Methoden zur durchgängigen E-Mail-Verschlüsselung gibt es seit vielen Jahren, doch sie werden nach wie vor nur in geringem Umfang eingesetzt. Dies zeigte erst kürzlich wieder eine repräsentative Umfrage von Convios Consulting im Auftrag von Web.de und GMX. Obwohl drei Viertel der Befragten E-Mail-Verschlüsselung für wichtig halten, setzen nur 16 Prozent sie tatsächlich ein. Und auch in Unternehmen ist die Lage nicht viel besser. In der Untersuchung "Security Bilanz Deutschland" von Techconsult wurde die Umsetzung verschlüsselter Kommunikationskanäle von 63 Prozent der Befragten als "nicht gut" bewertet.
Mit der Einführung derDatenschutzgrundverordnung(DSGVO) seit Mai 2018 gehen Unternehmen hohe Risiken ein, wenn sie den E-Mail-Schutz vernachlässigen. Wer bisher keine Verschlüsselung einsetzt, sollte dies daher schleunigst nachholen. Diese zehn Tipps helfen Ihnen, die richtige E-Mail-Verschlüsselungslösung für Ihre Zwecke zu finden:
1. Setzen Sie auf Standards
Standards garantieren Ihnen die größtmögliche Kompatibilität zu den Kommunikationssystemen Ihrer Kunden und Geschäftspartner. Verschlüsselungs-Standards sind außerdem in vielen Lösungen zur E-Mail-Kommunikation bereits integriert.
Bei der E-Mail-Verschlüsselung sind zwei Gruppen von Standards zu unterscheiden. Das ist zum einen die Transportverschlüsselung mittels Transport Layer Security (TLS) beziehungsweise der Vorgänger Secure Socket Layer (SSL). Dabei bauen Absender und Empfänger für die E-Mail-Kommunikation einen verschlüsselten Tunnel auf.
Allerdings liegen die Daten sowohl beim Absender und beim Empfänger – sowie gegebenenfalls auch auf den dazwischenliegenden Knoten – unverschlüsselt vor. Um hier zusätzliche Sicherheit zu schaffen, sollten auch die Inhalte verschlüsselt werden. Dafür sind im Wesentlichen zwei Protokolle zu nennen: S/MIME (Secure / Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy).
Eine weitere Möglichkeit der Inhaltsverschlüsselung bieten die Microsoft Rights Management Services (RMS). Sie stellen genau genommen zwar keinen Standard dar, werden von einigen Unternehmen aber durchaus zur Verschlüsselung von E-Mails verwendet. RMS gibt es in zwei Ausprägungen: als Active Directory RMS (AD RMS) für den Einsatz on-premise und als Azure RMS in Verbindung mit der Microsoft-Cloud.
Bei der Inhaltsverschlüsselung werden allerdings nicht alle übertragenen Informationen für Dritte unlesbar gemacht. Die sogenannten Metadaten wie Absender, Empfänger und Betreff werden im Klartext übertragen, was ein Sicherheitsrisiko darstellen kann. Größtmögliche Sicherheit bietet daher die Kombination aus Transport- und Inhaltsverschlüsselung.
2. Bieten Sie Kommunikationspartnern alternative Verschlüsselungsmethoden
Obwohl Technologien wie PGP schon seit mehr als 25 Jahren auf dem Markt sind, werden sie leider nicht flächendeckend eingesetzt, denn für die Nutzung sind Zertifikate und Schlüssel Voraussetzung. Das wiederum erfordert eine entsprechende Infrastruktur oder zumindest technisches Know-how. Sie können daher nicht unbedingt davon ausgehen, dass alle Ihre Kommunikationspartner auch auf Basis von PGP oder S/MIME kommunizieren können. Deshalb sollten Sie ihnen Alternativen anbieten. Dafür gibt es im Prinzip zwei Möglichkeiten:
Bei den sogenannten Pull-Verfahren meldet sich der Empfänger im System des Absenders an und erhält die Nachrichten, nachdem er sich authentisiert hat. Typische Vertreter sind sichere Webmail-Portale. Beim Push-Verfahren wird die E-Mail dagegen konvertiert, verschlüsselt und dem Empfänger als Anhang einer Träger-Mail zugesandt. Hier kommen vor allem Formate wie Zip, PDF oder HTML in Frage.
3. Sichern Sie auch die interne Kommunikation
Die vorgestellten Methoden sind vor allem für die Kommunikation mit externen Partnern konzipiert. Sie sollten aber auch in der internen Kommunikation auf größtmögliche Sicherheit setzen. Bei personenbezogenen Daten verpflichtet Sie dieDSGVOsogar dazu, diese auf dem kompletten Transportweg verschlüsselt zu übertragen.
Deshalb sollte die Lösung, die Sie einsetzen, auch die Verschlüsselung von E-Mail-Nachrichten innerhalb Ihres Unternehmens unterstützen – und dazu idealerweise Standards benutzen, die in Ihrem E-Mail-Client bereits vorhanden ist. Dadurch sparen Sie sich die Installation und Pflege zusätzlicher Plug-ins und Add-ons.
4. Ermöglichen Sie eine zentrale Datenfluss- und Inhaltskontrolle
Die durchgängige Verschlüsselung der E-Mail-Kommunikation bringt eine Herausforderung mit sich: Sicherheitssysteme wie Virenscanner, Antispam-Software oder DLP-Lösungen (Data Leakage Protection) können die Inhalte der Nachrichten nicht mehr analysieren und damit nicht mehr korrekt arbeiten. Deshalb sollten Sie eine Lösung einsetzen, die Schnittstellen für diese zentralen Systeme der Datenfluss- und Inhaltskontrolle mitbringt oder sogar selbst Schadcode aus verschlüsselten E-Mails herausfiltern kann.
5. Stellen Sie bei Bedarf höchste Geheimhaltung sicher
Auch wenn die Erkennung von Malware, Spam und anderen schädlichen oder unerwünschten Inhalten wichtig und wünschenswert ist, sollten Sie dennoch Mechanismen vorsehen, die höchste Geheimhaltung ermöglichen und bei denen nur Sender und Empfänger Kenntnis vom Inhalt einer E-Mail erhalten. Das ist bei der Ende-zu-Ende-Verschlüsselung der Fall, bei der eine zentrale Datenfluss- und Inhaltskontrolle demzufolge nicht möglich ist.
6. Denken Sie auch an weniger offensichtliche Fälle von E-Mail-Kommunikation
Nicht nur Menschen versenden E-Mails, auch Applikationen nutzen diesen Weg der Kommunikation. Auch hierbei kann es sich um sensible schützenswerte Daten handeln, etwa wenn automatisiert Lohnabrechnungen, Lieferscheine oder Rechnungen versendet werden. Nutzen Sie daher eine Lösung, die auch die Verschlüsselung dieser E-Mail-Kommunikation unterstützt, da die meisten Applikationen selbst nicht dafür ausgelegt sind.
Ein weiterer Punkt, den Sie bedenken sollten, ist die E-Mail-Archivierung. Werden Nachrichten verschlüsselt abgelegt, lassen sie sich nur sehr schwer wiederfinden, da Informationen nur über Metadaten und nicht über den Inhalt extrahiert werden können. Eine Verschlüsselungslösung sollte deshalb auch Schnittstellen für Archiv- und Journalsysteme zur Verfügung stellen.