Methoden zur durchgängigen E-Mail-Verschlüsselung gibt es seit vielen Jahren, doch sie werden nach wie vor nur in geringem Umfang eingesetzt. Dies zeigte erst kürzlich wieder eine repräsentative Umfrage von Convios Consulting im Auftrag von Web.de und GMX. Obwohl drei Viertel der Befragten E-Mail-Verschlüsselung für wichtig halten, setzen nur 16 Prozent sie tatsächlich ein. Und auch in Unternehmen ist die Lage nicht viel besser. In der Untersuchung "Security Bilanz Deutschland" von Techconsult wurde die Umsetzung verschlüsselter Kommunikationskanäle von 63 Prozent der Befragten als "nicht gut" bewertet.
Mit der Einführung derDatenschutzgrundverordnung(DSGVO) seit Mai 2018 gehen Unternehmen hohe Risiken ein, wenn sie den E-Mail-Schutz vernachlässigen. Wer bisher keine Verschlüsselung einsetzt, sollte dies daher schleunigst nachholen. Diese zehn Tipps helfen Ihnen, die richtige E-Mail-Verschlüsselungslösung für Ihre Zwecke zu finden:
1. Setzen Sie auf Standards
Standards garantieren Ihnen die größtmögliche Kompatibilität zu den Kommunikationssystemen Ihrer Kunden und Geschäftspartner. Verschlüsselungs-Standards sind außerdem in vielen Lösungen zur E-Mail-Kommunikation bereits integriert.
Bei der E-Mail-Verschlüsselung sind zwei Gruppen von Standards zu unterscheiden. Das ist zum einen die Transportverschlüsselung mittels Transport Layer Security (TLS) beziehungsweise der Vorgänger Secure Socket Layer (SSL). Dabei bauen Absender und Empfänger für die E-Mail-Kommunikation einen verschlüsselten Tunnel auf.
Allerdings liegen die Daten sowohl beim Absender und beim Empfänger – sowie gegebenenfalls auch auf den dazwischenliegenden Knoten – unverschlüsselt vor. Um hier zusätzliche Sicherheit zu schaffen, sollten auch die Inhalte verschlüsselt werden. Dafür sind im Wesentlichen zwei Protokolle zu nennen: S/MIME (Secure / Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy).
Eine weitere Möglichkeit der Inhaltsverschlüsselung bieten die Microsoft Rights Management Services (RMS). Sie stellen genau genommen zwar keinen Standard dar, werden von einigen Unternehmen aber durchaus zur Verschlüsselung von E-Mails verwendet. RMS gibt es in zwei Ausprägungen: als Active Directory RMS (AD RMS) für den Einsatz on-premise und als Azure RMS in Verbindung mit der Microsoft-Cloud.
Bei der Inhaltsverschlüsselung werden allerdings nicht alle übertragenen Informationen für Dritte unlesbar gemacht. Die sogenannten Metadaten wie Absender, Empfänger und Betreff werden im Klartext übertragen, was ein Sicherheitsrisiko darstellen kann. Größtmögliche Sicherheit bietet daher die Kombination aus Transport- und Inhaltsverschlüsselung.
2. Bieten Sie Kommunikationspartnern alternative Verschlüsselungsmethoden
Obwohl Technologien wie PGP schon seit mehr als 25 Jahren auf dem Markt sind, werden sie leider nicht flächendeckend eingesetzt, denn für die Nutzung sind Zertifikate und Schlüssel Voraussetzung. Das wiederum erfordert eine entsprechende Infrastruktur oder zumindest technisches Know-how. Sie können daher nicht unbedingt davon ausgehen, dass alle Ihre Kommunikationspartner auch auf Basis von PGP oder S/MIME kommunizieren können. Deshalb sollten Sie ihnen Alternativen anbieten. Dafür gibt es im Prinzip zwei Möglichkeiten:
Bei den sogenannten Pull-Verfahren meldet sich der Empfänger im System des Absenders an und erhält die Nachrichten, nachdem er sich authentisiert hat. Typische Vertreter sind sichere Webmail-Portale. Beim Push-Verfahren wird die E-Mail dagegen konvertiert, verschlüsselt und dem Empfänger als Anhang einer Träger-Mail zugesandt. Hier kommen vor allem Formate wie Zip, PDF oder HTML in Frage.
3. Sichern Sie auch die interne Kommunikation
Die vorgestellten Methoden sind vor allem für die Kommunikation mit externen Partnern konzipiert. Sie sollten aber auch in der internen Kommunikation auf größtmögliche Sicherheit setzen. Bei personenbezogenen Daten verpflichtet Sie dieDSGVOsogar dazu, diese auf dem kompletten Transportweg verschlüsselt zu übertragen.
Deshalb sollte die Lösung, die Sie einsetzen, auch die Verschlüsselung von E-Mail-Nachrichten innerhalb Ihres Unternehmens unterstützen – und dazu idealerweise Standards benutzen, die in Ihrem E-Mail-Client bereits vorhanden ist. Dadurch sparen Sie sich die Installation und Pflege zusätzlicher Plug-ins und Add-ons.
4. Ermöglichen Sie eine zentrale Datenfluss- und Inhaltskontrolle
Die durchgängige Verschlüsselung der E-Mail-Kommunikation bringt eine Herausforderung mit sich: Sicherheitssysteme wie Virenscanner, Antispam-Software oder DLP-Lösungen (Data Leakage Protection) können die Inhalte der Nachrichten nicht mehr analysieren und damit nicht mehr korrekt arbeiten. Deshalb sollten Sie eine Lösung einsetzen, die Schnittstellen für diese zentralen Systeme der Datenfluss- und Inhaltskontrolle mitbringt oder sogar selbst Schadcode aus verschlüsselten E-Mails herausfiltern kann.
5. Stellen Sie bei Bedarf höchste Geheimhaltung sicher
Auch wenn die Erkennung von Malware, Spam und anderen schädlichen oder unerwünschten Inhalten wichtig und wünschenswert ist, sollten Sie dennoch Mechanismen vorsehen, die höchste Geheimhaltung ermöglichen und bei denen nur Sender und Empfänger Kenntnis vom Inhalt einer E-Mail erhalten. Das ist bei der Ende-zu-Ende-Verschlüsselung der Fall, bei der eine zentrale Datenfluss- und Inhaltskontrolle demzufolge nicht möglich ist.
6. Denken Sie auch an weniger offensichtliche Fälle von E-Mail-Kommunikation
Nicht nur Menschen versenden E-Mails, auch Applikationen nutzen diesen Weg der Kommunikation. Auch hierbei kann es sich um sensible schützenswerte Daten handeln, etwa wenn automatisiert Lohnabrechnungen, Lieferscheine oder Rechnungen versendet werden. Nutzen Sie daher eine Lösung, die auch die Verschlüsselung dieser E-Mail-Kommunikation unterstützt, da die meisten Applikationen selbst nicht dafür ausgelegt sind.
Ein weiterer Punkt, den Sie bedenken sollten, ist die E-Mail-Archivierung. Werden Nachrichten verschlüsselt abgelegt, lassen sie sich nur sehr schwer wiederfinden, da Informationen nur über Metadaten und nicht über den Inhalt extrahiert werden können. Eine Verschlüsselungslösung sollte deshalb auch Schnittstellen für Archiv- und Journalsysteme zur Verfügung stellen.
7. Vergessen Sie die (großen) Anhänge nicht
E-Mail wird häufig als Trägermedium zum Versand von Dateien genutzt, obwohl E-Mail dafür ursprünglich gar nicht vorgesehen war. Das führt vor allem bei großen Anhängen zu erheblichen Problemen, zum Beispiel wenn das System des Empfängers den Anhang nicht annimmt. Wählen Sie daher eine Verschlüsselungslösung, die auch den Versand von E-Mails mit großen Anhängen unterstützt, ohne dass die Mailserver überlastet und verstopft werden. Bei solchen Lösungen werden diese Anhänge physisch nicht über den Mailserver transportiert, sondern über Systeme, die dafür ausgelegt sind.
8. Bieten Sie alle Funktionen auch auf mobilen Endgeräten
Die sichere E-Mail-Kommunikation muss natürlich auch mit allen mobilen Endgeräten funktionieren. Die Verschlüsselungslösung Ihrer Wahl sollte dazu möglichst die Methoden unterstützen, die in den nativen Mail-Clients der Geräteplattformen oder den Mail-Clients Ihres Mobile Device Management (MDM) bereits verfügbar sind.
9. Bleiben Sie unabhängig
Um zukunftsfähig und flexibel zu bleiben, sollten Sie auf ein System setzen, das auf verschiedensten Betriebssystemen und Plattformen lauffähig ist. Die Lösung sollte Ihnen außerdem die Wahl lassen, ob Sie das System intern, aus der Cloud oder in einer hybriden Umgebung betreiben wollen. Natürlich sollten auch sämtliche gängigen E-Mail-Clients und -Server auf allen Plattformen unterstützt werden.
10. Achten Sie auf Anwenderfreundlichkeit
Jedes Projekt steht und fällt mit der Nutzerfreundlichkeit. Wenn Sie eine Verschlüsselungslösung einsetzen, die schwierig und aufwändig zu bedienen ist, werden die Anwender sie nicht nutzen. Die eingesetzte Lösung sollte den Nutzer deshalb in seiner täglichen Arbeit weder behindern noch einschränken.