Die E-Mail hat den klassischen Brief längst als Kommunikationsweg im Geschäftsverkehr verdrängt. Auch viele Handwerksbetriebe verschicken sensible Daten wie Verträge und Rechnungen per Mail, einen Schutz vor ungewünschten Mitlesern kann aber kaum einer von ihnen vorweisen. Dabei ist die Absicherung einfach umzusetzen.
Steffen Guthardt
56 Prozent der kleinen und mittelständischen Betriebe versenden ihre E-Mails ohne jeglichen Schutz. Damit können Dritte ohne besonderen Aufwand auf die Nachrichten zugreifen und zum Beispiel sensible Vertragsinformationen oder Finanzinterna mitlesen und für ihre Zwecke missbrauchen. Zu diesem alarmierenden Ergebnis kommt eine neue Studie, die vom Verein "Deutschland sicher im Netz" herausgegeben wurde.
Die Studie zeigt, dass vielen Unternehmen der Unterschied zwischen allgemeinen IT-Sicherheitsstandards wie etwa einer Firewall oder einem Virenscanner und Schutzmaßnahmen für den E-Mail-Verkehr überhaupt nicht bewusst ist. 99 Prozent der befragten Unternehmen verfügen nämlich über allgemeine IT-Sicherheitsprogramme, aber die E-Mail wird stiefmütterlich behandelt.
Dabei nimmt der geschäftliche E-Mail-Versand in Betrieben von Jahr zu Jahr zu. Über 100 Milliarden solcher Mails werden von Betrieben pro Tag weltweit verschickt. Einen klassischen Brief verschicken über die Hälfte der Firmen inzwischen weniger als einmal im Jahr.
Seite 2: Mit diesen Maßnahmen können Betriebe ihre E-Mails absichern.
Eine einfache Lösung ist, vertrauliche Anhänge wie etwa Word-Dokumente vor dem verschicken in eine passwortgeschützte PDF-Datei oder ein Zip-Archiv umzuwandeln. So können Kriminelle Daten zwar immer noch abfangen, aber ihnen wird es wesentlich erschwert, die Informationen auch zu Lesen, wenn sie nicht die richtigen Passwörter kennen. Dabei gilt: Das Passwort sollte sich nicht einfach herleiten lassen, nicht zu kurz sein und aus einer Kombination aus Buchstaben, Sonderzeichen und Ziffern bestehen.
Als dauerhafte Lösung sollten Handwerksbetriebe jedoch richtige Verschlüsselungsverfahren für den E-Mail-Verkehr einsetzen. Die meistgenutzten Standards sind die asymmetrischen Verfahren S/MIME und OpenPGP. Leseberechtigen Kommunikationspartnern wird damit ein Schlüsselpaar zur Verfügung gestellt, mit denen Sie Nachrichten ver- und entschlüsseln können. Die verwendeten Schlüssel werden dabei zuvor von geeigneten Instanzen zertifiziert.
Datev und der Verein Deutschland sicher im Netz haben die wichtigsten Verfahren in einem Überblick zusammengestellt:
Clientbasierte Verschlüsselungslösungen
Bei der clientbasierten Verschlüsselung übernehmen die Endgeräte von Sender und Empfänger selbst das Verschlüsseln, Entschlüsseln, Signieren und die Verifikation von Nachrichten. Dieser Ansatz ermöglicht die durchgängige Verschlüsselung einer E-Mail über ihren gesamten Übertragungsweg und wird daher auch als Ende-zu-Ende-Ansatz (end-to-end) bezeichnet.
Die E-Mail-Clients von Sender und Empfänger müssen dazu mit einer Verschlüsselungsfunktion ausgestattet sein. Während einige Clients, zum Beispiel Microsoft Outlook, diese bereits mitbringen, können andere Programme mit Hilfe von Erweiterungen nachgerüstet werden.
Clientbasierte Verschlüsselungslösungen erfordern häufig – insbesondere bei einer größeren Anzahl von Clients – einen hohen Administrationsaufwand und einige Fachkenntnisse bei den Anwendern. Weitere Nachteile: Verschlüsselte E-Mails können nicht zentral auf Viren geprüft werden, sodass die Umsetzung unternehmensweiter Sicherheitsrichtlinien erschwert wird. Außerdem kann sich die Schlüsselverwaltung für Mitarbeiter und Kommunikationspartner kompliziert gestalten und führt bei der externen E-Mail-Kommunikation evtl. zu weiteren Problemen (fehlende Infrastruktur auf der Empfängerseite, fehlende Interoperabilität der jeweils eingesetzten Verschlüsselung).
Seite 3: E-Mail-Gateways und Managed Services.
Serverbasierte Lösungen / E-Mail-Gateways
Eine serverbasierte Lösung, die alle E-Mails zentral auf einem sogenannten Secure E-Mail Gateway ver- und entschlüsselt, hat diese Probleme nicht. Eine solche Lösung, oft als "virtuelle Poststelle" bezeichnet, ist den Ende-zu-Ende-Lösungen in Bezug auf zentrale Administrierbarkeit und Entlastung der Anwender überlegen. Serverbasierte Lösungen erlauben die Umsetzung von unternehmensweiten Sicherheitsrichtlinien.
In der Regel kommen hier PKI-basierte Verschlüsselungsverfahren zum Einsatz, möglich ist aber alternativ – wenn die Kommunikationspartner nicht per PKI kommunizieren – auch eine passwortgestützte Alternativverschlüsselung. Dabei werden Nachrichten oder wichtige Dokumente in ein Format konvertiert, das einen Passwortschutz bietet, zum Beispiel PDF oder ZIP oder auf einem im Internet erreichbaren Server sicher abgelegt.
Es müssen also nicht mehr Schlüssel oder Zertifikate, sondern nur noch Passwörter ausgetauscht bzw. kommuniziert werden – das aber auf einem anderen Kommunikationskanal wie z. B. per Telefon.
Zu den Nachteilen serverbasierter Verschlüsselungslösungen gehören neben den Anschaffungskosten eine anspruchsvollere Konfiguration und zum anderen der ungeschützte Transportweg der E-Mail zwischen Client und Gateway. Der muss eventuell zusätzlich abgesichert werden, wenn sich das Gateway zum Beispiel bei einem Dienstleister und nicht im eigenen Unternehmensnetzwerk befindet.
E-Mail Security as a Service
Um die zuvor beschriebenen Alternativen auch für kleinere Unternehmen und Selbstständige interessant zu machen, bieten zunehmend externe Anbieter die IT-Aufgaben wie zum Beispiel die E-Mail-Verschlüsselung als "Managed Services" an. Das Modell wird auch als „Software as a Service“ (SaaS) oder „cloud-basierte“ Lösung bezeichnet und meint im Wesentlichen, dass die Ver- und Entschlüsselung im Rechenzentrum des jeweiligen Anbieters abläuft.
Betrieb, Konfiguration und Wartung der benötigten IT-Systeme liegen beim Anbieter. Die Vorteile: Der Kunde muss die nötige Hardware und Software weder anschaffen noch einrichten und administrieren. Der Sicherheitsservice ist sofort nutzbar, Investitionskosten und Kapitalbindung sind geringer und es wird kein speziell ausgebildetes IT-Personal benötigt.
Die zu erwartenden Kosten sind eindeutig kalkulierbar und wenn sich der Performance-Bedarf ändert, kann die Lösung leicht skaliert werden. Ist der Service einmal eingerichtet, werden E-Mails zentral und auf Wunsch automatisiert ver- und entschlüsselt, ohne dass sich der vertraute E-Mail-Workflow der Anwender ändert oder die Flexibilität der Geschäftsprozesse beeinträchtigt wird.
Unternehmen, die sich für einen solchen Service interessieren, müssen allerdings bei der Auswahl des richtigen Anbieters einige wichtige Punkte beachten. Der wichtigste: Sie vertrauen einem fremden Unternehmen ihre sensiblen Daten an – der gewählte Partner sollte also absolut vertrauenswürdig sein, sein zertifiziertes (z. B. nach ISO 27001) Rechenzentrum in Deutschland betreiben und natürlich auch über die notwendige Erfahrung und Leistungsfähigkeit verfügen. Die Lösung sollte dabei auch eine abgesicherte Verbindung vom eigenen Unternehmensnetzwerk zum Gateway des externen Dienstleisters bieten.
Seite 4: De-Mail und E-Post-Brief.
Sonderlösungen: E-Postbrief und De-Mail
Wer keine eigene Verschlüsselungsinfrastruktur betreiben möchte, kann heute auf die Dienste verschiedener Service-Provider zurückgreifen. Neben den dargestellten SaaS-Diensten wird im Zusammenhang mit sicherer Kommunikation oft auch auf den E-Postbrief und die De-Mail verwiesen.
Allerdings ist die Sicherung der Vertraulichkeit, wie sie die E-Mail-Verschlüsselung anstrebt, nicht der Zweck dieser Angebote. Vielmehr wird neben der (unverschlüsselten) E-Mail und dem Papierbrief ein weiterer Kommunikationskanal geöffnet. Beide Dienste treten an, eine rechtssichere, datenschutzkonforme und nachweisbare digitale Kommunikation zum Beispiel mit Vertragspartnern und Behörden zu gewährleisten. Sie sollen sozusagen nicht den Briefumschlag, sondern das Einschreiben ersetzen. Die Verschlüsselung der elektronischen Kommunikation ist quasi ein Nebenprodukt.
Beide Dienste sind wahlweise über eine Web-Oberfläche oder auch per Mail- Client nutzbar. Für die verschlüsselte Kommunikation ist bei beiden Diensten ein Konto erforderlich, was einerseits die Authentizität von Absender und Empfänger sicherstellt, andererseits aber den Kreis der Kommunikationspartner auf Kontoinhaber beschränkt.
Bei De-Mail sieht es noch ähnlich aus, jedoch ist der Dienst nicht auf einen einzelnen Anbieter beschränkt. Das staatlich geförderte, auf ein Projekt des Bundesinnenministeriums zurückgehende Vorhaben wird durch das De-Mail-Gesetz vom 28.4.2011 geregelt und sieht vor, dass die entsprechenden De-Mail-Dienstleistungen von entsprechend akkreditierten privaten Unternehmen angeboten werden. Die konkrete Ausgestaltung der De Dienste und Funktionen wird sich also (im Rahmen der gesetzlichen Vorgaben) von Anbieter zu Anbieter unterscheiden.
Ausführliche Informationen zu diesem Thema bietet der Leitfaden "Verschlüsselung von E-Mails", der unter sicher-im-netz.de zum Download bereit steht.
Einen Sicherheitscheck können Betriebe hier durchführen