Leitfaden zur E-Mail-Verschlüsselung

Anzeige

E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.

 

 

Jedes zweite Unternehmen in Deutschland und Österreich hatte bereits einen konkreten Spionageangriff auf ihre EDV-Systeme oder zumindest Verdachtsfälle zu beklagen. Dabei handelt es sich vor allem um Hackerangriffe sowie um abgefangene elektronische Kommunikation: In Deutschland stellten 41,1 %, in Österreich 40,0 % derartige Aktivitäten fest. Doch nur ein Bruchteil setzt auf Verschlüsselung.

 

Es waren unter anderem diese Zahlen aus der Studie »Industriespionage 2014 – Cybergeddon der Wirtschaft durch NSA & Co.?«, die die TeleTrusT-Arbeitsgruppe » Cloud Security« zum Anlass nahm, einen Leitfaden zur E-Mail-Verschlüsselung zu veröffentlichen [1]. Der mehr als 70 Seiten umfassende Leitfaden legt Funktionsweise, Relevanz und technischen Hintergrund der E-Mail-Verschlüsselung dar und gibt konkrete Handlungsempfehlungen.

 

»Da die Kommunikation per E-Mail in zahlreichen Organisationen und Unternehmen Kommunikationsmittel Nummer Eins ist, ist die Verschlüsselung von E-Mails einer der wesentlichen Schritte in der Kommunikationssicherheit«, sagt Patrycja Tulinska, Geschäftsführerin der PSW GROUP (www.psw-group.de). Der Anbieter von E-Mail-Zertifikaten ist als Mitglied der Arbeitsgruppe »Cloud Security« an der Publikation beteiligt. »E-Mail-Verschlüsselung macht aus einer für alle lesbaren Postkarte einen versiegelten Brief, den nur der berechtigte Empfänger lesen kann«, betont Tulinska und sagt weiter: »E-Mail-Verschlüsselung ist wichtig, weil zum einen bestimmte Daten und Informationen schlichtweg geheim gehalten werden sollen. Zum anderen müssen Compliance-Richtlinien erfüllt werden. Mit der Datenschutzgrundverordnung macht der Gesetzgeber auch konkrete Vorgaben zum Umgang mit personenbezogenen Daten.«

 

So zeigt die neue TeleTrust-Publikation unter anderem Technologien auf, die das Verschlüsseln von E-Mails ermöglichen. Vorgestellt werden praxisnahe Lösungen, etwa die Verschlüsselung direkt im Client des Anwenders sowie alternative Gateway-Lösungen. »In Zeiten von Schwachstellen wie Efail, Industriespionage und Hackerangriffen stellt die verschlüsselte Übertragung von E-Mails einen immens wichtigen Baustein zur IT-Sicherheit dar. Nur verschlüsselte Kommunikation kann als sicher und vertrauenswürdig angesehen werden«, betont Tulinska und ergänzt: »Da gängige E-Mail-Programme die Verschlüsselung unterstützen und mit Gateway-Lösungen der Aufwand nicht beim User, sondern in der IT-Abteilung liegt, gibt es auch keine Ausreden: E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.«

 

Bei der Verschlüsselung über den E-Mail-Client des Users können E-Mail-Zertifikate auf einem Token oder als Softkey vorhanden sein. So lässt sich die Verschlüsselung Ende-zu-Ende realisieren. Die E-Mails liegen auch auf dem Mailserver sowie im internen Unternehmensnetz immer verschlüsselt vor. Die E-Mail-Verschlüsselung über S/MIME wird von gängigen E-Mail-Programmen wie Outlook unterstützt, während für PGP in aller Regel zusätzliche Programme benötigt werden. Für Verschlüsselungs-Gateways wird hingegen zentral konfiguriert, welche E-Mails ausschließlich verschlüsselt übertragen werden. Entsprechende Prozesse innerhalb der IT-Administration nehmen die Komplexität der Verschlüsselung dem einzelnen User ab. Ein Gateway kann sicherstellen, dass bestimmte Kommunikation grundsätzlich verschlüsselt wird, außerdem lassen sich Mail-Inhalte vor dem Verschlüsseln und nach dem Entschlüsseln auf Malware oder kritische Inhalte prüfen.

 

»Welcher dieser Ansätze im rechtlichen, organisatorischen und technischen Kontext für welches Unternehmen geeignet ist, muss jede Organisation für sich entscheiden. Denkbar ist auch ein Mix: Bestimmte Mitarbeiter verschlüsseln am Client, die restliche Belegschaft nutzt die Verschlüsselungsfunktion des Gateways«, rät Patrycja Tulinska.

 

[1] https://www.teletrust.de/fileadmin/user_upload/2020-TeleTrusT_E-Mail-Verschlüsselung.pdf

Weitere Informationen unter: https://www.psw-group.de/blog/s-mime-teletrust-leitfaden/7378

 

40 Artikel zu “ E-Mail-Verschlüsselung“

E-Mail-Verschlüsselung mit PGP ist nicht sicher

Die Verwendung von Keyservern zeigt deutliche Schwächen – E-Mail-Verschlüsselung mittels S/MIME als bessere Alternative. In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf: Bereits Angriffe mit einfachsten Methoden auf SKS Keyserver führten zu Überlastungen und dazu, dass Schlüssel unbrauchbar wurden. Darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam. Die…

Hürden der E-Mail-Verschlüsselung

E-Mail-Verschlüsselung gehört verpflichtend zur DSGVO, dennoch tun sich viele Unternehmen schwer damit. Aktuelle Umfrage zeigt die Hürden auf. »Initiative Mittelstand verschlüsselt!« bietet einfache und schnell umzusetzende Lösung.   Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, veröffentlicht die Ergebnisse einer Umfrage zu den Hürden der E-Mail-Verschlüsselung aus Sicht der Anwenderunternehmen. Die…

E-Mail-Verschlüsselung: Ende-zu-Ende-Verschlüsselung kaum verbreitet

Drei Viertel der deutschen Internetnutzer finden es wichtig, E-Mails so verschlüsseln zu können, dass nur noch der Empfänger sie lesen kann. Das geht aus einer aktuellen Umfrage im Auftrag von web.de und gmx hervor. Tatsächlich verwenden aber nur rund 16 Prozent der Befragten Ende-zu-Ende Verschlüsselung. Aber warum verzichten Onliner darauf, ihre Kommunikation zu sichern? 37,6…

Wird 2016 das Jahr der E-Mail-Verschlüsselung?

Mehrheit deutscher Unternehmen ist nicht auf Volksverschlüsselung vorbereitet. E-Mail-Verschlüsselung rückt verstärkt in den Fokus der Öffentlichkeit: Mit der von der Deutschen Telekom und dem Fraunhofer-Institut für Sichere Informationstechnologie SIT geschaffenen »Volksverschlüsselung« und der von Bundesinnenminister Thomas de Maizière unterzeichneten »Charta zur Stärkung der vertrauenswürdigen Kommunikation« haben sich jüngst zwei viel beachtete Initiativen des Themas angenommen.…

Sensible Patientendaten sicher per E-Mail verschicken

 Selbst nach 35 Jahren ist die E-Mail noch immer das berufliche Kommunikationsmittel schlechthin, das in diversen Branchen eingesetzt wird. Auch im Gesundheitswesen findet die elektronische Post längst Anwendung. Aufgrund der verschärften Sicherheitsanforderungen zum Schutz von Gesundheitsdaten nutzen aber nicht alle Arztpraxen den E-Mail-Versand; doch was ist der Grund dafür, wenn es professionelle Lösungen gibt, mit…

Irrtümer der E-Mail-Archivierung: Die Archivfunktion des E-Mail-Programms ist keine rechtssichere Archivierung

Vor allem aus steuerrechtlichen Gründen sind Unternehmen dazu verpflichtet, geschäftliche Korrespondenzen aufzubewahren: Das Finanzamt erhebt den Anspruch, auch nach Jahren nachvollziehen zu können, wie welche Geschäfte zustande kamen. Bereits seit 2017 schreiben die GoBD, das HGB, die Abgabenordnung und das Umsatzsteuergesetz die Archivierung elektronischer Post vor. »Auch die Datenschutzgrundverordnung trägt ihren Teil zur Pflicht der…

Was Cyberkriminelle 2020 bewegt – Die schlechten Vorsätze fürs neue Jahr

The same procedure as last year? The same procedure as every year! Auch im ersten Jahr nach Inkrafttreten der DSGVO ist der Schutz persönlicher Daten eine große Herausforderung. Der Mensch bleibt das schwächste Glied in der IT-Sicherheitskette, das Cyberkriminelle mit immer ausgefeilteren Methoden angreifen. Ihnen bieten sich durch Digitalisierung, 5G-Netzausbau und den wachsenden (Stellen-) Wert…

Der deutsche E-Mail-Markt auf einen Blick

Fast 50 Prozent der im Auftrag von GMX und WEB.DE befragten Onliner, geben an, ihr Haupt-E-Mail-Postfach bei einem der beiden Provider zu haben. Zusammengenommen kommen die deutschen Anbieter auf einen Marktanteil von rund 64 Prozent. Auf Platz drei liegt Gmail, der E-Mail-Dienst von Google (14,8 Prozent), den vierten Platz belegt Outlook.com von Microsoft (9,3 Prozent).…

PDFex: Sicherheitsrisiko verschlüsselte PDF-Dateien?

Bochumer Forschungsgruppe veröffentlicht unter dem Namen PDFex eine Sicherheitslücke bei verschlüsselten PDF-Dateien. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußert sich in einer Vorinformation dazu. Für wen bestehen welche Risiken und wer ist betroffen? Zudem werden Alternativen für Organisationen mit besonderen Sicherheitsanforderungen aufgezeigt.   Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung…

Massive Auswirkungen von E-Mail-Attacken auf den Geschäftsbetrieb

43 Prozent der Unternehmen sind in den letzten 12 Monaten Opfer eines Spear-Phishing-Angriffs geworden. Barracuda veröffentlicht die Ergebnisse einer in Auftrag gegebenen Umfrage unter 660 IT-Verantwortlichen weltweit. Dabei fragte das Unternehmen nach den Erfahrungen mit Phishing, Insider-Bedrohungen, Office 365 und die damit verbunden Auswirkungen auf die Geschäftsabläufe sowie die Ausgaben für IT-Security und die Kosten…

Es war einmal vor 35 Jahren: die Geburt der ersten E-Mail

Am 3. August 1984 um 10:14 Uhr wurde in Deutschland die erste E-Mail empfangen. Die damaligen wissenschaftlichen Mitarbeiter des Telematik-Instituts der Universität Karlsruhe, Werner Zorn und Michael Rotert, richteten den ersten deutschen Mailserver ein. In ihren Postfächern landete eine E-Mail von Laura Breeden aus Massachusetts. Den beiden gelang damit ein erfolgreicher Anschluss an das US-amerikanische…

Datenschutz und Verschlüsselung im Gesundheitswesen siechen vor sich hin

Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart: Sensible Daten von Patientinnen und Patienten nicht ausreichend geschützt. Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn…

Spam-E-Mail: Sicher durch die Fluten

Kombination aus Wachsamkeit und technischem Schutz schützt umfassender vor gefährlichen Spam-E-Mails. Wer kennt sie nicht, die E-Mail-Flut, die jeden Tag aufs Neue am Arbeitsrechner über einen hereinbricht. Dabei ist es mittlerweile eher der Fall, dass Angestellte die wichtigen E-Mails aus dem Meer an Spam herausfischen (müssen), als andersherum. »Bei Spamnachrichten muss zwischen Werbe-E-Mails und gefährlicher…