Hemmnissen beim Einsatz elektronischer Verschlüsselung durch Vorgaben entgegenwirken

Ein Expertenkommentar zur BMWi-Studie »Einsatz von elektronischer Verschlüsselung – Hemmnisse für die Wirtschaft« [1].

Quelle: Zertificon Solutions GmbH

Im Rahmen der Digitalen Strategie 2025 wurde vom Bundesministerium für Wirtschaft und Energie (BMWi) eine Studie zu den Hemmnissen beim Einsatz elektronischer Verschlüsselung in Auftrag gegeben. Die Ergebnisse wurden in dieser Woche vorgestellt. Zu den daraus entwickelten Handlungsempfehlungen zählen erwartungsgemäß »Awareness-Kampagnen«, zusätzlich soll ein IT-Kompass den Verantwortlichen Orientierung geben, wo Branchenvorgaben unter Anleitung des BSI fehlen. Dass solche Vorgaben höchst effektiv sind, beweist die Energiebranche. Durch die dort flächendeckend erzwungene Verschlüsselung wird auch neuen Bedrohungen durch Big Data Analytics wirksam begegnet.

Die BMWi-Studie bestätigt wenig überraschend, dass nur getan wird, was getan werden muss.

94 % der Befragten sehen Verschlüsselung als Grundsatz einer ordentlichen Geschäftsführung. Technisch möglich sei Verschlüsselung in 72 % der Unternehmen. Die Sorge vor Aufwand und Kosten schiebt jedoch Investitionen auf die lange Bank. Schlechte Usability oder mangelnde Fachkenntnisse behinderten den Einsatz vorhandener Lösungen. Die Eigenmotivation, aus der Analyse der Bedrohungslagen heraus die E-Mail-Kommunikation zu verschlüsseln, ist in vielen Fällen entsprechend nicht ausreichend. Um Verschlüsselung zum Standard zu machen, muss eine gewisse Fremdmotivation über den Druck von Geschäftspartnern, Kunden und auch gesetzlichen oder branchenspezifischen Vorgaben hinzukommen.

Ein erfolgreiches Beispiel ist die Einführung der »EDI@Energy – Regelungen zum Übertragungsweg« in der Energiewirtschaft im letzten Jahr. Die gesamte elektronische Marktkommunikation der deutschen Energiewirtschaft ist nun nach aktuellsten Sicherheitsstandards verschlüsselt. Verantwortlichkeiten und Sanktionen für die möglichen Fehlerfälle wurden definiert, was dazu führt, dass es keine unverschlüsselten E-Mails zwischen Marktpartnern der Energiebranche mehr gibt. Technisch wird die Verschlüsselung über Secure-E-Mail-Gateways gelöst, die automatisiert im Hintergrund arbeiten.

28 % ohne Verschlüsselung, trügerische Sicherheit bei den anderen

Eine verschlüsselte Datenübertragung – zu der auch E-Mails zählen – sei laut der BMWi-Studie bei 72 % der KMU und über 91 % der Großunternehmen verfügbar. Dies bedeutet aber nicht, dass die vorhandenen Verschlüsselungslösungen flächendeckend genutzt werden. Dies ist jedoch von großer Wichtigkeit. Die einzelne E-Mail mit brisanten, schützenswerten Inhalten zu verschlüsseln, ist nur die halbe Miete, denn was passiert mit den verbleibenden E-Mails, die das Unternehmen ungeschützt erreichen und verlassen? In Zeiten günstigen Speicherplatzes und effizienter Big-Data-Analysen ist ein mögliches Angriffsszenario, den gesamten E-Mail-Verkehr eines Unternehmens abzufangen und strukturiert auszuwerten. Dies gewährt einen sehr intimen Einblick in Unternehmen und deren Geschäftsbeziehungen.

Dieser realen Sicherheitsbedrohung kann nur mit Secure-E-Mail-Gateways als hoch automatisierter Infrastrukturlösungen begegnet werden. Oft kostenfreie Einzelplatzlösungen, wie sie derzeit beim Großteil der KMU im Einsatz sind, skalieren nicht und führen tatsächlich zu hohen Aufwänden und Schulungsbedarf.

Vorgaben, die den Einsatz flächendeckender Verschlüsselungslösungen unter Verwendung sicherer Technologien fordern, wären die logische Folge der Studie. Gesetzgeber und Branchenverbände wären aufgefordert, feste Regeln zu etablieren. Stattdessen werden neue Awareness-Kampagnen ins Leben gerufen und an die Vernunft der Unternehmen appelliert, mit einem IT-Kompass als Handreichung, der die aktuelle Marktsituation nur unzureichend erfasst.

Unabhängig von der BMWi-Studie werden in Kürze Vorgaben gültig, welche die Verschlüsselung in Unternehmen forcieren. Aufgrund des IT-Sicherheitsgesetzes stehen nach der Energiebranche demnächst weitere kritische Infrastrukturen im Fokus. Ähnliche Vorgaben zur sicheren elektronischen Kommunikation werden erwartet. Auch die Europäische Datenschutz-Grundverordnung (EU DSGVO) nimmt Unternehmen bei der Verarbeitung personenbezogener Daten in die Pflicht. Wir werden sehen, dass Regulierungen den Hemmnissen beim Einsatz elektronischer Verschlüsselung effektiv entgegenwirken.

Zertificon Solutions GmbH

[1] https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/einsatz-von-elektronischer-verschluesselung-hemmnisse-fuer-die-wirtschaft.pdf

 


 

Zypries: Neuer Kompass zur IT-Verschlüsselung sorgt für mehr Sicherheit für Unternehmen

Der Einsatz von Verschlüsselungslösungen, beispielsweise für E-Mails und Datenträger, ist ein wichtiger Faktor, um die IT-Sicherheit von Unternehmen zu erhöhen und Gefahren durch Angriffe zu minimieren. Obwohl die erforderlichen Lösungen alle auf dem Tisch zu liegen scheinen, kommt der flächendeckende Einsatz nicht recht voran. Eine Studie im Auftrag des BMWi kommt zu dem Ergebnis, dass insbesondere bei den kleinen und mittleren Unternehmen (KMU) noch großer Nachholbedarf herrscht: Während Großunternehmen zu über 90 % Verschlüsselungslösungen einsetzen, ist dies lediglich bei rund drei Vierteln der KMU der Fall.

Bundeswirtschaftsministerin Brigitte Zypries: »Informationen in einer unverschlüsselten E-Mail sind etwa genauso schlecht geschützt, als würde man sie auf einer Postkarte versenden. Die Notwendigkeit für elektronische Verschlüsselung wird zwar oftmals erkannt, die Umsetzung scheitert jedoch an dem scheinbar hohen Aufwand und der umständlichen Bedienung im Alltag. Deshalb haben wir die tieferliegenden Hemmnisse beim Einsatz von Verschlüsselung in einer Studie untersuchen lassen und in einem ersten Schritt einen Kompass zur IT-Verschlüsselung als Orientierungshilfe für Unternehmen erstellt. Denn es wird immer wichtiger, dass Unternehmen ihr geistiges Eigentum sowie Unternehmens- und Kundendaten vor den immer professionelleren Hackerangriffen schützen. Wir wollen sie dabei unterstützen.«

Die Ergebnisse der Studie, die vom Auftragnehmer Institut für Internet-Sicherheit – if(is), Goldmedia GmbH und dem Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie, IRNIK, erstellt wurde, finden Sie hier: https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/einsatz-von-elektronischer-verschluesselung-hemmnisse-fuer-die-wirtschaft.html

Hier geht es zum Kompass zur IT-Verschlüsselung: https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/kompass-it-verschluesselung.html

 


 

Warum Datenschutz und Verschlüsselung ein Thema für die Vorstandsetage ist

Die DSGVO rückt näher: Ohne Verschlüsselung geht es nicht

Verschlüsselung oder Tokenisierung: Nur noch 11 Monate bis zur EU-DSGVO

Umfrage zeigt: Noch langer Weg bis zum Verschlüsselungsstandort Nr. 1

E-Mail-Verschlüsselung: Ende-zu-Ende-Verschlüsselung kaum verbreitet

E-Mail: Volksverschlüsselung muss kommen