüsselung und Transportverschlüsselung für ein hohes Schutzniveau.

8. Mein Cloud-Anbieter verschlüsselt schon

Vertrauen Sie Ihrem Cloud-Anbieter grenzenlos? Wenn er sowohl das E-Mail-Management als auch die E-Mail-Verschlüsselung übernimmt, besitzt er auch Ihre Schlüssel und kann die Nachrichten lesen. Es ist ein bisschen so, wie jemandem eine verschlossene Geldkassette zur Aufbewahrung zu geben und den Schlüssel mit Klebestreifen darunter zu befestigen.

Ihr Cloud-Anbieter hat höchstwahrscheinlich kein Interesse daran, Kundeninformationen zu entschlüsseln und zu nutzen. Ist der Anbieter jedoch ein amerikanisches Unternehmen, fällt er allerdings unter den CLOUD-Act von 2018. Dabei handelt es sich um eine Verschärfung des USA PATRIOT Act von 2001. Vormals unklare Sachverhalte wurden konkretisiert und der CLOUD-Act verschafft US-Behörden jetzt auch Zugriff auf Daten, die auf Servern von US-Unternehmen im Ausland gespeichert sind, sogar rückwirkend.

Zudem sorgt die Tatsache, dass der EuGH das Privacy-Shield-Abkommen gerade für ungültig erklärt hat, bei europäischen Unternehmen für zusätzliche Bedenken. Entweder sollten Sie also E-Mail-Management und E-Mail-Verschlüsselung trennen. Oder Sie setzen eine Lösung ein, die es Ihnen ermöglicht, Ihre Schlüssel bei sich zu speichern.

9. Meine Anti-Virus- und DLP-Lösung funktioniert dann nicht mehr

Bei Ende-zu-Ende-Verschlüsselung ist das ein Problem, denn dann können Virenscanner und Data-Loss-Prevention-Lösung (DLP) die Nachrichten nicht einsehen und folglich auch nicht untersuchen. Es gibt jedoch auch einen hybriden Ansatz: Zwischen Absender und Gateway wird Ende-zu-Ende verschlüsselt. Am Gateway wird die Nachricht im Klartext verfügbar gemacht, auf Schadsoftware und Inhalte überprüft und anschließend wieder verschlüsselt in die Mailbox des Empfängers transportiert.

10. Ich muss Plug-ins auf allen Clients installieren

Das ist nicht nötig. Alle heute am Markt verfügbaren E-Mail-Clients haben bereits E-Mail-Verschlüsselung basierend auf S/MIME integriert. Sie lässt sich per Knopfdruck auslösen. Um das Schlüssel-Management muss sich der Anwender jedoch selbst kümmern. Nicht so, wenn er ein Verschlüsselungs-Gateway einsetzt, das diese Aufgabe übernimmt. Dann ist lediglich ein Klick auf den Verschlüsselungs-Button im E-Mail-Programm nötig, um eine sichere Nachricht zu verschicken.

Es ist nicht notwendig, auf allen Clients Plug-ins zu installieren (c) totemo

11. Meine Archivierungslösung funktioniert dann nicht mehr richtig

Wenn ein Archivsystem Nachrichten nicht im Klartext sieht, kann es sie nicht indizieren. Das macht es schwer, E-Mails im Archiv zu finden. Dieses Problem lässt sich jedoch vermeiden, wenn ein Proxy zwischen die Archivierungslösung und das E-Mail-System geschaltet wird. E-Mails können dann verschlüsselt archiviert werden, sind gleichzeitig aber durchsuchbar, da der Inhalt indexiert wird.

Fazit

Tatsächlich gibt es heute keinen Grund mehr, auf E-Mail-Verschlüsselung zu verzichten. Denn niemand möchte riskieren, dass E-Mails im Klartext einfach mitgelesen werden können, wenn sie in die falschen Hände geraten sollten. Im Hinblick auf personenbezogene Daten ist sichere Kommunikation ohnehin ein Muss. Entsprechende Verschlüsselungs-Systeme, die auf Standards setzten, Schnittstellen zu Archiv- und Sicherheitslösungen bieten und anwenderfreundlich sind, können alle Bedenken aus dem Weg räumen.

*Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*