Rechtskonform kommunizieren

Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung

26.07.2018 von Marcel Mock
Seit der Datenschutzgrundverordnung (DSGVO) ist das Thema E-Mail-Verschlüsselung für Unternehmen noch relevanter. Diese zehn Tipps helfen Ihnen, E-Mail-Kommunikation sicher und datenschutzkonform umzusetzen.

Methoden zur durchgängigen E-Mail-Verschlüsselung gibt es seit vielen Jahren, doch sie werden nach wie vor nur in geringem Umfang eingesetzt. Dies zeigte erst kürzlich wieder eine repräsentative Umfrage von Convios Consulting im Auftrag von Web.de und GMX. Obwohl drei Viertel der Befragten E-Mail-Verschlüsselung für wichtig halten, setzen nur 16 Prozent sie tatsächlich ein. Und auch in Unternehmen ist die Lage nicht viel besser. In der Untersuchung "Security Bilanz Deutschland" von Techconsult wurde die Umsetzung verschlüsselter Kommunikationskanäle von 63 Prozent der Befragten als "nicht gut" bewertet.

Mit der Einführung derDatenschutzgrundverordnung(DSGVO) seit Mai 2018 gehen Unternehmen hohe Risiken ein, wenn sie den E-Mail-Schutz vernachlässigen. Wer bisher keine Verschlüsselung einsetzt, sollte dies daher schleunigst nachholen. Diese zehn Tipps helfen Ihnen, die richtige E-Mail-Verschlüsselungslösung für Ihre Zwecke zu finden:

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

1. Setzen Sie auf Standards

Standards garantieren Ihnen die größtmögliche Kompatibilität zu den Kommunikationssystemen Ihrer Kunden und Geschäftspartner. Verschlüsselungs-Standards sind außerdem in vielen Lösungen zur E-Mail-Kommunikation bereits integriert.

Bei der E-Mail-Verschlüsselung sind zwei Gruppen von Standards zu unterscheiden. Das ist zum einen die Transportverschlüsselung mittels Transport Layer Security (TLS) beziehungsweise der Vorgänger Secure Socket Layer (SSL). Dabei bauen Absender und Empfänger für die E-Mail-Kommunikation einen verschlüsselten Tunnel auf.

Allerdings liegen die Daten sowohl beim Absender und beim Empfänger – sowie gegebenenfalls auch auf den dazwischenliegenden Knoten – unverschlüsselt vor. Um hier zusätzliche Sicherheit zu schaffen, sollten auch die Inhalte verschlüsselt werden. Dafür sind im Wesentlichen zwei Protokolle zu nennen: S/MIME (Secure / Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy).

Eine weitere Möglichkeit der Inhaltsverschlüsselung bieten die Microsoft Rights Management Services (RMS). Sie stellen genau genommen zwar keinen Standard dar, werden von einigen Unternehmen aber durchaus zur Verschlüsselung von E-Mails verwendet. RMS gibt es in zwei Ausprägungen: als Active Directory RMS (AD RMS) für den Einsatz on-premise und als Azure RMS in Verbindung mit der Microsoft-Cloud.

Bei der Inhaltsverschlüsselung werden allerdings nicht alle übertragenen Informationen für Dritte unlesbar gemacht. Die sogenannten Metadaten wie Absender, Empfänger und Betreff werden im Klartext übertragen, was ein Sicherheitsrisiko darstellen kann. Größtmögliche Sicherheit bietet daher die Kombination aus Transport- und Inhaltsverschlüsselung.

2. Bieten Sie Kommunikationspartnern alternative Verschlüsselungsmethoden

Obwohl Technologien wie PGP schon seit mehr als 25 Jahren auf dem Markt sind, werden sie leider nicht flächendeckend eingesetzt, denn für die Nutzung sind Zertifikate und Schlüssel Voraussetzung. Das wiederum erfordert eine entsprechende Infrastruktur oder zumindest technisches Know-how. Sie können daher nicht unbedingt davon ausgehen, dass alle Ihre Kommunikationspartner auch auf Basis von PGP oder S/MIME kommunizieren können. Deshalb sollten Sie ihnen Alternativen anbieten. Dafür gibt es im Prinzip zwei Möglichkeiten:

Bei den sogenannten Pull-Verfahren meldet sich der Empfänger im System des Absenders an und erhält die Nachrichten, nachdem er sich authentisiert hat. Typische Vertreter sind sichere Webmail-Portale. Beim Push-Verfahren wird die E-Mail dagegen konvertiert, verschlüsselt und dem Empfänger als Anhang einer Träger-Mail zugesandt. Hier kommen vor allem Formate wie Zip, PDF oder HTML in Frage.

3. Sichern Sie auch die interne Kommunikation

Die vorgestellten Methoden sind vor allem für die Kommunikation mit externen Partnern konzipiert. Sie sollten aber auch in der internen Kommunikation auf größtmögliche Sicherheit setzen. Bei personenbezogenen Daten verpflichtet Sie dieDSGVOsogar dazu, diese auf dem kompletten Transportweg verschlüsselt zu übertragen.

Deshalb sollte die Lösung, die Sie einsetzen, auch die Verschlüsselung von E-Mail-Nachrichten innerhalb Ihres Unternehmens unterstützen – und dazu idealerweise Standards benutzen, die in Ihrem E-Mail-Client bereits vorhanden ist. Dadurch sparen Sie sich die Installation und Pflege zusätzlicher Plug-ins und Add-ons.

4. Ermöglichen Sie eine zentrale Datenfluss- und Inhaltskontrolle

Die durchgängige Verschlüsselung der E-Mail-Kommunikation bringt eine Herausforderung mit sich: Sicherheitssysteme wie Virenscanner, Antispam-Software oder DLP-Lösungen (Data Leakage Protection) können die Inhalte der Nachrichten nicht mehr analysieren und damit nicht mehr korrekt arbeiten. Deshalb sollten Sie eine Lösung einsetzen, die Schnittstellen für diese zentralen Systeme der Datenfluss- und Inhaltskontrolle mitbringt oder sogar selbst Schadcode aus verschlüsselten E-Mails herausfiltern kann.

5. Stellen Sie bei Bedarf höchste Geheimhaltung sicher

Auch wenn die Erkennung von Malware, Spam und anderen schädlichen oder unerwünschten Inhalten wichtig und wünschenswert ist, sollten Sie dennoch Mechanismen vorsehen, die höchste Geheimhaltung ermöglichen und bei denen nur Sender und Empfänger Kenntnis vom Inhalt einer E-Mail erhalten. Das ist bei der Ende-zu-Ende-Verschlüsselung der Fall, bei der eine zentrale Datenfluss- und Inhaltskontrolle demzufolge nicht möglich ist.

6. Denken Sie auch an weniger offensichtliche Fälle von E-Mail-Kommunikation

Nicht nur Menschen versenden E-Mails, auch Applikationen nutzen diesen Weg der Kommunikation. Auch hierbei kann es sich um sensible schützenswerte Daten handeln, etwa wenn automatisiert Lohnabrechnungen, Lieferscheine oder Rechnungen versendet werden. Nutzen Sie daher eine Lösung, die auch die Verschlüsselung dieser E-Mail-Kommunikation unterstützt, da die meisten Applikationen selbst nicht dafür ausgelegt sind.

Ein weiterer Punkt, den Sie bedenken sollten, ist die E-Mail-Archivierung. Werden Nachrichten verschlüsselt abgelegt, lassen sie sich nur sehr schwer wiederfinden, da Informationen nur über Metadaten und nicht über den Inhalt extrahiert werden können. Eine Verschlüsselungslösung sollte deshalb auch Schnittstellen für Archiv- und Journalsysteme zur Verfügung stellen.

7. Vergessen Sie die (großen) Anhänge nicht

E-Mail wird häufig als Trägermedium zum Versand von Dateien genutzt, obwohl E-Mail dafür ursprünglich gar nicht vorgesehen war. Das führt vor allem bei großen Anhängen zu erheblichen Problemen, zum Beispiel wenn das System des Empfängers den Anhang nicht annimmt. Wählen Sie daher eine Verschlüsselungslösung, die auch den Versand von E-Mails mit großen Anhängen unterstützt, ohne dass die Mailserver überlastet und verstopft werden. Bei solchen Lösungen werden diese Anhänge physisch nicht über den Mailserver transportiert, sondern über Systeme, die dafür ausgelegt sind.

8. Bieten Sie alle Funktionen auch auf mobilen Endgeräten

Die sichere E-Mail-Kommunikation muss natürlich auch mit allen mobilen Endgeräten funktionieren. Die Verschlüsselungslösung Ihrer Wahl sollte dazu möglichst die Methoden unterstützen, die in den nativen Mail-Clients der Geräteplattformen oder den Mail-Clients Ihres Mobile Device Management (MDM) bereits verfügbar sind.

9. Bleiben Sie unabhängig

Um zukunftsfähig und flexibel zu bleiben, sollten Sie auf ein System setzen, das auf verschiedensten Betriebssystemen und Plattformen lauffähig ist. Die Lösung sollte Ihnen außerdem die Wahl lassen, ob Sie das System intern, aus der Cloud oder in einer hybriden Umgebung betreiben wollen. Natürlich sollten auch sämtliche gängigen E-Mail-Clients und -Server auf allen Plattformen unterstützt werden.

10. Achten Sie auf Anwenderfreundlichkeit

Jedes Projekt steht und fällt mit der Nutzerfreundlichkeit. Wenn Sie eine Verschlüsselungslösung einsetzen, die schwierig und aufwändig zu bedienen ist, werden die Anwender sie nicht nutzen. Die eingesetzte Lösung sollte den Nutzer deshalb in seiner täglichen Arbeit weder behindern noch einschränken.

14 Regeln für den E-Mail-Verkehr
1. Verfassen Sie Ihre E-Mails knapp und präzise.
Alles was mehr als zwei Seiten umfasst, gehört in eine angehängte Datei.
2. Überprüfen Sie Rechtschreibung und Grammatik.
In den meisten E-Mail-Systemen gibt es entsprechende Funktionen. Da dies bekannt ist, werden entsprechende Fahrlässigkeiten übel genommen. Fehler suggerieren: Der Autor hat sich entweder für mich keine Zeit genommen oder er ist ein Schlendrian.
3. Beantworten Sie E-Mails schnell.
Reaktionsschnelligkeit ist einer der entscheidenden Vorteile von elektronischer Post. Vor allem auf erwartete Messages sollte zügig geantwortet werden. Wenn man nicht gerade extrem beschäftigt ist, sollte man den Posteingang mehrmals täglich checken. Allerdings ist es nicht nötig, die automatische Benachrichtung (Auto Notify) zu jeder eingehenden E-Mail zu aktivieren - das lenkt zu sehr von der Arbeit ab.
4. Gehen Sie sparsam mit der Funktion "Antwort an alle" um.
Es besteht die Möglichkeit, die Nachricht an eine Gruppe zu versenden, aus der sich vielleicht nur ein Prozent der Beteiligten dafür interessiert. Der Effekt ist vergleichbar mit einer Fahrt in einem öffentlichen Verkehrsmittel, in dem man gezwungen ist, dem Handygespräch eines Unbekannten zuzuhören. Wer ohne Notwendigkeit allen antwortet, erzeugt außerdem jede Menge elektronischen Müll. Insbesondere, wenn Anhänge mitgeschickt werden, führt das unnötige Versenden an große Verteiler zu Ressourcenproblemen.
5. Sorgen Sie dafür, dass Ihre E-Mail einfach lesbar ist.
Experton empfiehlt, die E-Mail in einem Stil zu verfassen, der einem schriftlichen Dokument (zum Beispiel Geschäftsbrief) gleicht. Grußformel und Unterschrift (Automatische Signatur) sind selbstverständlich. Außerdem sind kurze Sätze sowie - bei längeren Texten - Absätze zu empfehlen.
6. Halten Sie sich an die rechtlichen Bestimmungen für den E-Mail-Verkehr.
In Deutschland gilt seit Anfang 2007 eine neue Rechtsprechung, der zufolge im Anhang Pflichtangaben über das Unternehmen (Rechtsform, Sitz, Registergericht, Geschäftsführung) vorgeschrieben sind. Außerdem kann es manchmal nützlich sein, Angaben zu Urheberrecht, Vervielfältigung oder sonstige Rechtsklauseln anzuhängen. Im Übrigen sollten Unternehmen Regeln für den E-Mail-Verkehr formulieren (E-Mail-Policy), die regelmäßig zu verbreiten sind, damit auch neue Mitarbeiter auf dem Laufenden gehalten werden.
7. Antworten Sie niemals auf Spam.
Eigentlich eine Binsenweisheit, und doch ein immer wieder gemachter Fehler. Viele Spammer statten ihre Nachricht mit einer Opt-out-Funktion aus, indem die Mail im Betreff-Feld vorgeblich mit "unsubscribe" abbestellt werden kann. Für manche Spam-Programme, die für den automatischen Versand des elektronischen Mülls sorgen, bedeutet eine solche Antwort: Der Adressat ist da, er kann mehr Spam in Empfang nehmen.
8. Nutzen Sie Blindkopien, um Dritte zu informieren.
So bleibt der Verteilerkreis im Unklaren darüber,wer die Nachricht noch erhalten hat.
9. Formulieren Sie den Betreff aussagekräftig.
Nur so ragt die Botschaft aus der Fülle der Spam-Mitteilungen heraus, die heute die meisten Postfächer füllen.
10. Keep it simple.
Es gibt heute viele Möglichkeiten, E-Mails aufzuhübschen (Emoticons, Bilder etc.). Versender sollten vorsichtig damit umgehen, da nicht jedes Mail-Programm damit fertig wird und außerdem Ressourcen verschwendet werden. Zudem sind Emoticons mitunter mit Spyware infiziert. Deshalb: Nichts von unbekannten Quellen herunterladen!
11. Nutzen Sie die Features moderner E-Mail-Programme.
Rückruf: Eine E-Mail, die fehlerhaft oder ohne Anhang versandt wurde, wird zurückgerufen. Sparsam verwenden, lieber Botschaften noch einmal genau checken, bevor sie verschickt werden. Oft werden E-Mails schnell geöffnet und lassen sich nicht mehr zurückrufen. <br/><br/> Automatische Antwort: Die Out-of-Office-Funktion ist wirklich nützlich und sollte angewendet werden! Allerdings sollte man sie schnell deaktivieren, wenn man wieder im Büro ist.<br/><br/> Wiederversenden: Manchmal erreichen E-Mails nie den Adressaten, etwa weil der Mail-Server ausfällt. Mit der Resend-Funktion lassen sie sich umstandslos ein zweites Mal verschicken. Vor dem Versand in die Betreffzeile eine Bemerkung wie "zweiter Versuch" einfügen.<br/><br/>Übermittlungsbestätigung: Nice to have, aber nicht zwingend nötig. Funktioniert auch nicht mit jedem E-Mail-System. <br/><br/>Lesebestätigung: Ebenfalls nice to have.
12. Nutzen Sie E-Mails um Gespräche und Diskussionen anschließend zu bestätigen.
Elektronische Post bietet die Chance, sehr schnell Gesprächsergebnisse aus Konferenzen oder Telefonaten zu protokollieren. So lassen sich für alle Beteiligten die Ergebnisse sichern, bezüglich geplanter Maßnahmen sind alle auf demselben Stand. Was schriftlich fixiert wurde, wird von den Beteiligten ernster genommen.
13. Verlassen Sie sich bei dringenden Informationen nicht auf E-Mail.
Dazu lieber das Telefon benutzen. Es gibt keine Garantie, dass eine E-Mail gelesen wird. Oft wird die Nachricht übersehen, die Lektüre wird vertagt oder die Botschaft wird als vermeintlicher Spam gelöscht.
14. Nutzen Sie E-Mails nicht für unangebrachte Kommunikation.
E-Mail für die Verbreitung von Spam zu missbrauchen, ist nicht nur ein Ärgernis, sondern möglicherweise auch noch illegal. Und: In den meisten Fällen kann der Absender schnell ermittelt werden.