E-Mail-Verschlüsselung kann viel zu einer besseren IT-Security beitragen. Doch obwohl Verschlüsselung längst nicht mehr so komplex ist, wie häufig angenommen, nutzen nur wenige Unternehmen die Technologie. [...]
Jedes zweite Unternehmen in Deutschland und Österreich hatte bereits einen konkreten Spionageangriff auf ihre EDV-Systeme oder zumindest Verdachtsfälle zu beklagen. Dabei handelt es sich vor allem um Hackerangriffe sowie um abgefangene elektronische Kommunikation: In Deutschland stellten 41,1 Prozent, in Österreich 40,0 Prozent derartige Aktivitäten fest. Doch nur ein Bruchteil setzt auf Verschlüsselung.
Es waren unter anderem diese Zahlen aus der Studie „Industriespionage 2014 – Cybergeddon der Wirtschaft durch NSA & Co.?“, die die TeleTrusT-Arbeitsgruppe „Cloud Security“ zum Anlass nahm, einen Leitfaden zur E-Mail-Verschlüsselung zu veröffentlichen. Der mehr als 70 Seiten umfassende Leitfaden legt Funktionsweise, Relevanz und technischen Hintergrund der E-Mail-Verschlüsselung dar und gibt konkrete Handlungsempfehlungen.
„Da die Kommunikation per E-Mail in zahlreichen Organisationen und Unternehmen Kommunikationsmittel Nummer Eins ist, ist die Verschlüsselung von E-Mails einer der wesentlichen Schritte in der Kommunikationssicherheit“, sagt Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Der Anbieter von E-Mail-Zertifikaten ist als Mitglied der Arbeitsgruppe „Cloud Security“ an der Publikation beteiligt. „E-Mail-Verschlüsselung macht aus einer für alle lesbaren Postkarte einen versiegelten Brief, den nur der berechtigte Empfänger lesen kann“, betont Tulinska und sagt weiter: „E-Mail-Verschlüsselung ist wichtig, weil zum einen bestimmte Daten und Informationen schlichtweg geheim gehalten werden sollen. Zum anderen müssen Compliance-Richtlinien erfüllt werden. Mit der Datenschutz-Grundverordnung macht der Gesetzgeber auch konkrete Vorgaben zum Umgang mit personenbezogenen Daten.“
Unkomplizierte, praxisnahe Lösungen
So zeigt die neue TeleTrust Publikation unter anderem Technologien auf, die das Verschlüsseln von E-Mails ermöglichen. Vorgestellt werden praxisnahe Lösungen, etwa die Verschlüsselung direkt im Client des Anwenders sowie alternative Gateway-Lösungen. „In Zeiten von Schwachstellen wie Efail, Industriespionage und Hackerangriffen stellt die verschlüsselte Übertragung von E-Mails einen immens wichtigen Baustein zur IT-Sicherheit dar. Nur verschlüsselte Kommunikation kann als sicher und vertrauenswürdig angesehen werden“, betont Tulinska und ergänzt: „Da gängige E-Mail-Programme die Verschlüsselung unterstützen und mit Gateway-Lösungen der Aufwand nicht beim User, sondern in der IT-Abteilung liegt, gibt es auch keine Ausreden: E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.“
Bei der Verschlüsselung über den E-Mail-Client des Users können E-Mail-Zertifikate auf einem Token oder als Softkey vorhanden sein. So lässt sich die Verschlüsselung Ende-zu-Ende realisieren. Die E-Mails liegen auch auf dem Mailserver sowie im internen Unternehmensnetz immer verschlüsselt vor. Die E-Mail-Verschlüsselung über S/MIME wird von gängigen E-Mail-Programmen wie Outlook unterstützt, während für PGP in aller Regel zusätzliche Programme benötigt werden. Für Verschlüsselungs-Gateways wird hingegen zentral konfiguriert, welche E-Mails ausschließlich verschlüsselt übertragen werden. Entsprechende Prozesse innerhalb der IT-Administration nehmen die Komplexität der Verschlüsselung dem einzelnen User ab. Ein Gateway kann sicherstellen, dass bestimmte Kommunikation grundsätzlich verschlüsselt wird, außerdem lassen sich Mail-Inhalte vor dem Verschlüsseln und nach dem Entschlüsseln auf Malware oder kritische Inhalte prüfen.
„Welcher dieser Ansätze im rechtlichen, organisatorischen und technischen Kontext für welches Unternehmen geeignet ist, muss jede Organisation für sich entscheiden. Denkbar ist auch ein Mix: Bestimmte Mitarbeiter verschlüsseln am Client, die restliche Belegschaft nutzt die Verschlüsselungsfunktion des Gateways“, rät Patrycja Tulinska.
Be the first to comment