E-Mail-Verschlüsselung
Die 11 häufigsten Irrtümer
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Fast 28 Prozent der kleinen und mittelständischen Unternehmen in Deutschland setzen noch keine E-Mail-Verschlüsselung ein. Das ergab eine Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie im Februar 2018. Als Gründe gaben die Befragten unter anderem an, dass ihre Kommunikationspartner nicht mit verschlüsselten Nachrichten umgehen könnten und Mitarbeiter zu wenig technisch versiert seien. Auch Schwierigkeiten bei der Verwaltung von Zertifikaten sind häufig ein Hinderungsgrund.
Solche Bedenken sind berechtigt, lassen sich mit der richtigen Technologie aber leicht aus dem Weg räumen. Hier kommen die elf verbreitetsten Irrtümer über die Verschlüsselung von - und wie sie sich widerlegen lassen.
1. Ich brauche keine E-Mail-Verschlüsselung
Wirklich nicht? Wer Nachrichten mit personenbezogenen Daten verschickt, muss diese verschlüsseln. Das war bereits laut Bundesdatenschutzgesetz vorgeschrieben. Mit der DSGVO sind die Vorschriften noch strenger geworden. Verstöße können jetzt hohe Strafzahlungen nach sich ziehen. Außerdem müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden und zusätzlich die betroffenen Personen verständigen, falls ein erhöhtes Risiko besteht. Wer E-Mail-Verschlüsselung einsetzt, ist hingegen von der Benachrichtigungspflicht der betroffenen Personen befreit.
2. Das kann ich mir nicht leisten
Die Frage lautet eher: Können Sie es sich leisten, auf Verschlüsselung zu verzichten? Ein Verstoß gegen die DSGVO kann mit Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem, was höher ist. Dazu kommt der Schaden, der durch den Imageverlust in Folge einer Datenschutzverletzung entsteht.
Lesetipp: FAQ Verschlüsselung - Was Sie über PGP, SSL, RSA und Co wissen sollten
3. E-Mail-Verschlüsselung ist viel zu kompliziert
Das stimmt, wenn man alles selber machen möchte. Denn mit OpenPGP und S/MIME gibt es verschiedene Verschlüsselungsstandards, die untereinander nicht kompatibel sind. Möglicherweise muss man ein Plug-in im E-Mail Client installieren. Außerdem ist das Schlüsselmanagement komplex. Es gibt heute jedoch Lösungen, bei denen sich der Anwender selbst um nichts kümmern muss. Solche Verschlüsselungs-Gateways lassen sich in der Regel einfach implementieren und sind auch in der Cloud verfügbar.
4. Das kann ich auch alleine machen
Ja, aber das ist sehr aufwändig. Dazu kommt, dass der Anwender wissen muss, was er tut. Wenn er Fehler macht, ist die Kommunikation nicht mehr geschützt. Deshalb empfiehlt es sich, ab einer bestimmten Nutzerzahl oder bei weniger technikaffinen Anwendern eine Lösung einzusetzen, die so viel wie möglich automatisch im Hintergrund erledigt.
5. Ich muss meine Kommunikationspartner von "meiner" Lösung überzeugen
Das ist nicht nötig. Ein entsprechendes Verschlüsselungs-Gateway erkennt automatisch, welche Technologie ein Kommunikationspartner nutzt. Jeder kann also den Standard einsetzen, den er möchte. Voraussetzung ist allerdings, dass keine proprietäre Technologie verwendet wird. Zudem sollte ein Gateway genutzt werden, das die gängigen Verschlüsselungsmethoden unterstützt.
- Die wichtigsten Regeln für Mail, Handy, Social Media...
... finden Sie in diesem Digital-Knigge zusammengefasst. - Knapp und präzise ...
... sollten Business-Mails verfasst werden. Keep it very simple! - Rechtschreibung
Auf Orthographiefehler sollte unbedingt verzichtet werden! Zur Not ein Rechtschreibprogramm nebenher laufen lassen. - Tempo ...
... ist der größte Vorteil der elektronischen Post, darum sollten Nachrichten auch immer baldmöglichst beantwortet werden. - Betreff
Er sollte konkret und aussagekräftig sein. Es lohnt sich, hier etwas Mühe aufzuwenden. - "Kopie an" und "Antworten an alle"...
... sollten tunlichst vermieden werden, da niemand Informationslawinen haben möchte, die über ihn hereinbrechen. - Rechtliche Bestimungen
Pflichtangaben über das Unternehmen sind in Deutschland seit Anfang 2007 vorgeschrieben und müssen am Ende in der Signatur der Mail stehen. - Spam ...
... einfach ignorieren. "Unsubscribe" bedeutet, dass der Empfänger zu Hause ist und folglich noch mehr Spam empfangen kann. - Dringende Fälle ..
... müssen nicht immer über Mail abgewickelt werden. Besser ist es in dem Fall, zum Telefonhörer zu greifen. - Handypause in Meetings ...
... ist eine naive, aber wünschenswerte Utopie. Ein Drittel der Beschäftigten schaut auch währenddessen aufs Handy, wie eine Umfrage des Brachenverbandes BITKOM ergab. - Klingeltöne ...
... bitte so dezent wie möglich wählen und im Großraumbüro ausschalten. - Business-Lunch
Hier das Handy mit dem Display nach unten auf den Tisch legen und auf Vibration umschalten. - Telefonieren vor Kollegen ...
... sollte in gebührendem Abstand geschehen. Die Gespräche anderer mitanhören zu müssen, kann anstrengend sein. - SMS
Kurz und knapp reicht völlig. - Sich selbst zensieren
Keine ungünstigen Bilder von Partys oder Kommentare publizieren, die Kollegen und Arbeitgeber als anstößig empfinden könnten. - Werbung auf Social Media ...
... ist tabu, da "Friends" und "Follower" nicht mit ihr belastet werden wollen. - Empfehlungen geben, ...
... zum Beispiel über Filme, Produkte oder Bücher ist immer gern gesehen. - Keine Fotos vom Mittagessen, ...
... denn sie interessieren niemanden.
6. Das klappt nicht, weil meine Kommunikationspartner keine Ahnung von Technik haben
Tatsächlich ist E-Mail-Verschlüsselung bei Privatpersonen kaum verbreitet und wird meist als zu kompliziert empfunden. Das zeigt eine Studie von Reddoxx. Wer viel mit Personen kommuniziert, die keine Verschlüsselung einsetzen, kann aber alternative Lösungen anbieten. Eine Möglichkeit ist zum Beispiel ein sicheres Webportal, in dem der Empfänger seine verschlüsselte Nachricht abholen kann.
7. Ich nutze SSL/TSL - das reicht
TLS ist lediglich eine Transportverschlüsselung. Die Technologie baut einen Tunnel zwischen zwei Rechnern auf, durch den die E-MailE-Mail geschickt wird. Beim absendenden und empfangenden Rechner liegt die Nachricht jedoch im Klartext vor und kann mitgelesen, manipuliert oder kopiert werden. Außerdem wird die E-Mail auf ihrem Weg durchs Internet von Computer zu Computer weitergeleitet, bevor sie beim Empfänger ankommt. Alles zu Mail auf CIO.de
Der Absender kann nicht kontrollieren, ob jeder der Rechner tatsächlich wieder einen neuen, sicheren Tunnel aufbaut. Zusätzlich zur Transportverschlüsselung sollten Sie daher Inhaltsverschlüsselung mit OpenPGP oder S/MIME einsetzen. Dabei wird der Inhalt der Nachricht verschlüsselt - bis auf Metadaten wie Absender, Empfänger und Versanddatum. Zusammen sorgen Inhaltsverschlüsselung und Transportverschlüsselung für ein hohes Schutzniveau.
8. Mein Cloud-Anbieter verschlüsselt schon
Vertrauen Sie Ihrem Cloud-Anbieter grenzenlos? Wenn er sowohl das E-Mail-Management als auch die E-Mail-Verschlüsselung übernimmt, besitzt er auch Ihre Schlüssel und kann die Nachrichten lesen. Es ist ein bisschen so, wie jemandem eine verschlossene Geldkassette zur Aufbewahrung zu geben und den Schlüssel mit Klebestreifen darunter zu befestigen.
- 1. Verfassen Sie Ihre E-Mails knapp und präzise.
Alles was mehr als zwei Seiten umfasst, gehört in eine angehängte Datei. - 2. Überprüfen Sie Rechtschreibung und Grammatik.
In den meisten E-Mail-Systemen gibt es entsprechende Funktionen. Da dies bekannt ist, werden entsprechende Fahrlässigkeiten übel genommen. Fehler suggerieren: Der Autor hat sich entweder für mich keine Zeit genommen oder er ist ein Schlendrian. - 3. Beantworten Sie E-Mails schnell.
Reaktionsschnelligkeit ist einer der entscheidenden Vorteile von elektronischer Post. Vor allem auf erwartete Messages sollte zügig geantwortet werden. Wenn man nicht gerade extrem beschäftigt ist, sollte man den Posteingang mehrmals täglich checken. Allerdings ist es nicht nötig, die automatische Benachrichtung (Auto Notify) zu jeder eingehenden E-Mail zu aktivieren - das lenkt zu sehr von der Arbeit ab. - 4. Gehen Sie sparsam mit der Funktion "Antwort an alle" um.
Es besteht die Möglichkeit, die Nachricht an eine Gruppe zu versenden, aus der sich vielleicht nur ein Prozent der Beteiligten dafür interessiert. Der Effekt ist vergleichbar mit einer Fahrt in einem öffentlichen Verkehrsmittel, in dem man gezwungen ist, dem Handygespräch eines Unbekannten zuzuhören. Wer ohne Notwendigkeit allen antwortet, erzeugt außerdem jede Menge elektronischen Müll. Insbesondere, wenn Anhänge mitgeschickt werden, führt das unnötige Versenden an große Verteiler zu Ressourcenproblemen. - 5. Sorgen Sie dafür, dass Ihre E-Mail einfach lesbar ist.
Experton empfiehlt, die E-Mail in einem Stil zu verfassen, der einem schriftlichen Dokument (zum Beispiel Geschäftsbrief) gleicht. Grußformel und Unterschrift (Automatische Signatur) sind selbstverständlich. Außerdem sind kurze Sätze sowie - bei längeren Texten - Absätze zu empfehlen. - 6. Halten Sie sich an die rechtlichen Bestimmungen für den E-Mail-Verkehr.
In Deutschland gilt seit Anfang 2007 eine neue Rechtsprechung, der zufolge im Anhang Pflichtangaben über das Unternehmen (Rechtsform, Sitz, Registergericht, Geschäftsführung) vorgeschrieben sind. Außerdem kann es manchmal nützlich sein, Angaben zu Urheberrecht, Vervielfältigung oder sonstige Rechtsklauseln anzuhängen. Im Übrigen sollten Unternehmen Regeln für den E-Mail-Verkehr formulieren (E-Mail-Policy), die regelmäßig zu verbreiten sind, damit auch neue Mitarbeiter auf dem Laufenden gehalten werden. - 7. Antworten Sie niemals auf Spam.
Eigentlich eine Binsenweisheit, und doch ein immer wieder gemachter Fehler. Viele Spammer statten ihre Nachricht mit einer Opt-out-Funktion aus, indem die Mail im Betreff-Feld vorgeblich mit "unsubscribe" abbestellt werden kann. Für manche Spam-Programme, die für den automatischen Versand des elektronischen Mülls sorgen, bedeutet eine solche Antwort: Der Adressat ist da, er kann mehr Spam in Empfang nehmen. - 8. Nutzen Sie Blindkopien, um Dritte zu informieren.
So bleibt der Verteilerkreis im Unklaren darüber,wer die Nachricht noch erhalten hat. - 9. Formulieren Sie den Betreff aussagekräftig.
Nur so ragt die Botschaft aus der Fülle der Spam-Mitteilungen heraus, die heute die meisten Postfächer füllen. - 10. Keep it simple.
Es gibt heute viele Möglichkeiten, E-Mails aufzuhübschen (Emoticons, Bilder etc.). Versender sollten vorsichtig damit umgehen, da nicht jedes Mail-Programm damit fertig wird und außerdem Ressourcen verschwendet werden. Zudem sind Emoticons mitunter mit Spyware infiziert. Deshalb: Nichts von unbekannten Quellen herunterladen! - 11. Nutzen Sie die Features moderner E-Mail-Programme.
Rückruf: Eine E-Mail, die fehlerhaft oder ohne Anhang versandt wurde, wird zurückgerufen. Sparsam verwenden, lieber Botschaften noch einmal genau checken, bevor sie verschickt werden. Oft werden E-Mails schnell geöffnet und lassen sich nicht mehr zurückrufen. <br/><br/> Automatische Antwort: Die Out-of-Office-Funktion ist wirklich nützlich und sollte angewendet werden! Allerdings sollte man sie schnell deaktivieren, wenn man wieder im Büro ist.<br/><br/> Wiederversenden: Manchmal erreichen E-Mails nie den Adressaten, etwa weil der Mail-Server ausfällt. Mit der Resend-Funktion lassen sie sich umstandslos ein zweites Mal verschicken. Vor dem Versand in die Betreffzeile eine Bemerkung wie "zweiter Versuch" einfügen.<br/><br/>Übermittlungsbestätigung: Nice to have, aber nicht zwingend nötig. Funktioniert auch nicht mit jedem E-Mail-System. <br/><br/>Lesebestätigung: Ebenfalls nice to have. - 12. Nutzen Sie E-Mails um Gespräche und Diskussionen anschließend zu bestätigen.
Elektronische Post bietet die Chance, sehr schnell Gesprächsergebnisse aus Konferenzen oder Telefonaten zu protokollieren. So lassen sich für alle Beteiligten die Ergebnisse sichern, bezüglich geplanter Maßnahmen sind alle auf demselben Stand. Was schriftlich fixiert wurde, wird von den Beteiligten ernster genommen. - 13. Verlassen Sie sich bei dringenden Informationen nicht auf E-Mail.
Dazu lieber das Telefon benutzen. Es gibt keine Garantie, dass eine E-Mail gelesen wird. Oft wird die Nachricht übersehen, die Lektüre wird vertagt oder die Botschaft wird als vermeintlicher Spam gelöscht. - 14. Nutzen Sie E-Mails nicht für unangebrachte Kommunikation.
E-Mail für die Verbreitung von Spam zu missbrauchen, ist nicht nur ein Ärgernis, sondern möglicherweise auch noch illegal. Und: In den meisten Fällen kann der Absender schnell ermittelt werden.
Ihr Cloud-Anbieter hat höchstwahrscheinlich kein Interesse daran, Kundeninformationen zu entschlüsseln und zu nutzen. Ist der Anbieter jedoch ein amerikanisches Unternehmen, fällt er allerdings unter den CLOUD-Act von 2018. Dabei handelt es sich um eine Verschärfung des USA PATRIOT Act von 2001. Vormals unklare Sachverhalte wurden konkretisiert und der CLOUD-Act verschafft US-Behörden jetzt auch Zugriff auf Daten, die auf Servern von US-Unternehmen im Ausland gespeichert sind, sogar rückwirkend.
Lesetipp: US CLOUD-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei
Zudem sorgt die Tatsache, dass der EuGH das Privacy-Shield-Abkommen für ungültig erklärt hat, bei europäischen Unternehmen für zusätzliche Bedenken. Entweder sollten Sie also E-Mail-Management und E-Mail-Verschlüsselung trennen. Oder Sie setzen eine Lösung ein, die es Ihnen ermöglicht, Ihre Schlüssel bei sich zu speichern.
Lesetipp: EuGH zerstört EU-US Privacy Shield
9. Meine Anti-Virus- und DLP-Lösung funktioniert dann nicht mehr
Bei Ende-zu-Ende-Verschlüsselung ist das ein Problem, denn dann können Virenscanner und Data-Loss-Prevention-Lösung (DLP) die Nachrichten nicht einsehen und folglich auch nicht untersuchen. Es gibt jedoch auch einen hybriden Ansatz: Zwischen Absender und Gateway wird Ende-zu-Ende verschlüsselt. Am Gateway wird die Nachricht im Klartext verfügbar gemacht, auf Schadsoftware und Inhalte überprüft und anschließend wieder verschlüsselt in die Mailbox des Empfängers transportiert.
10. Ich muss Plug-ins auf allen Clients installieren
Das ist nicht nötig. Alle heute am Markt verfügbaren E-Mail-Clients haben bereits E-Mail-Verschlüsselung basierend auf S/MIME integriert. Sie lässt sich per Knopfdruck auslösen. Um das Schlüssel-Management muss sich der Anwender jedoch selbst kümmern. Nicht so, wenn er ein Verschlüsselungs-Gateway einsetzt, das diese Aufgabe übernimmt. Dann ist lediglich ein Klick auf den Verschlüsselungs-Button im E-Mail-Programm nötig, um eine sichere Nachricht zu verschicken.
11. Meine Archivierungslösung funktioniert dann nicht mehr richtig
Wenn ein Archivsystem Nachrichten nicht im Klartext sieht, kann es sie nicht indizieren. Das macht es schwer, E-Mails im Archiv zu finden. Dieses Problem lässt sich jedoch vermeiden, wenn ein Proxy zwischen die Archivierungslösung und das E-Mail-System geschaltet wird. E-Mails können dann verschlüsselt archiviert werden, sind gleichzeitig aber durchsuchbar, da der Inhalt indexiert wird.
Lesetipp: Digitale Archivierung - Wie Sie GoBD-konform archivieren
Fazit
Tatsächlich gibt es heute keinen Grund mehr, auf E-Mail-Verschlüsselung zu verzichten. Denn niemand möchte riskieren, dass E-Mails im Klartext einfach mitgelesen werden können, wenn sie in die falschen Hände geraten sollten. Im Hinblick auf personenbezogene Daten ist sichere Kommunikation ohnehin ein Muss. (hal/bw)