Wann und wie Unternehmen E-Mails verschlüsseln

"Sicherheit gibt es nicht zum Nulltarif"

02.08.2016 von Simon Hülsbömer
Um sensible Informationen vor unerlaubten Zugriffen zu schützen, verschlüsseln Unternehmen zunehmend ihre Daten, allen voran die E-Mails. Wie das technisch gelingt (und wie nicht), wer was verschlüsselt und warum, erklärt Hans-Joachim Giegerich, Geschäftsführer des deutschen IT-Sicherheitsanbieters Giegerich & Partner.

COMPUTERWOCHE: Herr Giegerich, was für E-Mails werden im Unternehmen verschlüsselt?

HANS-JOACHIM GIEGERICH: Diese Frage stelle ich Unternehmen selbst oft: Was wollt ihr verschlüsseln? In der Praxis hängt das natürlich von der jeweiligen Brisanz des Inhalts und damit auch von den Branchen ab. Der Klassiker sind E-Mails mit personenbezogenen Daten - seien es von Kunden oder Mitarbeitern. Hier macht ja auch der Datenschutz Vorgaben, was den Schutz solcher Informationen angeht.

An zweiter Stelle stehen E-Mails, in denen es um Innovationen geht, also bei Start-ups und Technologie- und Industrieunternehmen. Bei normalen kaufmännischen Vorgängen wird unserer Erfahrung nach eher nicht verschlüsselt. Dann kommt noch das jeweilige Sicherheitsbedürfnis der Mitarbeiter hinzu, die individuell entscheiden, was sie für verschlüsselungsbedürftig halten. Man kann aber ganz klar sagen: Niemand verschlüsselt alles. Das hat ganz praktische Gründe. Verschlüsselte E-Mails sind beispielsweise in der Regel aus der Suchfunktion aufgeschlossen. Hier gilt wie überall das richtige Augenmaß.

Diplom-Ingenieur Hans-Joachim Giegerich ist Geschäftsführer von Giegerich & Partner mit Sitz in Dreieich.
Foto: contrustdesign.de, Stephan Ruh

CW: Welche Branchen verschlüsseln besonders gerne? Welche gar nicht?

GIEGERICH: Hier gibt es ganz klar einen Spitzenreiter, nämlich IT-Unternehmen. Etwa ein Drittel unserer Kunden stammen aus dieser Branche. Hier sind einfach das Verständnis und die Akzeptanz für die Technologie naturgemäß höher. An zweiter Stelle stehen Technologie- und Innovationsunternehmen, etwa wenn es um Source-Codes, Forschungsergebnisse oder Baupläne geht. Ein weiterer Kundenschwerpunkt liegt in den Branchen Dienstleistung und Hotel. Hier werden schließlich permanent personenbezogene Daten verschickt.

Als vierte große Branche sind die Steuer- und Rechtsberatungen zu nennen, hier allen voran Patentanwälte. Zu den "Sonstigen" würde ich Banken- und Finanzinstitute zählen, aber auch die öffentliche Hand, also Verwaltungen und Politik auf Bundes- und Landesebene sowie NGOs. Interessant ist, dass wir auch namhafte Verlage und große Journalistenverbände als Kunden haben. Hintergrund sind hier vor allem vertrauliche Rechercheergebnisse und der Schutz von Quellen.

OpenPGP vor S/Mime

CW: Welche Programme und Protokolle kommen zum Einsatz? Offene oder proprietäre?

GIEGERICH: Hier verweise ich auf die Studienergebnisse von Professor Norbert Pohlmann, der Informationssicherheit an der Westfälischen Hochschule lehrt. Demnach nutzen weltweit etwa zwei Drittel aller Nutzer den OpenPGP-Standard, ein Fünftel setzt S/MIME ein. Der Rest verteilt sich auf andere Lösungen mit proprietären Protokollen. Bei den proprietären Lösungen gibt es durchaus sehr clevere Anwendungen. Das sind aber wirklich kleine Anbieter und damit taugen die Lösungen dann auch hauptsächlich für geschlossene Benutzergruppen.

CW: Inwiefern werden sich die immer mehr aufkommenden "Easy to use"-Webmailer mit eingebauter Verschlüsselung - wie Startmail, Hushmail oder Whiteout Mail - im Unternehmensumfeld behaupten können?

GIEGERICH: Das ist eine wichtige Frage, mit der wir uns selbst intensiv befassen. Hier gibt es tatsächlich zwei Kernprobleme: Usability und Transparenz. Meiner Meinung nach werden sich solche Systeme im Unternehmensumfeld nur behaupten können, wenn sie die verbreiteten Standards unterstützen, die in E-Mailprogrammen als Add-Ins oder Plug-Ins zum Einsatz kommen, Stichwort Kompatibilität. Das ist ja auch in unserem Sinne. Wir können beispielsweise Nachrichten mit Whiteout austauschen und arbeiten auch mit anderen Tool-Entwicklern zusammen - um damit auch die Verbreitung von Verschlüsselung zu erhöhen.

Zum Video: "Sicherheit gibt es nicht zum Nulltarif"

CW: Inwiefern hat die Nutzung von verschlüsselter E-Mail-Kommunikation seit den Snowden-Enthüllungen zugenommen?

GIEGERICH: Nach den Snowden-Veröffentlichungen war der Hype bekanntlich riesig. Aber wie das mit Hypes so ist: Mittlerweile ist das Thema wieder auf dem Niveau von vor Snowden angekommen. "Aus den Augen, aus dem Sinn" könnte man sagen. Es gab noch einmal ein kurzes Aufflackern, als Whatsapp die Verschlüsselung von Nachrichten im Frühjahr 2016 einführte. Das lässt sich schön über den Suchbegriff "Verschlüsselung" in Google Trends feststellen. Auch auf den einschlägigen Branchenmessen war Verschlüsselung in der direkten Folge das Thema der Stunde, nun stehen wieder andere Dinge oben auf der Agenda.

"Beim Schlüsselmanagement stehen uns die Haare zu Berge"

CW: Woran scheitert die Implementierung von E-Mail-Verschlüsselung?

GIEGERICH: Hier muss man differenzieren. Im Grunde gibt es zwei Szenarien. Mancherorts scheitert die Einführung komplett. Das liegt in der Regel daran, dass den Verantwortlichen das Thema zu komplex erscheint oder die Anwender einfach nicht mitspielen. Hier gibt es erfahrungsgemäß ein hohes Frustrationspotenzial.

Im anderen Szenario scheitert nicht die Einführung, aber die sachgerechte Implementierung durch Administratoren. Vor allem beim Thema Schlüsselmanagement stehen uns als Anbieter hier öfter mal die Haare zu Berge. Das Vorgehen ist häufig sehr hemdsärmelig. Die Administratoren wissen nicht, wer Zugriff auf welche Schlüssel hat. Wenn ein Mitarbeiter mitsamt Schlüssel und Passphrase nicht mehr verfügbar ist, sind die Daten praktisch nicht zugänglich. Was nun, wenn es etwa zu einem Audit kommt?

Um das Thema Schlüsselmanagement besser bei den Unternehmen zu verankern, veranstalten wir mittlerweile produktunabhängige Schulungen und bieten auch in unserer Lösungen entsprechende Funktionen, beispielsweise den Enterprise KeyServer. Damit können Administratoren allen Anwendern geprüftes und aktuelles Schlüsselmaterial bereitstellen und bei Bedarf auch löschen.

CW: Goutieren es die Mitarbeiter, wenn ein Unternehmen E-Mail-Verschlüsselung einsetzt oder sehen Sie es eher als Usability-Hindernis?

GIEGERICH: Man kann nicht alle über einen Kamm scheren. Viele Mitarbeiter wissen um die Wichtigkeit und begrüßen Verschlüsselung. Man darf aber auch nicht vergessen: Sicherheit gibt es nicht zum Nulltarif. Die Mitarbeiter müssen ihre Komfortzone verlassen und dazu muss man sie motivieren und anleiten. Unsere Aufgabe ist es, die Usability weiter zu verbessern, damit es den Mitarbeitern leichter fällt, Abläufe und Verhaltensweisen anzupassen. Damit wird E-Mailverschlüsselung für Anwender und Unternehmen ein gutes Stück einfacher und durch die erhöhte Akzeptanz auch sicherer.

14 Regeln für den E-Mail-Verkehr
1. Verfassen Sie Ihre E-Mails knapp und präzise.
Alles was mehr als zwei Seiten umfasst, gehört in eine angehängte Datei.
2. Überprüfen Sie Rechtschreibung und Grammatik.
In den meisten E-Mail-Systemen gibt es entsprechende Funktionen. Da dies bekannt ist, werden entsprechende Fahrlässigkeiten übel genommen. Fehler suggerieren: Der Autor hat sich entweder für mich keine Zeit genommen oder er ist ein Schlendrian.
3. Beantworten Sie E-Mails schnell.
Reaktionsschnelligkeit ist einer der entscheidenden Vorteile von elektronischer Post. Vor allem auf erwartete Messages sollte zügig geantwortet werden. Wenn man nicht gerade extrem beschäftigt ist, sollte man den Posteingang mehrmals täglich checken. Allerdings ist es nicht nötig, die automatische Benachrichtung (Auto Notify) zu jeder eingehenden E-Mail zu aktivieren - das lenkt zu sehr von der Arbeit ab.
4. Gehen Sie sparsam mit der Funktion "Antwort an alle" um.
Es besteht die Möglichkeit, die Nachricht an eine Gruppe zu versenden, aus der sich vielleicht nur ein Prozent der Beteiligten dafür interessiert. Der Effekt ist vergleichbar mit einer Fahrt in einem öffentlichen Verkehrsmittel, in dem man gezwungen ist, dem Handygespräch eines Unbekannten zuzuhören. Wer ohne Notwendigkeit allen antwortet, erzeugt außerdem jede Menge elektronischen Müll. Insbesondere, wenn Anhänge mitgeschickt werden, führt das unnötige Versenden an große Verteiler zu Ressourcenproblemen.
5. Sorgen Sie dafür, dass Ihre E-Mail einfach lesbar ist.
Experton empfiehlt, die E-Mail in einem Stil zu verfassen, der einem schriftlichen Dokument (zum Beispiel Geschäftsbrief) gleicht. Grußformel und Unterschrift (Automatische Signatur) sind selbstverständlich. Außerdem sind kurze Sätze sowie - bei längeren Texten - Absätze zu empfehlen.
6. Halten Sie sich an die rechtlichen Bestimmungen für den E-Mail-Verkehr.
In Deutschland gilt seit Anfang 2007 eine neue Rechtsprechung, der zufolge im Anhang Pflichtangaben über das Unternehmen (Rechtsform, Sitz, Registergericht, Geschäftsführung) vorgeschrieben sind. Außerdem kann es manchmal nützlich sein, Angaben zu Urheberrecht, Vervielfältigung oder sonstige Rechtsklauseln anzuhängen. Im Übrigen sollten Unternehmen Regeln für den E-Mail-Verkehr formulieren (E-Mail-Policy), die regelmäßig zu verbreiten sind, damit auch neue Mitarbeiter auf dem Laufenden gehalten werden.
7. Antworten Sie niemals auf Spam.
Eigentlich eine Binsenweisheit, und doch ein immer wieder gemachter Fehler. Viele Spammer statten ihre Nachricht mit einer Opt-out-Funktion aus, indem die Mail im Betreff-Feld vorgeblich mit "unsubscribe" abbestellt werden kann. Für manche Spam-Programme, die für den automatischen Versand des elektronischen Mülls sorgen, bedeutet eine solche Antwort: Der Adressat ist da, er kann mehr Spam in Empfang nehmen.
8. Nutzen Sie Blindkopien, um Dritte zu informieren.
So bleibt der Verteilerkreis im Unklaren darüber,wer die Nachricht noch erhalten hat.
9. Formulieren Sie den Betreff aussagekräftig.
Nur so ragt die Botschaft aus der Fülle der Spam-Mitteilungen heraus, die heute die meisten Postfächer füllen.
10. Keep it simple.
Es gibt heute viele Möglichkeiten, E-Mails aufzuhübschen (Emoticons, Bilder etc.). Versender sollten vorsichtig damit umgehen, da nicht jedes Mail-Programm damit fertig wird und außerdem Ressourcen verschwendet werden. Zudem sind Emoticons mitunter mit Spyware infiziert. Deshalb: Nichts von unbekannten Quellen herunterladen!
11. Nutzen Sie die Features moderner E-Mail-Programme.
Rückruf: Eine E-Mail, die fehlerhaft oder ohne Anhang versandt wurde, wird zurückgerufen. Sparsam verwenden, lieber Botschaften noch einmal genau checken, bevor sie verschickt werden. Oft werden E-Mails schnell geöffnet und lassen sich nicht mehr zurückrufen. <br/><br/> Automatische Antwort: Die Out-of-Office-Funktion ist wirklich nützlich und sollte angewendet werden! Allerdings sollte man sie schnell deaktivieren, wenn man wieder im Büro ist.<br/><br/> Wiederversenden: Manchmal erreichen E-Mails nie den Adressaten, etwa weil der Mail-Server ausfällt. Mit der Resend-Funktion lassen sie sich umstandslos ein zweites Mal verschicken. Vor dem Versand in die Betreffzeile eine Bemerkung wie "zweiter Versuch" einfügen.<br/><br/>Übermittlungsbestätigung: Nice to have, aber nicht zwingend nötig. Funktioniert auch nicht mit jedem E-Mail-System. <br/><br/>Lesebestätigung: Ebenfalls nice to have.
12. Nutzen Sie E-Mails um Gespräche und Diskussionen anschließend zu bestätigen.
Elektronische Post bietet die Chance, sehr schnell Gesprächsergebnisse aus Konferenzen oder Telefonaten zu protokollieren. So lassen sich für alle Beteiligten die Ergebnisse sichern, bezüglich geplanter Maßnahmen sind alle auf demselben Stand. Was schriftlich fixiert wurde, wird von den Beteiligten ernster genommen.
13. Verlassen Sie sich bei dringenden Informationen nicht auf E-Mail.
Dazu lieber das Telefon benutzen. Es gibt keine Garantie, dass eine E-Mail gelesen wird. Oft wird die Nachricht übersehen, die Lektüre wird vertagt oder die Botschaft wird als vermeintlicher Spam gelöscht.
14. Nutzen Sie E-Mails nicht für unangebrachte Kommunikation.
E-Mail für die Verbreitung von Spam zu missbrauchen, ist nicht nur ein Ärgernis, sondern möglicherweise auch noch illegal. Und: In den meisten Fällen kann der Absender schnell ermittelt werden.