Nahezu jedes Unternehmen ist auf einen sicheren E-Mail-Verkehr angewiesen. Nicht selten werden sogar vertrauliche Firmen- und Kundendaten per E-Mail versandt.
Die E-Mail-Verschlüsselung ist hierbei die einzige Möglichkeit, sensible Daten via E-Mail sicher zu verschicken. Doch wie sieht eine optimale E-Mail-Verschlüsselung aus?
Die sichere E-Mail-Übertragung
In Deutschland wurden im Jahr 2017 im täglichen Durchschnitt circa zwei Milliarden E-Mails verschickt – und es werden kontinuierlich mehr. Auch die mit dem E-Mail-Verkehr verbundenen Sicherheitsrisiken nehmen stetig zu und werden dabei immer gravierender. 80 Prozent der im Rahmen einer Umfrage von Security-Anbieter Barracuda zur E-Mail-Sicherheit befragten europäischen Unternehmen wurden so in 2017 Opfer von Angriffen auf E-Mails.
Drei grundlegende Regeln für eine optimale E-Mail-Sicherheit sind der Spamschutz, die Passwortsicherheit und die E-Mail-Verschlüsselung. Gerade die standardisierte Verschlüsselung von E-Mails gestaltet sich für viele Unternehmen aber äußerst schwierig. Erfahren Sie in diesem Beitrag, wie Sie Ihre E-Mail-Verschlüsselung einfach, effektiv und sicher umsetzen.
Empfohlen wird als Grundlage: Der Schutz vor Spam-Mails
So funktioniert die E-Mail-Übertragung
Immer wieder findet man im Internet den Vergleich von unverschlüsselten E-Mails und Postkarten. Natürlich ist dieser Vergleich lediglich analogischer Natur. Dennoch ist etwas Wahres dran: Man wirft für gewöhnlich Postkarten in Postkästen. Postboten holen sie ab und stellen sie über verschiedene Stationen hinweg zu. Zumindest für alle an der Zustellung beteiligten Personen sind Postkarten lesbar.
Ähnlich verhält es sich mit unverschlüsselten E-Mails. Im Internet werden E-Mails standardisiert unverschlüsselt übertragen. Ihre E-Mail wird beim Absenden an den Mail User Agent übermittelt, der sie an den Mailserver Ihres E-Mail-Anbieters bzw. an seinen Mail Transfer Agent weiterreicht. Dieser leitet die E-Mail über verschiedene Serversysteme an den Mailserver Ihres Empfängers weiter. Der Mail User Agent Ihres Empfängers überprüft die E-Mail und stellt sie anschließend zu.
Gefahren beim Verschicken von unverschlüsselten E-Mails
Zwischen dem Absenden und dem Empfangen wird Ihre E-Mail also über eine ganze Reihe verschiedener Mailserver und andere Netzwerksysteme gereicht. Jeder kann sie, wenn sie unverschlüsselt ist, prinzipiell abfangen, zwischenspeichern oder mitlesen.
Das „Durchstöbern“ von E-Mails erfolgt heutzutage in erschreckend großem Rahmen; sei es in Form von Datendiebstahl und -missbrauch oder Wirtschaftsspionage. Hierbei sind unter anderem Computerprogramme im Einsatz, die E-Mails nach bestimmten Schlagwörtern wie „IBAN“ durchforsten. Welches Ausmaß und welche Professionalität derartige Spionage annehmen kann, wurde spätestens mit der NSA-Affäre enthüllt.
Die einzige Möglichkeit, zu gewährleisten, dass Ihre E-Mails auch nur von den gewünschten Empfängern gelesen werden, ist eine ganzheitliche E-Mail-Sicherheit, dessen Herzstück die E-Mail-Verschlüsselung ist.
Verschlüsseln Sie Ihre E-Mails
Die Dienstleister des IT-SERVICE.NETWORK sind für Sie da, wenn es um die Sicherheit Ihrer E-Mails geht. Verschicken Sie sensible Daten, ohne dass diese mitgelesen oder abgefangen werden!
Jetzt Kontakt aufnehmen!Unterschiedliche Arten der E-Mail-Verschlüsselung
Die E-Mail-Kommunikation lässt sich durch die E-Mail-Verschlüsselung vor unbefugten Zugriffen schützen. Es gibt verschiedene Arten der E-Mail-Verschlüsselung. Grob kann hierbei zwischen der reinen Transportverschlüsselung (Punkt-zu-Punkt-Verschlüsselung) und der Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) unterschieden werden. Im Regelfall kommen bei der Verschlüsselung von E-Mails verschiedene asymmetrische Verschlüsselungsverfahren zum Einsatz.
Was ist E-Mail-Verschlüsselung? – Eine Antwort bekommen Sie in unserem IT-Lexikon.
Die Transportverschlüsselung
Wenn E-Mails über einen Webclient abgerufen werden, darf dies nur über eine TLS/SSL-verschlüsselte HTTPS-Verbindung erfolgen. Bei der TLS/SSL-Verschlüsselung handelt es sich um eine Transportverschlüsselung zwischen dem E-Mail-Server des Senders und dem des Empfängers. Auf diese Weise kann die E-Mail auf dem Weg zwar nicht mitgelesen werden, wird aber unverschlüsselt auf den Servern zwischengespeichert.
Beim zusätzlichen Einsatz des STARTTLS-Verfahrens ist darüber hinaus die Anlieferung der E-Mail an den Absender-Server und das Abholen der E-Mail vom Empfänger-Server verschlüsselt.
So nutzen Sie die Transportverschlüsselung
Wenn Sie Ihren Posteingang im Internetbrowser öffnen, sollten Sie stets eine verschlüsselte TLS/SSL-Verbindung nutzen. Ob dies der Fall ist, erkennen Sie je nach Browser zumeist am Kürzel „HTTPS“ sowie an einem kleinen Schloss-Icon in der Adresszeile.
Nur, wenn Sie Ihren E-Mail-Dienst über eine TLS/SSL-Verbindung erreichen, können Sie die Transportverschlüsselung nutzen. Diese ist bei den meisten E-Mail-Providern aktivierbar. Sie sollten für den Versand Ihrer E-Mails daher einen passenden E-Mail-Provider auswählen, der auch einen verschlüsselten Transport ermöglicht.
Allerdings führen einige Provider die Transportverschlüsselung mittlerweile auch standardisiert durch. Zum Teil ist die Transportverschlüsselung auch regulär voreingestellt aktiviert, so zum Beispiel bei allen De-Mails. Die automatische Verschlüsselung funktioniert jedoch nur zwischen gleichartigen E-Mail-Adressen, in diesem Fall nur bei der Kommunikation von De-Mails untereinander. Nur wenn beide Kommunikationspartner eine TLS/SSL-Verbindung zum Server und die Transportverschlüsselung aktiviert haben, wird sie auch tatsächlich genutzt.
Vorteile der Transportverschlüsselung
Einer der Hauptvorteile der Punkt-zu-Punkt-Verschlüsselung ist, dass sie auch Metadaten wie die E-Mail-Adresse von Absender und Empfänger oder den Betreff verschlüsselt, was bei der Inhaltsverschlüsselung nicht möglich ist.
Angreifer können Metadaten als Informationen missbrauchen. So kann hiermit herausgefunden werden, wer mit wem wie kommuniziert. Vor allem in Betreffzeilen werden häufig die wichtigsten Informationen genannt. In den Betreffzeilen sind so nicht selten Personalinformationen oder geschäftliche Informationen wie Unternehmensstrategien offengelegt. Gerade für Spear-Phishing-Attacken sind solche Informationen enorm wichtig. Auch werden die E-Mail-Adressen der Kontaktteilnehmer nur durch die Transportverschlüsselung verborgen.
Die Ende-zu-Ende-Verschlüsselung
Mit der Ende-zu-Ende-Verschlüsselung wird im Gegensatz zur Punkt-zu-Punkt-Verschlüsselung der Inhalt von E-Mails verschlüsselt. Daher wird sie auch als Inhaltsverschlüsselung bezeichnet. Inhalte von E-Mails sind vor allem beim Transport vor unbeteiligten Dritten geschützt.
Der Absender verschlüsselt die E-Mail mit der Ende-zu-Ende-Verschlüsselung noch vor dem Absenden und der Empfänger entschlüsselt sie erst wieder auf dem eigenen System. Selbst auf den Servern, auf denen die E-Mail zwischengespeichert wird, ist sie vor unbefugtem Zugriff sicher. Weder Ihr Provider noch der Ihres Kontaktes kann die E-Mail mitlesen.
Nahezu alle herkömmlichen E-Mail-Programme bieten die Möglichkeit, E-Mails über die Ende-zu-Ende-Verschlüsselung abzusichern. Mit der Inhaltsverschlüsselung wird der E-Mail-Inhalt in scheinbar zusammenhangslose Abfolgen von Zeichen codiert und erst auf dem System des Empfängers wieder decodiert.
Verschlüsselungsverfahren/-standards
Für eine sichere und dennoch weiterhin einfache E-Mail-Kommunikation gibt es verschiedene Verschlüsselungsverfahren bzw. Verschlüsselungsstandards. Die gängigsten Standards zur Ende-zu-Ende-Verschlüsselung sind S/MIME und PGP:
- S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein Verschlüsselungsverfahren, das auf Zertifikate angewiesen ist. Besitzt man ein solches von einer Zertifizierungsstelle ausgestelltes Zertifikat, kann man mit allen Kommunikationspartnern, die ebenfalls S/MIME nutzen, verschlüsselte E-Mails austauschen.
- PGP (Pretty Good Privacy) ist ein Standard zum Verschlüsseln von E-Mails. Hierzu zählen Programme, die die Möglichkeit bieten, E-Mails mithilfe von Schlüsselpaaren zu verschlüsseln. Jeder Kommunikationspartner erzeugt bei PGP selbstständig ein eigenes Schlüsselpaar. Bei PGP handelt es sich wie bei den meisten Inhaltsverschlüsselungen um ein asymmetrisches Public-Key-Verfahren, das erfordert, dass sowohl der Sender als auch der Empfänger an der Verschlüsselung teilhat. Asymmetrisch sind Public-Key-Verfahren daher, weil sie unterschiedliche Schlüssel für das Ver- und Entschlüsseln nutzen.
Bei S/MIME und PGP handelt es sich um hybride Kryptosysteme. Die beiden Verschlüsselungsverfahren sind übrigens nicht kompatibel. Beide Kommunikationspartner müssen denselben Standard nutzen, damit Ihr E-Mail-Verkehr verschlüsselt ist.
Das Public-Key-Verfahren
Um Ihre E-Mails per asymmetrischem Verschlüsselungsverfahren absichern zu können, benötigen Sie einen privaten Schlüssel sowie die öffentlichen Schlüssel Ihrer jeweiligen Kommunikationspartner. Der öffentliche Schlüssel (Public Key) verschlüsselt die eigenen E-Mails; der private Schlüssel (private Key) entschlüsselt die erhaltenen E-Mails. Der private Schlüssel ist daher geheim, der öffentliche Schlüssel muss hingegen den Kommunikationsteilnehmern mitgeteilt werden.
Man sollte mit seinem Kommunikationspartner im Vorfeld über die Verschlüsselungsform Absprache halten. Der Schlüssel kann jedoch auch zugeschickt oder in Ihrer E-Mail-Signatur verlinkt sein. Ebenso kann man den öffentlichen Schlüssel auch direkt an seine potentiellen Kommunikationspartner verteilen. Beim Public-Key-Verfahren ist stets zu bedenken: Beim Verlust vom privaten Schlüssel werden alle E-Mails, da sie weiterhin verschlüsselt bleiben, unwiderruflich unbrauchbar.
Softwarelösungen
Zur Koordination von Ende-zu-Ende-Verschlüsselungen benötigen Sie eine Zusatzsoftware für Ihr E-Mail-Programm. Mit ihr werden die öffentlichen und der private Schlüssel angelegt. Die entsprechende Software dient oftmals auch dazu, die öffentlichen Schlüssel noch vor dem ersten E-Mail-Kontakt auszutauschen.
Um eine entsprechende Softwarelösung verwenden zu können, muss eine entsprechende Erweiterung des E-Mail-Porgramms installiert werden. Hierbei handelt es sich zumeist um ein Browser-Plugin für den Mail-Client. Doch nicht jede Verschlüsselung ist mit jedem E-Mail-Anbieter kompatibel. Zum Beispiel sind das Programm „Pretty Good Privacy“, nach dem der entsprechende Verschlüsselungsstandard benannt ist, und sein kostenfreies Pendant „Gnu Privacy Guard“ nicht für Webmail-Nutzer implementierbar.
Sie sollten sich darüber informieren, welches Verschlüsselungsprogramm mit welchem Provider kompatibel ist bzw. wie Sie sich mithilfe Ihres E-Mail-Anbieters einen öffentlichen und einen privaten Schlüssel zulegen können, um die Ende-zu-Ende-Verschlüsselung zu nutzen.
E-Mail-Verschlüsselungen und Datenschutz
Die Verschlüsselung von E-Mails ist nicht nur für die Sicherheit Ihrer Daten wichtig. Bereits nach §9 des Bundesdatenschutzgesetzes waren Unternehmen dazu verpflichtet, zumindest E-Mails, die sensible Daten enthalten, zu verschlüsseln.
Mit der DSGVO wird nun aber vermehrt gegen Verstöße vorgegangen. Mitarbeiter müssen natürlich nicht jede E-Mail, die sie verschicken auch verschlüsseln. Jedoch sollten sie zumindest die verschlüsseln, in denen Personaldaten und Geschäftsgeheimnisse bekanntgegeben werden. Nach Artikel 9, Absatz 1 DSGVO gehören hierzu sämtliche personenbezogene Daten wie etwa Informationen über die Gesundheit eines Mitarbeiters.
Verschicken Sie Ihre E-Mails standardisiert verschlüsselt, so sind Ihre sensiblen Daten stets DSGVO-konform. Wichtig ist, dass auch nach der E-Mail-Archivierung die E-Mails verschlüsselt bleiben. Wenn Sie besonders vertrauliche Informationen austauschen wollen, schützen Sie Ihre E-Mails zusätzlich zur Transportverschlüsselung mit einer Ende-zu-Ende-Verschlüsselung.
Tatsächliche Umsetzung der E-Mail-Verschlüsselung
Der aktuelle (August 2018) ESRA-Report (Email Security Risk Assessment) von Mimecast zeigt, dass E-Mail-Angriffe mit gefälschten Identitäten (Impersonation Attacks) im Vergleich zu den vergangenen Quartalen um 80 Prozent zugenommen haben. Viele sensible Informationen werden aus E-Mails, die abgefangen werden, ausgelesen.
Gleichzeitig zeigt eine repräsentative Umfrage der Convios Consulting GmbH, die von Web.de und GMX im März 2018 in Auftrag gegeben wurde, dass die E-Mail-Verschlüsselung in der breiten Bevölkerung zunehmend als wichtig wahrgenommen wird. Momentan verschlüsseln nach Auswertung der Umfrage geschätzt knapp 14 Prozent der deutschen Internet-Nutzer ihre E-Mails. 46,6 Prozent der Befragten geben an, dass die E-Mail-Verschlüsselung zu aufwendig sei; ähnlich viele geben Unwissen als Grund der fehlenden Verschlüsselung an.
E-Mail-Verschlüsselung in Unternehmen
Der Security-Anbieter Barracuda führte, wie eingangs erwähnt, Mitte des Jahres (Juli 2018) eine Befragung von IT-Verantwortlichen aus verschiedenen europäischen Unternehmen zum Thema E-Mail-Sicherheit durch. Sie zeigte, dass die Gefahren, die von E-Mails ausgehen, immer weiter zunehmen. Vier von fünf Organisationen waren im vergangenen Jahr einem Angriff ausgesetzt; fast Dreiviertel glauben, dass die Angriffe auf Unternehmen weiter zunehmen.
Besonders für Unternehmen ist eine E-Mail-Verschlüsselung für den Schutz von sensiblen Daten obligatorisch. Vor allem für Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, Entwickler, Ärzte und Krankenhäuser ist die standardisiert verschlüsselte E-Mail-Kommunikation unverzichtbar.
Während es Privatpersonen relativ freigestellt ist, ihre E-Mails zu verschlüsseln, sind spätestens seit der DSGVO Unternehmen dazu verpflichtet, die E-Mail-Verschlüsselung zu nutzen. Ist sie jedoch auch Ihnen zu kompliziert oder zu aufwendig, können Sie diese komplexe Aufgabe direkt in die Hände eines regionalen IT-Dienstleisters legen. Das IT-SERVICE.NETWORK unterstützt Sie gern bei der Suche.
Regeln zur E-Mail-Verschlüsselung im Geschäftsalltag
Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird empfohlen, eine E-Mail-Richtlinie zu erstellen, die festlegt, wie sich Benutzer bei der Nutzung von E-Mails zu verhalten haben. Zu beachten ist stets, dass die E-Mail-Verschlüsslung nur ein Teil der E-Mail-Sicherheit darstellt. Ohne grundlegende Regeln wie einer optimalen Passwortsicherheit, einem umfassenden Virenschutz oder einem effektiven Spamschutz ist die alleinige E-Mail-Verschlüsselung nicht ausreichend.
Es ist empfehlenswert, unternehmensübergreifend eine einheitliche E-Mail-Verschlüsselung umzusetzen. Wie sie im Optimalfall aussieht, ist nicht pauschal zu sagen, sondern von verschiedenen Faktoren abhängig. Unter anderem spielen die Branche und die Größe Ihres Unternehmens eine nicht unerhebliche Rolle, aber auch der Aufbau Ihrer vorhandenen IT-Infrastruktur ist für die Erstellung einer E-Mail-Verschlüsselung wichtig.
Haben Sie sich für den Einsatz von Transportverschlüsselung, Ende-zu-Ende-Verschlüsselung und/oder verschlüsselte E-Mail-Postfächer entschieden, dann erstellen Sie E-Mail-Richtlinien für ihre Benutzung. Geben Sie Ihren Mitarbeitern Schulungen und bieten Sie Weiterbildungen an. Immerhin kritisieren circa 80 Prozent der befragten IT-Administratoren das Verhalten von Mitarbeitern, was das Thema E-Mail-Sicherheit angeht. Auch bei Schulungen unterstützen Sie die IT-Dienstleister des IT-SERVICE.NETWORK.
Was ist zu tun? – Checkliste zur E-Mail-Verschlüsselung
- Überlegen Sie, für welche E-Mails Sie Transport- (Punkt-zu-Punkt-) und/oder Inhaltsverschlüsselungen (Ende-zu-Ende-Verschlüsselungen) nutzen möchten:
- Mit Punkt-zu-Punkt-Verschlüsselungen sind die Metadaten wie am Kontakt beteiligte E-Mail-Adressen, Betreffzeilen u.Ä. geschützt.
- Mit Ende-zu-Ende-Verschlüsselungen sind die Inhalte und Anhänge Ihrer E-Mails geschützt.
- Überlegen Sie, ob die Standardisierung von Verschlüsselungsverfahren für Ihr Unternehmen sinnvoll ist.
- Nutzen Sie einen zuverlässigen Webclient:
- Stellen Sie sicher, dass Ihr Webclient über eine SSL-verschlüsselte HTTPS-Verbindung verfügt und die Möglichkeit einer Transportverschlüsselung anbietet.
- Stellen Sie sicher, dass Ihr Webclient mit der von Ihnen favorisierten Inhaltsverschlüsselungssoftware kompatibel ist.
- Erwägen Sie, ob die Verschlüsselung eines ganzen E-Mail-Postfachs sinnvoll ist.
- Bedenken Sie, dass US-Anbieter amerikanischem Recht unterstellt sind (Stichpunkt NSA-Affäre).
- Stellen Sie sicher, dass Sie mindestens alle E-Mails mit besonders sensiblen oder personenbezogenen Informationen, die nach DSGVO verpflichtend zu verschlüsseln sind, auch verschlüsseln.
- Verschlüsseln Sie besonders sensible Daten mit Passwörtern, die Sie Ihren Kontakten auf anderem Kommunikationsweg zukommen lassen.
- Schützen Sie Ihre Daten mithilfe einer Verschlüsselung durch einen VPN-Tunnel.
- Bieten Sie Schulungen und Weiterbildungsmaßnahmen für Ihre Mitarbeiter an und erstellen Sie ggf. einen firmeninternen Leitfaden zur E-Mail-Verschlüsselung.
- Ziehen Sie bei Bedarf einen externen IT-Dienstleister hinzu, der sich um die möglichst sichere und effiziente Verschlüsselung Ihrer E-Mails kümmert.
Fazit: Welche E-Mail-Verschlüsselung ist die richtige?
Behält man die anfangs verwendete Postkarten-Metaphorik bei, entspricht eine mit Transportverschlüsselung verschickte E-Mail im übertragenen Sinn einer Postkarte, die sich während ihrer Zustellung in einem unbeschrifteten Briefumschlag befindet, jedoch vom abholenden und zustellenden Postboten herausgeholt und potentiell gelesen wird. Eine E-Mail, die über Ende-zu-Ende-Verschlüsselung übertragen wird, ist hiernach ein verschlossener Brief, auf dem Informationen zu Absender und Empfänger verzeichnet sind.
Sie sollten sich überlegen, mit welcher „Versandart“ Sie Ihrem Kommunikationspartner vertrauliche Informationen mitteilen würden. Ob die Ende-zu-Ende-Verschlüsselung, die Transportverschlüsselung und/oder auch verschlüsselte Anhänge und E-Mail-Postfächer zum Einsatz kommen, sollte anhand der Vertraulichkeit der per E-Mail verschickten Inhalte sowie der tatsächlichen Gebrauchstauglichkeit abgewogen werden.
Mit der Ende-zu-Ende-Verschlüsselung schützen Sie lediglich den Inhalt von E-Mails, die Metadaten wie Betreffzeilen aber nicht. Mit der Transportverschlüsselung werden E-Mails jedoch unverschlüsselt zwischengespeichert.
Für eine ganzheitliche Sicherheitslösung bietet es sich an, sowohl eine Ende-zu-Ende-Verschlüsselung als auch eine Transportverschlüsselung einzurichten. Lassen Sie sich von einem regionalen IT-Dienstleister des IT-SERVICE.NETWORK hierzu beraten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung