Verschlüsselung der E-Mail Kommunikation Cyber-Kriminellen ein Schnippchen schlagen

Autor / Redakteur: Petra Adamik* / Stephan Augsten

Die geschäftliche Kommunikation von Unternehmen wird heute überwiegend per E-Mail abgewickelt. Sicherheitsaspekte bleiben aber vielfach auf der Strecke. Dabei lassen sich Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung ohne großen Aufwand in nahezu jeder IT-Umgebung installieren.

Anbieter zum Thema

E-Mail-Verschlüsselung allein schiebt bereits vielen potenziellen Datenverlusten einen Riegel vor.
E-Mail-Verschlüsselung allein schiebt bereits vielen potenziellen Datenverlusten einen Riegel vor.
(Bild: cutimage - Fotolia.com)

Industrie- und Wirtschaftsspionage sind Begleiterscheinungen einer erfolgreichen Volkswirtschaft, die Maßnahmen dagegen nicht immer ausreichend und erfolgreich. Unterschätzt wird, dass Spionage schon im Kleinen anfängt, beispielsweise durch Auswertung des geschäftlichen E-Mail-Verkehrs. Der verschlüsselte Versand von beruflichen E-Mails ist immer noch die Ausnahme.

Daten gelten heute als einer der wichtigsten Rohstoffe. Viele Dienstleistungsbranchen aber auch die produzierende Industrie sind ohne digitale Informationen und IT-basierte Kommunikation nicht mehr denkbar. Wo immer wichtige Firmeninformationen oder persönliche Daten über das Internet kommuniziert werden, ist besondere Sorgfalt notwendig, sind wichtige Sicherheitsaspekte zu beachten.

Marcel Mock, CTO von Totemo
Marcel Mock, CTO von Totemo
(Bild: Totemo)
Experten raten Unternehmen dazu, für ihre Infrastrukturen individuell abgestimmte Sicherheitskonzepte zu entwickeln und Regelwerke zu etablieren, die für alle Mitarbeiter verbindlich sind. Neben externen Bedrohungen für Firmeninformationen sollten nämlich auch die internen nicht unterschätzt werden, meint Marcel Mock, CTO des Schweizer Verschlüsselungsspezialisten Totemo.

Erfahrungsgemäß erfolgen viele Angriffe auf Firmendaten laut Mock durch eigene Mitarbeiter, die Dunkelziffer sei hoch: „Alles, was für Geschäftsprozesse brisant und unternehmenskritisch ist, sollte darum besonders sorgfältig geschützt, der E-Mail-Verkehr beispielsweise von Ende-zu-Ende verschlüsselt werden.“

Anwender akzeptieren Verschlüsselung nur zögernd

Meistens sind es die Anwender, die sich nur schwer mit der Verschlüsselung der Geschäftskommunikation anfreunden können. Sie stellen sich nicht gern auf Neuerungen, wie den Austausch von Schlüsseln, ein. Aber auch die Führungsetagen bremsen solche Sicherheitslösungen aus, weil sie hohe Investitions- und Folgekosten sowie eine zusätzliche Belastung ihres Administratorenteams befürchten.

Ein Problem sind aber auch fehlende einheitliche Standards. Die Integrationsfähigkeit einer Verschlüsselungslösung sowie deren leichte Bedienbarkeit sind wesentliche Faktoren für die Akzeptanz der Nutzer. Lösungen sollten daher keine proprietären Verschlüsselungsmethoden verwenden, sondern auf offenen Standards wie PGP und S/MIME basieren.

Für den Fall, dass der Empfänger keine Verschlüsselungstechnologie auf Basis von PGP oder S/MIME im Einsatz hat, helfen Push- oder Pull-Verfahren.

Pull-Verfahren
Pull-Verfahren
(Bild: Totemo)
Beim Pull-Verfahren wird die Nachricht verschlüsselt auf einem Server abgelegt. Der Empfänger wird automatisch darüber unterrichtet, dass eine Nachricht für ihn hinterlegt wurde, die er über gesicherte Übertragungskanäle mittels Browser abholen kann.

Push-Verfahren
Push-Verfahren
(Bild: Totemo)
Beim Push-Verfahren wird der Text in ein chiffrierbares Dateiformat konvertiert, beispielsweise HTML oder PDF. Die Datei wird dann verschlüsselt und an die entsprechende E-Mail angehängt. Zum Öffnen der verschlüsselten Nachricht verwendet der Empfänger ein privates Passwort, das er im Vorfeld erhalten hat.

E-Mail-Verschlüsselung sollte im Übrigen nicht nur auf dem Desktop-Arbeitsplatz im Unternehmen greifen, sondern auch auf den mobilen Endgeräten, die Mitarbeiter im Rahmen ihrer Aufgaben nutzen. Gerade die zunehmende Mobilität der Mitarbeiter erfordert einen besonderen Schutz des E-Mail-Verkehrs, denn die übermittelten Daten sind ein wichtiges Kapital.

Genaue Planung hilft

Wer als Entscheider vor der Frage steht, im eigenen Unternehmen eine Verschlüsselung zu etablieren, sollte das Projekt genau planen. Entscheidend ist es, vorab sämtliche Risiken zu definieren. Die meisten Unternehmen glauben, dass sie mit einem sicheren Netz arbeiten, die Gefahrenquellen für E-Mails nur dort lauern, wo die Nachrichten dieses verlassen.

Während die öffentlichen Übertragungskanäle als nicht ausreichend abgeschirmt gelten, wird vielfach die Gefahr durch die eigenen Mitarbeiter unterschätzt. Sie gefährden Nachrichten unabsichtlich, gelegentlich aber auch vorsätzlich. Wer über mangelnde Wertschätzung klagt oder sich über seinen Arbeitgeber ärgert, gerät leicht in Gefahr, seine Geheimhaltungspflicht zu verletzen. Kein Netz ist zu 100 Prozent sicher, überall können Lücken oder Probleme auftauchen.

Verschlüsselung macht die Cloud sicherer

Cloud-Lösungen gelten derzeit bei Unternehmen als das Nonplusultra, um Abläufe zu rationalisieren und Kosten zu sparen. Gerade Bedenken hinsichtlich der Sicherheit halten allerdings viele Firmen immer noch davon ab, diese Lösung einzuführen. „Wer seine Daten verschlüsselt in der Cloud ablegt, ist auf der sicheren Seite, solange er die Oberhoheit über seine Schlüssel behält“, erläutert Mock. Diese sollten also im eigenen Unternehmen statt in der Cloud gespeichert sein.

Solange keine verbindlichen Richtlinien und Regularien festgeschrieben sind, ist die Sicherheit der Kommunikation ein Projekt, das jedes Unternehmen in Eigeninitiative realisieren muss. Hilfreich können dabei die Vorgaben aus der EU-Datenschutzrichtlinie sein, aber auch Quasi-Standards, die international von diversen Branchen aufgestellt wurden.

Ein weitreichende Schutz ist in einer geschäftlichen Umgebung zwingend notwendig, denn mit Abhöraffären, der Zunahme von Industriespionage und Attacken durch Cyberkriminelle, werden Unternehmen auch in Zukunft konfrontiert sein. Umso wichtiger ist es, dass geschäftskritische Unternehmensinformationen nicht länger im Klartext übertragen werden.

* Petra Adamik ist Freie Journalistin.

(ID:43105985)