Sicherheitsrisiko E-Mail?

von Daniel Niesler

Unternehmen, die allgemein zugängliche Informationen per E-Mail an Geschäftspartner, Kunden oder Dienstleister versenden, könne dies sorglos tun. Bei vertraulichen Daten wie Geschäftsverträgen oder Konstruktionszeichnungen sieht die Sache schon anders aus. Auf dem Weg vom Sender zum Empfänger kann potenziell jeder die Daten lesen.

Inhaltsübersicht:

• Wie schutzbedürftig sind meine Daten?
• Lückenlose Verschlüsselung
• Einfache Bedienung für mehr Akzeptanz
• Fazit

Viele Unternehmen haben in den vergangenen Jahren in Virenschutz, Spamfilter und Firewalls investiert und damit die IT-Sicherheit verbessert. Den E-Mailversand sensibler Geschäftsdaten und die damit verbundenen Risiken haben sie ausgeblendet. Geraten diese Informationen jedoch durch Diebstahl in die falschen Hände, entsteht daraus schnell ein hoher materieller und meist auch ein massiver Imageschaden. Die Konsequenz daraus kann nur lauten, dass vertrauliche, per E-Mail übermittelte Informationen optimal geschützt sein müssen.

Angreifer haben heute viele Mittel zur Verfügung, um ihr Ziel zu erreichen. Allerdings gibt es auch technische und organisatorische Möglichkeiten, die Hürden höher zu legen und es Angreifern so schwer wie möglich zu machen. Die Ende-zu-Ende-Verschlüsselung der Daten zählt zu den wirksamsten Methoden. Sie sollte am Entstehungsort der Daten einsetzen und den gesamten Übertragungsweg mit einschließen. Dazu kommt, dass Unternehmen eine ganzheitliche Strategie zum Umgang mit ihren vertraulichen Daten verfolgen, die nahtlos in den Geschäftsalltag integriert ist.

Wie schutzbedürftig sind meine Daten?

Bei der Umsetzung einer durchgängigen Ende-zu-Ende-Datensicherheit lassen sich drei zentrale Bausteine unterscheiden:

1. eine Klassifikation der Daten,
2. die Bewertung der Risiken eines Datenverlustes und
3. Maßnahmen zur Minderung dieser Risiken.

Am Anfang steht eine Analyse der im Einsatz befindlichen Daten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu ein dreistufiges Modell zur Klassifizierung der Schutzbedürftigkeit von Daten vorgeschlagen:

1. Normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
2. Hoch: Die Schadensauswirkungen können beträchtlich sein.
3. Sehr hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen“.

Es empfiehlt sich, eine Ende-zu-Ende-Verschlüsselungslösung zuerst dort zu etablieren, wo die Sicherheitsanforderungen am größten sind – bei der Geschäftsleitung, der Personalabteilung und der Produktentwicklung. Wenn die Führungsebene den konsequenten Einsatz der Lösung vorlebt, lässt sich dies auch als Hebel zur weiteren Verbreitung im Unternehmen nutzen.

Lückenlose Verschlüsselung

Die durchgängige Verschlüsselung nimmt ihren Anfang auf dem Endgerät des Versenders und reicht über den gesamten Übertragungsweg bis hin zum Empfänger. Bei dieser Ende-zu-Ende-Verschlüsselung kommt das Zero-Knowledge-Prinzip zum Einsatz. Sicherheitsexperten erachten dieses als wirksamstes Mittel gegen Cyberkriminalität und Überwachung. Zero-Knowledge bedeutet, dass kein Dritter Zugang zu dem zur Entschlüsselung benötigten Key und so einen Einblick in die Kundendaten erhält, weder der Anbieter einer Verschlüsselungslösung, eines Datentransfer-Systems oder eines Cloud-Speicherdienstes.

Unter technologischen Aspekten spielt die eingesetzte Verschlüsselungstechnologie eine bedeutende Rolle. Advanced Encryption Standard (AES) gilt heute als der bedeutendste Verschlüsselungsalgorithmus und kommt beispielsweise in den USA zum Einsatz, wenn Behörden staatliche Dokumente mit der höchsten Geheimhaltungsstufe verschicken. Die Empfehlung hier lautet: Es gibt gute Lösungen, die AES 256 bieten, daher sollte man – wenn immer möglich – bereits heute auf AES 256 setzen. Mit Blick auf die Zukunft ist das ein Muss, weil weniger starke Verschlüsselungen leichter geknackt werden können.

Der Schutz der Daten erfolgt nach dem Public-Private-Key-Prinzip. Der Absender verschlüsselt eine Nachricht für den Empfänger mit einem zentral gespeicherten Public Key. Dieser kann dann die Datei mit seinem persönlichen Private Key entschlüsseln. Auch die Private Keys sind verschlüsselt abgelegt und nur über das Passwort des jeweiligen Benutzers zugänglich. Während der Public Key allgemein zugänglich ist, ist der Private Key geheim beziehungsweise ist nur dem Empfänger bekannt.

Einfache Bedienung für mehr Akzeptanz

Bislang hat sich die Ende-zu-Ende-Verschlüsselung von Nachrichten und Dateien noch nicht in breitem Umfang durchgesetzt. Einer der Gründe dafür ist, dass Unternehmen den vermeintlichen Mehraufwand scheuen. Heute gibt es erste Lösungen, die im Gegensatz beispielsweise zu PGP und S/Mime einfach zu handhaben, rasch in bestehende Systeme integrierbar und individuell an die Erfordernisse von Unternehmen anpassbar sind. Die Verschlüsselungslösung sollte so einfach zu bedienen sein wie ein E-Mail-Programm und nahtlos integriert werden; Dann wird sie auch von den Anwendern akzeptiert und eingesetzt.

Die Lösung sollte eine durchgängig verschlüsselte Übertragung von Daten gewährleisten und den Transfer zwischen beliebigen Personen ermöglichen, ohne dass dazu aufwändig Schlüssel ausgegeben oder Zertifikate installiert werden müssen. Das technische Herzstück bildet ein Server, der nach dem Zero-Knowledge-Prinzip arbeitet. Er kann entweder direkt im Unternehmen stehen, das die Ende-zu-Ende-Verschlüsselung einsetzen will, oder im sicheren Rechenzentrum seines Dienstleisters. Vor dem Versand werden die vertraulichen Daten automatisch mit einer Kombination der Krypto-Verfahren AES 256 und einer RSA-Schlüssellänge von 4096 Bit verschlüsselt, segmentiert und verschickt. Die gesamten Daten bleiben während des Transports verschlüsselt und erst der Empfänger wandelt sie mit seinem Private Key wieder in ein lesbares Format um.

Es gibt bereits heute einige Lösungen, die ausschließlich Ende-zu-Ende-Verschlüsselung mit wenigen Klicks ermöglichen. Dementsprechend ist es sinnvoll, auf diese zukunftsweisenden Angebote zu setzen, weil jegliche Dokumente und Nachrichten so auf einfache und sichere Weise ausgetauscht werden können.

Fazit

Überall dort, wo es auf Sicherheit und Nachvollziehbarkeit bei der Übertragung vertraulicher Daten ankommt, sollten Unternehmen eine wirksame Ende-zu-Ende-Verschlüsselung der Daten einsetzen. Geht ein Unternehmen auf die Suche nach einer geeigneten Lösung, zählt neben der intuitiven Bedienung und der nahtlosen Integration in die vorhandene IT, auch die garantierte Zustellung zu den Auswahlkriterien. Dabei erhält der Absender eine automatische Bestätigung über die vollständige und unveränderte Dateizustellung. Hinzu kommt eine revisionssichere Protokollierung. Die Verschlüsselungslösung sollte demnach in der Lage sein, sämtliche Vorgänge für eine lückenlose Nachweisbarkeit der Zugriffe aufzuzeichnen, für die sich sowohl die interne Revision eines Unternehmens als auch externe Auditoren interessieren. Die Verschlüsselungslösung wird damit letztlich zu einem unverzichtbaren Bestandteil einer umfassenden Lösung für IT-Compliance und IT-Sicherheit.