Rechtskonform kommunizieren
Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Methoden zur durchgängigen E-Mail-Verschlüsselung gibt es seit vielen Jahren, doch sie werden nach wie vor nur in geringem Umfang eingesetzt. Dies zeigte erst kürzlich wieder eine repräsentative Umfrage von Convios Consulting im Auftrag von Web.de und GMX. Obwohl drei Viertel der Befragten E-Mail-Verschlüsselung für wichtig halten, setzen nur 16 Prozent sie tatsächlich ein. Und auch in Unternehmen ist die Lage nicht viel besser. In der Untersuchung "SecuritySecurity Bilanz Deutschland" von Techconsult wurde die Umsetzung verschlüsselter Kommunikationskanäle von 63 Prozent der Befragten als "nicht gut" bewertet. Alles zu Security auf CIO.de
Mit der Einführung derDatenschutzgrundverordnung(DSGVO) seit Mai 2018 gehen Unternehmen hohe Risiken ein, wenn sie den E-Mail-Schutz vernachlässigen. Wer bisher keine Verschlüsselung einsetzt, sollte dies daher schleunigst nachholen. Diese zehn Tipps helfen Ihnen, die richtige E-Mail-Verschlüsselungslösung für Ihre Zwecke zu finden:
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
1. Setzen Sie auf Standards
Standards garantieren Ihnen die größtmögliche Kompatibilität zu den Kommunikationssystemen Ihrer Kunden und Geschäftspartner. Verschlüsselungs-Standards sind außerdem in vielen Lösungen zur E-Mail-Kommunikation bereits integriert.
Bei der E-Mail-Verschlüsselung sind zwei Gruppen von Standards zu unterscheiden. Das ist zum einen die Transportverschlüsselung mittels Transport Layer Security (TLS) beziehungsweise der Vorgänger Secure Socket Layer (SSL). Dabei bauen Absender und Empfänger für die E-Mail-Kommunikation einen verschlüsselten Tunnel auf.
Allerdings liegen die Daten sowohl beim Absender und beim Empfänger – sowie gegebenenfalls auch auf den dazwischenliegenden Knoten – unverschlüsselt vor. Um hier zusätzliche Sicherheit zu schaffen, sollten auch die Inhalte verschlüsselt werden. Dafür sind im Wesentlichen zwei Protokolle zu nennen: S/MIME (Secure / Multipurpose Internet MailMail Extensions) und OpenPGP (Pretty Good Privacy). Alles zu Mail auf CIO.de
Eine weitere Möglichkeit der Inhaltsverschlüsselung bieten die Microsoft Rights Management Services (RMS). Sie stellen genau genommen zwar keinen Standard dar, werden von einigen Unternehmen aber durchaus zur Verschlüsselung von E-Mails verwendet. RMS gibt es in zwei Ausprägungen: als Active Directory RMS (AD RMS) für den Einsatz on-premise und als Azure RMS in Verbindung mit der Microsoft-Cloud.
Bei der Inhaltsverschlüsselung werden allerdings nicht alle übertragenen Informationen für Dritte unlesbar gemacht. Die sogenannten Metadaten wie Absender, Empfänger und Betreff werden im Klartext übertragen, was ein Sicherheitsrisiko darstellen kann. Größtmögliche Sicherheit bietet daher die Kombination aus Transport- und Inhaltsverschlüsselung.
2. Bieten Sie Kommunikationspartnern alternative Verschlüsselungsmethoden
Obwohl Technologien wie PGP schon seit mehr als 25 Jahren auf dem Markt sind, werden sie leider nicht flächendeckend eingesetzt, denn für die Nutzung sind Zertifikate und Schlüssel Voraussetzung. Das wiederum erfordert eine entsprechende Infrastruktur oder zumindest technisches Know-how. Sie können daher nicht unbedingt davon ausgehen, dass alle Ihre Kommunikationspartner auch auf Basis von PGP oder S/MIME kommunizieren können. Deshalb sollten Sie ihnen Alternativen anbieten. Dafür gibt es im Prinzip zwei Möglichkeiten:
Bei den sogenannten Pull-Verfahren meldet sich der Empfänger im System des Absenders an und erhält die Nachrichten, nachdem er sich authentisiert hat. Typische Vertreter sind sichere Webmail-Portale. Beim Push-Verfahren wird die E-Mail dagegen konvertiert, verschlüsselt und dem Empfänger als Anhang einer Träger-Mail zugesandt. Hier kommen vor allem Formate wie Zip, PDF oder HTML in Frage.
3. Sichern Sie auch die interne Kommunikation
Die vorgestellten Methoden sind vor allem für die Kommunikation mit externen Partnern konzipiert. Sie sollten aber auch in der internen Kommunikation auf größtmögliche Sicherheit setzen. Bei personenbezogenen Daten verpflichtet Sie dieDSGVOsogar dazu, diese auf dem kompletten Transportweg verschlüsselt zu übertragen.
Deshalb sollte die Lösung, die Sie einsetzen, auch die Verschlüsselung von E-Mail-Nachrichten innerhalb Ihres Unternehmens unterstützen – und dazu idealerweise Standards benutzen, die in Ihrem E-Mail-Client bereits vorhanden ist. Dadurch sparen Sie sich die Installation und Pflege zusätzlicher Plug-ins und Add-ons.
4. Ermöglichen Sie eine zentrale Datenfluss- und Inhaltskontrolle
Die durchgängige Verschlüsselung der E-Mail-Kommunikation bringt eine Herausforderung mit sich: Sicherheitssysteme wie Virenscanner, Antispam-Software oder DLP-Lösungen (Data Leakage Protection) können die Inhalte der Nachrichten nicht mehr analysieren und damit nicht mehr korrekt arbeiten. Deshalb sollten Sie eine Lösung einsetzen, die Schnittstellen für diese zentralen Systeme der Datenfluss- und Inhaltskontrolle mitbringt oder sogar selbst Schadcode aus verschlüsselten E-Mails herausfiltern kann.
5. Stellen Sie bei Bedarf höchste Geheimhaltung sicher
Auch wenn die Erkennung von Malware, Spam und anderen schädlichen oder unerwünschten Inhalten wichtig und wünschenswert ist, sollten Sie dennoch Mechanismen vorsehen, die höchste Geheimhaltung ermöglichen und bei denen nur Sender und Empfänger Kenntnis vom Inhalt einer E-Mail erhalten. Das ist bei der Ende-zu-Ende-Verschlüsselung der Fall, bei der eine zentrale Datenfluss- und Inhaltskontrolle demzufolge nicht möglich ist.
6. Denken Sie auch an weniger offensichtliche Fälle von E-Mail-Kommunikation
Nicht nur Menschen versenden E-Mails, auch Applikationen nutzen diesen Weg der Kommunikation. Auch hierbei kann es sich um sensible schützenswerte Daten handeln, etwa wenn automatisiert Lohnabrechnungen, Lieferscheine oder Rechnungen versendet werden. Nutzen Sie daher eine Lösung, die auch die Verschlüsselung dieser E-Mail-Kommunikation unterstützt, da die meisten Applikationen selbst nicht dafür ausgelegt sind.
Ein weiterer Punkt, den Sie bedenken sollten, ist die E-Mail-Archivierung. Werden Nachrichten verschlüsselt abgelegt, lassen sie sich nur sehr schwer wiederfinden, da Informationen nur über Metadaten und nicht über den Inhalt extrahiert werden können. Eine Verschlüsselungslösung sollte deshalb auch Schnittstellen für Archiv- und Journalsysteme zur Verfügung stellen.