Welche Gefahren drohen

Sicherheitsrisiko E-Mail

12.10.2010
Von 
Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 

E-Mail - nur eine moderne Postkarte

"Die in E-Mails enthaltenen Informationen genießen im Normalfall höchstens die Sicherheit einer Postkarte", warnt denn auch Thomas Stürznickel, Leiter des Geschäftsbereichs Business Security bei der Secunet AG. "Dennoch wird in Unternehmen diese Gefahr beim Schutz vertraulicher Informationen häufig unterschätzt." Gegenüber dem klassischen Geschäftsbrief fehlen der E-Mail einige wesentliche Merkmale: etwa der Briefumschlag, der die Vertraulichkeit der Informationen gewährleistet, oder Unterschrift und Stempel für die Originalität sowie die Authentizität des Absenders.

Unter dem Strich ergeben sich für den IT-Verantwortlichen daraus vier Herausforderungen:

• E-Mails und Mail-Systeme müssen vor Bedrohungen von außen geschützt werden;

• die Integrität der per Mail versandten Informationen ist sicherzustellen;

• Datenlecks, die für den ungewollten Abfluss vertraulicher Informationen verantwortlich sind, sollten ausgeschlossen werden können;

• die Kommunikation muss nachvollziehbar sein, damit das Unternehmen den gesetzlichen Vorgaben entspricht.

Authentizität sicherstellen

Schwieriger als der Schutz der Mail-Umgebung vor Bedrohungen von außen (siehe Kasten) ist es, die Integrität der versandten elektronischen Post zu gewährleisten. Um sicherzustellen, dass die E-Mails beim Empfänger ungelesen und unverändert ankommen, existieren mehrere Verfahren. Sie vereinen zum Teil mit Verschlüsselung und Signatur mehrere Schutzaspekte. Entsprechende Ansätze sind etwa Pretty Good Privacy, GNU Privacy Guard oder S/MIME. Die Identifikation des Absenders (etwa bei der Rechnungsstellung zum Vorsteuerabzug) erfolgt hierzulande durch eine qualifizierte elektronische Signatur nach dem deutschen Signaturgesetz. Zudem ist die elektronische Signatur im Rahmen des Elektronischen Abfallnachweisverfahrens seit 1. April 2010 bei der Entsorgung gefährlicher Abfälle gefordert. Ab 1. Februar 2011 soll die Pflicht auf weitere Bereiche des Entsorgungswesens ausgedehnt werden. Insgesamt nutzen aber bislang noch wenige Unternehmen Schutzmechanismen wie Verschlüsselung oder Signatur, weshalb andere Stimmen ein radikales Umdenken in Sachen Geschäftskommunikation fordern. Sie regen an, bei der internen Kommunikation auf Wikis oder Social-Media-Enterprise-Plattformen umzusteigen, weil diese mehr Sicherheit böten. Und extern, so ihre Anregung, könnten vertrauliche Dokumente über Hilfsmittel wie Secure-FTP ausgetauscht werden.

Datenlecks verhindern

Genauso wichtig sind mittlerweile klare Regeln, welche Informationen Mitarbeiter per E-Mail kommunizieren dürfen. Bevor hier über technische Lösungen nachgedacht wird, sollte eine E-Mail-Policy erarbeitet werden, die definiert, wer welche Informationen wie per E-Mail versenden darf. Eine Möglichkeit, technisch zu verhindern, dass vertrauliche Informationen ungewollt oder mit böser Absicht in fremde Hände geraten, sind dann Data-Loss-Prevention-Systeme. Moderne, vernünftig konfigurierte Plattformen werden von den Anwendern weniger als Bevormundung denn als Arbeitserleichterung angenommen. Anhand des Inhalts und des verwendeten Kontexts der Daten können solche Systeme, wie Secunet-Manager Stürznickel erklärt, nicht nur entscheiden, ob ein Mitarbeiter diese Informationen überhaupt versenden darf, sondern bei Bedarf auch gleich Maßnahmen zur Übertragungssicherheit - etwa eine Verschlüsselung der Mail - einleiten.