E-Mail-Verschlüsselung

Die 11 häufigsten Irrtümer

20.12.2021
Von 


Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Zu teuer und zu kompliziert – das denken viele Unternehmen über E-Mail-Verschlüsselung. Aber ist das wirklich so? Hier kommen die häufigsten Irrtümer.
E-Mail-Verschlüsselung ist noch nicht in allen Unternehmen angekommen.
E-Mail-Verschlüsselung ist noch nicht in allen Unternehmen angekommen.
Foto: Myimagine - shutterstock.com

Fast 28 Prozent der kleinen und mittelständischen Unternehmen in Deutschland setzen noch keine E-Mail-Verschlüsselung ein. Das ergab eine Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie im Februar 2018. Als Gründe gaben die Befragten unter anderem an, dass ihre Kommunikationspartner nicht mit verschlüsselten Nachrichten umgehen könnten und Mitarbeiter zu wenig technisch versiert seien. Auch Schwierigkeiten bei der Verwaltung von Zertifikaten sind häufig ein Hinderungsgrund.

Solche Bedenken sind berechtigt, lassen sich mit der richtigen Technologie aber leicht aus dem Weg räumen. Hier kommen die elf verbreitetsten Irrtümer über die Verschlüsselung von - und wie sie sich widerlegen lassen.

1. Ich brauche keine E-Mail-Verschlüsselung

Wirklich nicht? Wer Nachrichten mit personenbezogenen Daten verschickt, muss diese verschlüsseln. Das war bereits laut Bundesdatenschutzgesetz vorgeschrieben. Mit der DSGVO sind die Vorschriften noch strenger geworden. Verstöße können jetzt hohe Strafzahlungen nach sich ziehen. Außerdem müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden und zusätzlich die betroffenen Personen verständigen, falls ein erhöhtes Risiko besteht. Wer E-Mail-Verschlüsselung einsetzt, ist hingegen von der Benachrichtigungspflicht der betroffenen Personen befreit.

2. Das kann ich mir nicht leisten

Die Frage lautet eher: Können Sie es sich leisten, auf Verschlüsselung zu verzichten? Ein Verstoß gegen die DSGVO kann mit Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem, was höher ist. Dazu kommt der Schaden, der durch den Imageverlust in Folge einer Datenschutzverletzung entsteht.

Lesetipp: FAQ Verschlüsselung - Was Sie über PGP, SSL, RSA und Co wissen sollten

3. E-Mail-Verschlüsselung ist viel zu kompliziert

Das stimmt, wenn man alles selber machen möchte. Denn mit OpenPGP und S/MIME gibt es verschiedene Verschlüsselungsstandards, die untereinander nicht kompatibel sind. Möglicherweise muss man ein Plug-in im E-Mail Client installieren. Außerdem ist das Schlüsselmanagement komplex. Es gibt heute jedoch Lösungen, bei denen sich der Anwender selbst um nichts kümmern muss. Solche Verschlüsselungs-Gateways lassen sich in der Regel einfach implementieren und sind auch in der Cloud verfügbar.

Wer E-Mails verschlüsseln will, muss nicht alles selbst machen.
Wer E-Mails verschlüsseln will, muss nicht alles selbst machen.
Foto: totemo

4. Das kann ich auch alleine machen

Ja, aber das ist sehr aufwändig. Dazu kommt, dass der Anwender wissen muss, was er tut. Wenn er Fehler macht, ist die Kommunikation nicht mehr geschützt. Deshalb empfiehlt es sich, ab einer bestimmten Nutzerzahl oder bei weniger technikaffinen Anwendern eine Lösung einzusetzen, die so viel wie möglich automatisch im Hintergrund erledigt.

5. Ich muss meine Kommunikationspartner von "meiner" Lösung überzeugen

Das ist nicht nötig. Ein entsprechendes Verschlüsselungs-Gateway erkennt automatisch, welche Technologie ein Kommunikationspartner nutzt. Jeder kann also den Standard einsetzen, den er möchte. Voraussetzung ist allerdings, dass keine proprietäre Technologie verwendet wird. Zudem sollte ein Gateway genutzt werden, das die gängigen Verschlüsselungsmethoden unterstützt.

6. Das klappt nicht, weil meine Kommunikationspartner keine Ahnung von Technik haben

Tatsächlich ist E-Mail-Verschlüsselung bei Privatpersonen kaum verbreitet und wird meist als zu kompliziert empfunden. Das zeigt eine Studie von Reddoxx. Wer viel mit Personen kommuniziert, die keine Verschlüsselung einsetzen, kann aber alternative Lösungen anbieten. Eine Möglichkeit ist zum Beispiel ein sicheres Webportal, in dem der Empfänger seine verschlüsselte Nachricht abholen kann.

7. Ich nutze SSL/TSL - das reicht

TLS ist lediglich eine Transportverschlüsselung. Die Technologie baut einen Tunnel zwischen zwei Rechnern auf, durch den die E-Mail geschickt wird. Beim absendenden und empfangenden Rechner liegt die Nachricht jedoch im Klartext vor und kann mitgelesen, manipuliert oder kopiert werden. Außerdem wird die E-Mail auf ihrem Weg durchs Internet von Computer zu Computer weitergeleitet, bevor sie beim Empfänger ankommt.

Der Absender kann nicht kontrollieren, ob jeder der Rechner tatsächlich wieder einen neuen, sicheren Tunnel aufbaut. Zusätzlich zur Transportverschlüsselung sollten Sie daher Inhaltsverschlüsselung mit OpenPGP oder S/MIME einsetzen. Dabei wird der Inhalt der Nachricht verschlüsselt - bis auf Metadaten wie Absender, Empfänger und Versanddatum. Zusammen sorgen Inhaltsverschlüsselung und Transportverschlüsselung für ein hohes Schutzniveau.

8. Mein Cloud-Anbieter verschlüsselt schon

Vertrauen Sie Ihrem Cloud-Anbieter grenzenlos? Wenn er sowohl das E-Mail-Management als auch die E-Mail-Verschlüsselung übernimmt, besitzt er auch Ihre Schlüssel und kann die Nachrichten lesen. Es ist ein bisschen so, wie jemandem eine verschlossene Geldkassette zur Aufbewahrung zu geben und den Schlüssel mit Klebestreifen darunter zu befestigen.

Ihr Cloud-Anbieter hat höchstwahrscheinlich kein Interesse daran, Kundeninformationen zu entschlüsseln und zu nutzen. Ist der Anbieter jedoch ein amerikanisches Unternehmen, fällt er allerdings unter den CLOUD-Act von 2018. Dabei handelt es sich um eine Verschärfung des USA PATRIOT Act von 2001. Vormals unklare Sachverhalte wurden konkretisiert und der CLOUD-Act verschafft US-Behörden jetzt auch Zugriff auf Daten, die auf Servern von US-Unternehmen im Ausland gespeichert sind, sogar rückwirkend.

Lesetipp: US CLOUD-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei

Zudem sorgt die Tatsache, dass der EuGH das Privacy-Shield-Abkommen für ungültig erklärt hat, bei europäischen Unternehmen für zusätzliche Bedenken. Entweder sollten Sie also E-Mail-Management und E-Mail-Verschlüsselung trennen. Oder Sie setzen eine Lösung ein, die es Ihnen ermöglicht, Ihre Schlüssel bei sich zu speichern.

Lesetipp: EuGH zerstört EU-US Privacy Shield

9. Meine Anti-Virus- und DLP-Lösung funktioniert dann nicht mehr

Bei Ende-zu-Ende-Verschlüsselung ist das ein Problem, denn dann können Virenscanner und Data-Loss-Prevention-Lösung (DLP) die Nachrichten nicht einsehen und folglich auch nicht untersuchen. Es gibt jedoch auch einen hybriden Ansatz: Zwischen Absender und Gateway wird Ende-zu-Ende verschlüsselt. Am Gateway wird die Nachricht im Klartext verfügbar gemacht, auf Schadsoftware und Inhalte überprüft und anschließend wieder verschlüsselt in die Mailbox des Empfängers transportiert.

10. Ich muss Plug-ins auf allen Clients installieren

Das ist nicht nötig. Alle heute am Markt verfügbaren E-Mail-Clients haben bereits E-Mail-Verschlüsselung basierend auf S/MIME integriert. Sie lässt sich per Knopfdruck auslösen. Um das Schlüssel-Management muss sich der Anwender jedoch selbst kümmern. Nicht so, wenn er ein Verschlüsselungs-Gateway einsetzt, das diese Aufgabe übernimmt. Dann ist lediglich ein Klick auf den Verschlüsselungs-Button im E-Mail-Programm nötig, um eine sichere Nachricht zu verschicken.

Es ist nicht notwendig, auf allen Clients Plug-ins zu installieren.
Es ist nicht notwendig, auf allen Clients Plug-ins zu installieren.
Foto: totemo

11. Meine Archivierungslösung funktioniert dann nicht mehr richtig

Wenn ein Archivsystem Nachrichten nicht im Klartext sieht, kann es sie nicht indizieren. Das macht es schwer, E-Mails im Archiv zu finden. Dieses Problem lässt sich jedoch vermeiden, wenn ein Proxy zwischen die Archivierungslösung und das E-Mail-System geschaltet wird. E-Mails können dann verschlüsselt archiviert werden, sind gleichzeitig aber durchsuchbar, da der Inhalt indexiert wird.

Lesetipp: Digitale Archivierung - Wie Sie GoBD-konform archivieren

Fazit

Tatsächlich gibt es heute keinen Grund mehr, auf E-Mail-Verschlüsselung zu verzichten. Denn niemand möchte riskieren, dass E-Mails im Klartext einfach mitgelesen werden können, wenn sie in die falschen Hände geraten sollten. Im Hinblick auf personenbezogene Daten ist sichere Kommunikation ohnehin ein Muss. (hal/bw)