E-Mail-Kommunikation: Sicher, dass Sie sicher sind?

19.10.2014
109 Milliarden geschäftliche E-Mails werden täglich weltweit laut dem aktuellen Email-Statistics-Report der Radicati Group gesendet und empfangen. In den nächsten vier Jahren soll sich diese Zahl sogar auf etwa 140 Milliarden erhöhen.

Angesichts solcher Volumina sollte das Thema Sicherheit bei der E-Mail-Kommunikation einen hohen Stellenwert haben. Immerhin handelt es sich bei den Inhalten dieser E-Mails um vertrauliche und sensible Geschäftsdaten wie Kundendaten, Verträge, Geschäftsberichte und Rechnungen. Und genau diese Daten sind für Datendiebe besonders begehrenswert und häufiges Ziel von Industriespionage.

Sichere E-Mail-Kommunikation: Fehlanzeige

Die Vermeidung von Know-how-Abfluss sowie die Verbesserung des Datenschutzes in der elektronischen Kommunikation ist für die meisten Unternehmen zwar ein aktuelles Brennpunktthema. Dennoch versenden und empfangen offenbar über die Hälfte der deutschen Unternehmen ihre E-Mails ohne Sicherheitsmaßnahmen, wie aus der aktuellen Studie der Initiative „Deutschland sicher im Netz“ hervorgeht: Lediglich 43 Prozent der befragten Unternehmen bejahten die Frage, ob Maßnahmen zur sicheren Kommunikation per E-Mail ergriffen werden. Warum immer noch vergleichsweise wenige Lösungen für eine sichere E-Mail-Kommunikation eingesetzt werden, hat wohl verschiedene Ursachen. Hört man sich um, so bewerten viele Menschen das Thema E-Mail-Sicherheit als zu aufwändig und umständlich.

Nicht selten reagieren Unternehmen lediglich auf den Druck von außen oder nachdem sie bereits negative Erfahrungen gemacht haben. Jüngstes Beispiel zeigt ein automatisierter TLS-Check des Bayerischen Landesamtes für die Datenschutzaufsicht: Bei rund einem Drittel von 2.000 Probanden einer Stichprobe fehlte die Transportverschlüsselung TLS sowie die Unterstützung von Perfect Forward Secrecy für den E-Mail-Versand. Die Datenschützer erachten den Einsatz von StartTLS zur Verschlüsselung der Kommunikation zwischen Mailservern jedoch als erforderlich. Unternehmen sind nach Paragraph 9 des Bundesdatenschutzgesetzes (BDSG) im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle sogar zur Verwendung von „dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ verpflichtet, um den Anforderungen des Datenschutzes gerecht zu werden.

Mailserver-Verschlüsselung ersetzt nicht Ende-zu-Ende-Verschlüsselung

Jede Form der Verschlüsselung ist erst einmal besser als gar keine, da andernfalls die E-Mail im Klartext durch das World Wide Web unterwegs ist. Eine Mailserver- oder auch Transportverschlüsselung ist jedoch kein Ersatz für eine E-Mail-Verschlüsselung. Der Einsatz des Verschlüsselungsprotokolls StartTLS entspricht zwar dem oben genannten Stand der Technik, ersetzt aber nicht eine sichere Ende-zu-Ende-Verschlüsselung der E-Mail Inhalte. TLS ist lediglich die serverseitige Verschlüsselung des Datenaustausches auf Transportebene. Technisch gut ausgerüstete Hacker können diese angreifen. Eine Ende-zu-Ende-Verschlüsselung verschlüsselt dagegen auch die Inhalte einer E-Mail gegen unbefugte Zugriffe.

PGP und S/MIME: Chance und Herausforderung

Um eine sichere E-Mail-Kommunikation zu gewährleisten, stehen verschiedene Verschlüsselungsmöglichkeiten zur Verfügung. Zu den bekanntesten Verfahren zählen hier PGP (Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions). Beide bieten ein hohes Maß an Sicherheit, bringen aber auch einen gewissen Aufwand mit sich. Denn damit das Ganze funktioniert, müssen sowohl Sender als auch Empfänger einer Nachricht am selben Verschlüsselungsverfahren teilnehmen. Beide Seiten müssen folglich PGP oder S/MIME aktiv unterstützen. Dazu kommt meist eine Software zum Einsatz. Dies ist auch oft ein Grund, dass die Adaption im Markt noch verhalten ist. Denn die zugrundeliegende Komplexität gestaltet den unternehmensweiten Einsatz beider Verfahren für viele Unternehmen schwierig oder verhindert ihn sogar.

Einfach, aber sicher: Server- und webbasierte Verschlüsselungslösungen

Was im B2B-Bereich vielleicht noch handhabbar ist, kann bei der Kommunikation mit Endkunden leicht zum Albtraum werden. Server- bzw. webbasierte Verschlüsselungslösungen liefern für dieses Dilemma eine Lösung: Da sich der Anwender nicht mehr mit technischen Aspekten von Schlüsselaustausch, Zertifikaten oder der Installation einer Software konfrontiert sieht, reduziert sich die Komplexität am Arbeitsplatz. Damit verringert sich auch der administrative Aufwand, zudem entfallen Schulungen auf Anwenderseite.

Damit eine sichere E-Mail-Kommunikation einer breiten Nutzerschaft zugänglich ist, muss sie handhabbar sein. Klassische Lösungen, die am einzelnen PC-Arbeitsplatz ansetzen, versagen hier aufgrund ihrer Komplexität. Auf 20 Jahre Erfahrung im Bereich der E-Mail-Sicherheit blickend, favorisiert GROUP Business Software (GBS) einen zentralen Ansatz in der E-Mail-Verschlüsselung. Ihre E-Mail-Management-Lösung iQ.Suite unterstützt die klassischen schlüssel- und zertifikatsbasierenden Verfahren, jedoch laufen sämtliche Ver- und Entschlüsselungsprozesse auf dem Mailserver – zentrale Viren- und Spamprüfung inklusive. Davon bekommen Mitarbeiter in den Unternehmen nichts mit und können ihrem Tagesgeschäft wie gewohnt nachgehen. In Kopplung mit einem zentralen Schlüsselmanagement wird so die Komplexität reduziert. Andere, webbasierte Verfahren folgen noch stärker dem Prinzip der Einfachheit: Der Empfänger benötigt keine Soft- oder Hardware, um verschlüsselt zu kommunizieren. Stattdessen reicht ein Internetbrowser und Zugang zu einem abgesicherten Webportal. Mit WebCrypt Pro hat GBS beispielsweise eine solche Lösung realisiert, die völlig auf Schlüssel und Zertifikate verzichtet und sich vom Empfänger einer verschlüsselten Nachricht über jeden Webbrowser nutzen lässt.

Fazit

Verschlüsselte E-Mails zu schreiben und zu empfangen vermittelt nicht nur ein gutes Gefühl, sondern sorgt auch für die notwendige Sicherheit im geschäftlichen Alltag. Die Herausforderungen an Vertraulichkeit und Datenschutz können und müssen mit einfach handhabbaren Lösungen und Mechanismen gemeistert werden. Denn nur die verschlüsselte Kommunikation kann im Umfeld der weltweiten Daten- und Industriespionage schützen. Etablierte Verfahren wie PGP und S/MIME versprechen hier einen Ausweg, während webbasierte Alternativen zugleich Möglichkeiten der einfacheren Nutzung bieten und an Attraktivität bei Unternehmen gewinnen. Die Frage, die sich Unternehmen künftig stellen sollten, darf nicht sein, ob sie ihre elektronische Kommunikation sichern, sondern warum sie es noch nicht getan haben.

Weitere Informationen zu den Sicherheitslösungen von GBS