E-Mail-Verschlüsselung: Auf Nummer sicher

E-Mails, die im üblichen E-Mail-Protokoll SMTP (Simple Mail Transfer Protocol) übertragen werden, sind für Unbefugte mit geringem Aufwand so einfach zu lesen wie eine Postkarte. Abhilfe schafft die durchgängige Verschlüsselung vom Sender bis zum Empfänger.

Die Affäre um die Überwachungsprogramme Prism und Co. zeigt: Per
E-Mail versandte Daten sind vor dem Einblick Dritter nicht geschützt. Anders als bei der Briefpost gibt es im E-Mail-Verkehr nämlich keinen Umschlag, der den Inhalt einer Nachricht vor dem Lesen durch Unbefugte bewahrt.

Zwar sind in Bezug auf Antivirenprogramme, Firewalls, regelmäßige Sicherheitsupdates und Datensicherungen mittlerweile die meisten Unternehmen vor den bekannten Gefahren der Internetnutzung geschützt. Nahezu alle Firmen, die für eine aktuelle Studie von Deutschland sicher im Netz e.V. Auskunft über ihre IT-Sicherheitsmaßnahmen gaben, sorgen hier vor.

Ein ganz anderes Bild ergibt sich beim Thema E-Mail-Sicherheit: 56 Prozent der Unternehmen ergreifen keine Schutzmaßnahmen, um die Vertraulichkeit, Integrität und Authentizität der digitalen Botschaften sicherzustellen. Nicht nur staatliche Stellen, sondern auch Cyberkriminelle auf der Jagd nach vertraulichen Unternehmensdaten haben so leichtes Spiel.

Für Erklärungen im Geschäftsverkehr, die Textform erfordern, gelten E-Mails rechtlich als verbindlich. Das bedeutet: Grundsätzlich können per elektronischer Post Verträge geschlossen oder verändert werden. Authentizität, also die Gewissheit, dass eine Nachricht von dem im Header angegebenen Absender stammt, ist hierfür entscheidend.

Ebenso wichtig ist die Integrität einer E-Mail – die Garantie, dass der Inhalt nicht manipuliert wurde. Der Gesetzgeber fordert für Rechtsgeschäfte, für die Schriftform vorgeschrieben ist, deshalb den Einsatz qualifizierter elektronischer Signaturen. Kryptographische Verfahren stellen hier Authentizität und Integrität von E-Mail-Nachrichten sicher.

Zwei Standards für mehr Sicherheit

Rechnungen, Patente, Verträge – ganz gleich ob global operierender Konzern oder Familienbetrieb: Sensible Informationen und Firmeninterna in den falschen Händen können schwerwiegende juristische und finanzielle Folgen bedeuten. Passende Verschlüsselungsverfahren stellen sicher, dass der geschäftliche E-Mail-Verkehr vor neugierigen Blicken geschützt bleibt.

Die beiden gängigen Lösungsansätze verwenden hierfür unterschiedliche Verschlüsselungsverfahren. Die am häufigsten genutzten Standards basieren auf einem asymmetrischen Verschlüsselungsverfahren: S/MIME und Open PGP sehen für jeden Kommunikationspartner ein zusammengehörendes Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel vor.

Mit dem öffentlichen Schlüssel chiffrieren die Kommunikationspartner die Nachricht an den Empfänger. Nur der Adressat der Nachricht kennt den privaten Schlüssel zum Dechiffrieren. Damit alle Teilnehmer auf die öffentlichen Schlüssel ihrer Kommunikationspartner zugreifen können, wird deren Authentizität von Zertifizierungsstellen (S/MIME) oder in einem Vertrauensmodell (Open PGP) bestätigt.

Clientbasierte Verschlüsselung

Bei der clientbasierten Verschlüsselung erfolgt die Ver- und Entschlüsselung auf dem Endgerät von Sender und Empfänger. E-Mail-Clients wie Microsoft Outlook oder Mozilla Thunderbird enthalten die entsprechende Funktion standardmäßig oder können mit Erweiterungen aufgewertet werden.

Aufgrund seiner Komplexität erfordert dieses Ende-zu-Ende-Verfahren vor allem bei einer größeren Anzahl von Arbeitsplätzen einen vergleichsweise hohen Administrationsaufwand. Damit eignet sich die clientbasierte Lösung eher als kostengünstige Lösung für kleine Unternehmen.

Serverbasierte Verschlüsselung

Mit Blick auf die einfache Anwendbarkeit ist die serverbasierte Lösung der Ende-zu-Ende-Verschlüsselung überlegen. Die Verschlüsselung erfolgt hier nicht durch den Client, sondern auf einem E-Mail-Server. Entschlüsseln kann eine E-Mail-Nachricht entweder ein weiterer Server auf Empfängerseite oder der E-Mail-Client des Kommunikationspartners. Möglich ist hier auch eine Form der passwortgeschützten Alternativverschlüsselung in einem Format wie PDF oder ZIP.

Vorteil der serverbasierten Variante: Da die zentral aufgestellten Server vom Administrator professionell betreut werden, müssen sich die Beschäftigten im Unternehmen mit der Verschlüsselung ihrer E-Mails nicht befassen. Allerdings birgt der ungeschützte Transportweg der E-Mail zwischen Client und Server Risiken. Befindet sich letzterer außerhalb des eigenen Unternehmensnetzwerkes, muss die Übertragung zusätzlich abgesichert werden.

E-Mail Security as a Service

Als dritte Option bieten externe Anbieter zunehmend cloud-basierte Services an. Ver- und Entschlüsselung finden hier im Rechenzentrum des jeweiligen Anbieters statt, der für Betrieb und Service der eingesetzten IT-Systeme sorgt. Der gewohnte E-Mail Workflow der Anwender ändert sich nicht. Der Kunde hat damit weder Kosten für Anschaffung und Einrichtung, noch Aufwand für die Administration. Allerdings: Der Anbieter, der hier den Zuschlag erhält, muss absolut vertrauenswürdig sein und sollte dies durch entsprechende Zertifikate belegen können. Zudem ist auch hier eine abgesicherte Verbindung aus dem eigenen Unternehmen entscheidend, um umfassenden Schutz zu gewährleisten.

Für die zuverlässige Verschlüsselung von E-Mails stehen heute unterschiedliche Lösungsansätze zur Verfügung, die sich in der Anwendung und den Kosten unterscheiden. Welches Modell am besten für die eigenen Ansprüche passt, muss daher individuell entschieden werden. Eines jedoch ist allen Verschlüsselungslösungen gleich: Sie sorgen für zuverlässigen Schutz vor Mitlesern.

Unternehmen aus der Region, die ihre Sicherheitsstandards in Bezug auf E-Mail-Korrespondenz auf den aktuellsten Stand bringen wollen, können sich auf der it-sa, einer der größten Fachmessen für IT-Sicherheit, vom 8. bis 10. Oktober 2013 informieren. Zahlreiche Unternehmen präsentieren im Messezentrum Nürnberg unter anderem Lösungsansätze für den sicheren E-Mail-Verkehr. Die Veranstalter erwarten wieder über 300 Aussteller, die mit ihren Produkten und Dienstleistungen das gesamte Spektrum der IT-Sicherheit abdecken.

Zu den Besuchern der Fachmesse it-sa zählen Führungskräfte, Administratoren und Fachleute aus Unternehmen und Behörden genauso wie Firmeninhaber und Selbstständige, die sich in Sachen Sicherheit von Informationstechnologie auf den neuesten Stand bringen möchten.

IHK-Angebote:
Verschlüsselung in der Praxis

Prism und Co. haben eine Diskussion zum Thema Informationssicherheit entfacht. Auch der Mittelstand ist sensibilisiert: Kleine und mittlere Unternehmen brauchen praxisnahe Lösungen um ihre wertvollen Daten zu schützen – das Thema Verschlüsselung steht dabei an erster Stelle.

Deshalb bietet die IHK Nürnberg auf der größten deutschen IT-Sicherheitsmesse it-sa (8. bis 10. Oktober 2013) in Nürnberg eine Informationsveranstaltung zu diesem Thema an. Am Donnerstag, 10. Oktober von 10 bis 13 Uhr im Messezentrum Nürnberg können sich speziell kleine und mittlere Unternehmen über das Thema Verschlüsselung informieren. Neben der Vorstellung verschiedener Verschlüsselungsmöglichkeiten wird auch die Umsetzung der Maßnahmen in kleinen und mittleren Unternehmen vorgestellt sowie verschiedene Lösungsszenarien in der Praxis präsentiert.

Die Veranstaltung findet im Rahmen der Informationssicherheits-Initiative des Bayerischen Industrie- und Handelskammertages (BIHK) und des bayerischen Finanzministeriums statt.

Autor: Thomas Philipp Haas

WiM – Wirtschaft in Mittelfranken, Ausgabe 09/2013, Seite 18