Wann und wie Unternehmen E-Mails verschlüsseln

"Sicherheit gibt es nicht zum Nulltarif"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Um sensible Informationen vor unerlaubten Zugriffen zu schützen, verschlüsseln Unternehmen zunehmend ihre Daten, allen voran die E-Mails. Wie das technisch gelingt (und wie nicht), wer was verschlüsselt und warum, erklärt Hans-Joachim Giegerich, Geschäftsführer des deutschen IT-Sicherheitsanbieters Giegerich & Partner.

COMPUTERWOCHE: Herr Giegerich, was für E-Mails werden im Unternehmen verschlüsselt?

HANS-JOACHIM GIEGERICH: Diese Frage stelle ich Unternehmen selbst oft: Was wollt ihr verschlüsseln? In der Praxis hängt das natürlich von der jeweiligen Brisanz des Inhalts und damit auch von den Branchen ab. Der Klassiker sind E-Mails mit personenbezogenen Daten - seien es von Kunden oder Mitarbeitern. Hier macht ja auch der Datenschutz Vorgaben, was den Schutz solcher Informationen angeht.

An zweiter Stelle stehen E-Mails, in denen es um Innovationen geht, also bei Start-ups und Technologie- und Industrieunternehmen. Bei normalen kaufmännischen Vorgängen wird unserer Erfahrung nach eher nicht verschlüsselt. Dann kommt noch das jeweilige Sicherheitsbedürfnis der Mitarbeiter hinzu, die individuell entscheiden, was sie für verschlüsselungsbedürftig halten. Man kann aber ganz klar sagen: Niemand verschlüsselt alles. Das hat ganz praktische Gründe. Verschlüsselte E-Mails sind beispielsweise in der Regel aus der Suchfunktion aufgeschlossen. Hier gilt wie überall das richtige Augenmaß.

Diplom-Ingenieur Hans-Joachim Giegerich ist Geschäftsführer von Giegerich & Partner mit Sitz in Dreieich.
Diplom-Ingenieur Hans-Joachim Giegerich ist Geschäftsführer von Giegerich & Partner mit Sitz in Dreieich.
Foto: contrustdesign.de, Stephan Ruh

CW: Welche Branchen verschlüsseln besonders gerne? Welche gar nicht?

GIEGERICH: Hier gibt es ganz klar einen Spitzenreiter, nämlich IT-Unternehmen. Etwa ein Drittel unserer Kunden stammen aus dieser Branche. Hier sind einfach das Verständnis und die Akzeptanz für die Technologie naturgemäß höher. An zweiter Stelle stehen Technologie- und Innovationsunternehmen, etwa wenn es um Source-Codes, Forschungsergebnisse oder Baupläne geht. Ein weiterer Kundenschwerpunkt liegt in den Branchen Dienstleistung und Hotel. Hier werden schließlich permanent personenbezogene Daten verschickt.

Als vierte große Branche sind die Steuer- und Rechtsberatungen zu nennen, hier allen voran Patentanwälte. Zu den "Sonstigen" würde ich Banken- und Finanzinstitute zählen, aber auch die öffentliche Hand, also Verwaltungen und Politik auf Bundes- und Landesebene sowie NGOs. Interessant ist, dass wir auch namhafte Verlage und große Journalistenverbände als Kunden haben. Hintergrund sind hier vor allem vertrauliche Rechercheergebnisse und der Schutz von Quellen.

OpenPGP vor S/Mime

CW: Welche Programme und Protokolle kommen zum Einsatz? Offene oder proprietäre?

GIEGERICH: Hier verweise ich auf die Studienergebnisse von Professor Norbert Pohlmann, der Informationssicherheit an der Westfälischen Hochschule lehrt. Demnach nutzen weltweit etwa zwei Drittel aller Nutzer den OpenPGP-Standard, ein Fünftel setzt S/MIME ein. Der Rest verteilt sich auf andere Lösungen mit proprietären Protokollen. Bei den proprietären Lösungen gibt es durchaus sehr clevere Anwendungen. Das sind aber wirklich kleine Anbieter und damit taugen die Lösungen dann auch hauptsächlich für geschlossene Benutzergruppen.

CW: Inwiefern werden sich die immer mehr aufkommenden "Easy to use"-Webmailer mit eingebauter Verschlüsselung - wie Startmail, Hushmail oder Whiteout Mail - im Unternehmensumfeld behaupten können?

GIEGERICH: Das ist eine wichtige Frage, mit der wir uns selbst intensiv befassen. Hier gibt es tatsächlich zwei Kernprobleme: Usability und Transparenz. Meiner Meinung nach werden sich solche Systeme im Unternehmensumfeld nur behaupten können, wenn sie die verbreiteten Standards unterstützen, die in E-Mailprogrammen als Add-Ins oder Plug-Ins zum Einsatz kommen, Stichwort Kompatibilität. Das ist ja auch in unserem Sinne. Wir können beispielsweise Nachrichten mit Whiteout austauschen und arbeiten auch mit anderen Tool-Entwicklern zusammen - um damit auch die Verbreitung von Verschlüsselung zu erhöhen.

CW: Inwiefern hat die Nutzung von verschlüsselter E-Mail-Kommunikation seit den Snowden-Enthüllungen zugenommen?

GIEGERICH: Nach den Snowden-Veröffentlichungen war der Hype bekanntlich riesig. Aber wie das mit Hypes so ist: Mittlerweile ist das Thema wieder auf dem Niveau von vor Snowden angekommen. "Aus den Augen, aus dem Sinn" könnte man sagen. Es gab noch einmal ein kurzes Aufflackern, als Whatsapp die Verschlüsselung von Nachrichten im Frühjahr 2016 einführte. Das lässt sich schön über den Suchbegriff "Verschlüsselung" in Google Trends feststellen. Auch auf den einschlägigen Branchenmessen war Verschlüsselung in der direkten Folge das Thema der Stunde, nun stehen wieder andere Dinge oben auf der Agenda.

"Beim Schlüsselmanagement stehen uns die Haare zu Berge"

CW: Woran scheitert die Implementierung von E-Mail-Verschlüsselung?

GIEGERICH: Hier muss man differenzieren. Im Grunde gibt es zwei Szenarien. Mancherorts scheitert die Einführung komplett. Das liegt in der Regel daran, dass den Verantwortlichen das Thema zu komplex erscheint oder die Anwender einfach nicht mitspielen. Hier gibt es erfahrungsgemäß ein hohes Frustrationspotenzial.

Im anderen Szenario scheitert nicht die Einführung, aber die sachgerechte Implementierung durch Administratoren. Vor allem beim Thema Schlüsselmanagement stehen uns als Anbieter hier öfter mal die Haare zu Berge. Das Vorgehen ist häufig sehr hemdsärmelig. Die Administratoren wissen nicht, wer Zugriff auf welche Schlüssel hat. Wenn ein Mitarbeiter mitsamt Schlüssel und Passphrase nicht mehr verfügbar ist, sind die Daten praktisch nicht zugänglich. Was nun, wenn es etwa zu einem Audit kommt?

Um das Thema Schlüsselmanagement besser bei den Unternehmen zu verankern, veranstalten wir mittlerweile produktunabhängige Schulungen und bieten auch in unserer Lösungen entsprechende Funktionen, beispielsweise den Enterprise KeyServer. Damit können Administratoren allen Anwendern geprüftes und aktuelles Schlüsselmaterial bereitstellen und bei Bedarf auch löschen.

CW: Goutieren es die Mitarbeiter, wenn ein Unternehmen E-Mail-Verschlüsselung einsetzt oder sehen Sie es eher als Usability-Hindernis?

GIEGERICH: Man kann nicht alle über einen Kamm scheren. Viele Mitarbeiter wissen um die Wichtigkeit und begrüßen Verschlüsselung. Man darf aber auch nicht vergessen: Sicherheit gibt es nicht zum Nulltarif. Die Mitarbeiter müssen ihre Komfortzone verlassen und dazu muss man sie motivieren und anleiten. Unsere Aufgabe ist es, die Usability weiter zu verbessern, damit es den Mitarbeitern leichter fällt, Abläufe und Verhaltensweisen anzupassen. Damit wird E-Mailverschlüsselung für Anwender und Unternehmen ein gutes Stück einfacher und durch die erhöhte Akzeptanz auch sicherer.