Suchen

Elektronische Post vor unerwünschten Blicken schützen Die passende E-Mail-Verschlüsselung finden

Autor / Redakteur: Oliver Schonschek, IT-Fachjournalist und IT-Analyst / Stephan Augsten

Ohne Verschlüsselung lässt sich jede E-Mail durch Dritte mitlesen. Vor dem Hintergrund der aktuellen Diskussion um Spionagefälle wie PRISM wird es höchste Zeit, das zu verhindern. Dieser Beitrag nennt die unterschiedlichen Verfahren und passende Lösungen.

Firmen zum Thema

Die Möglichkeiten der E-Mail-Verschlüsselung sind vielfältig.
Die Möglichkeiten der E-Mail-Verschlüsselung sind vielfältig.
(Bild: Andrea Danti - Fotolia.com)

Die Diskussion um PRISM und andere Geheimdienst-Aktivitäten gibt den Bemühungen um die Verschlüsselung von E-Mails neuen Auftrieb. Initiativen wie „E-Mail made in Germany“ werden zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik begrüßt.

Die Web-Mail-Dienste von T-Online, gmx.de und web.de bieten nun im Standard eine SSL-Verschlüsselung an. Betrachtet man aber E-Mail insgesamt, wird deutlich, dass für sichere E-Mails mehr erforderlich ist.

Bildergalerie
Bildergalerie mit 5 Bildern

Zum einen gibt es noch weitaus mehr Mail-Provider als die bisherigen Mitglieder der Initiative. Zum anderen bietet SSL nur eine Transport-Verschlüsselung der elektronischen Nachricten.

De-Mail: Datenschützer empfehlen zusätzliche Verschlüsselung

Auch die Verschlüsselung bei De-Mail alleine reicht Sicherheitsexperten z.B. von NIFIS und den Datenschützern nicht. So werden De-Mails vor der Weiterleitung an den Empfänger kurzfristig automatisch entschlüsselt, da die De-Mail-Diensteanbieter verpflichtet sind, De-Mails auf Schadsoftware zu prüfen. Eine durchgehende Ende-zu-Ende-Verschlüsselung ist nur dann möglich, wenn Versender und Empfänger eine Verschlüsselungssoftware benutzen, mit der die De-Mail ver- und entschlüsselt wird.

Jede vertrauliche E-Mail verschlüsseln

Täglich werden mehr als 100 Milliarden E-Mails über geschäftliche E-Mail-Konten verschickt und empfangen, 2017 sollen es über 130 Milliarden Business-E-Mails sein, so der Email Statistics Report 2013 - 2017 der Radicati Group. Zweifellos befinden sich auch vertrauliche Informationen in vielen dieser E-Mails. Ohne Verschlüsselung könnten Unbefugte abgefangene E-Mails mitlesen.

Obwohl zwei Drittel der im Auftrag des BITKOM befragten Internetnutzer glauben, dass ihre Daten durch Überwachungsaktivitäten von Geheimdiensten im Internet nicht sicher sind, verwenden nur sechs Prozent der Internetanwender eine Verschlüsselungslösung für E-Mails.

Selbst in der technikaffinen IT-Branche verwenden nur 53 Prozent der befragten Unternehmen E-Mail-Verschlüsselung. Das Ziel sollte aber sein, dass alle vertraulichen E-Mails nur verschlüsselt übertragen werden, wie es zum Beispiel im Fall personenbezogener Daten der Datenschutz vorsieht.

E-Mail-Verschlüsselung mit Hindernissen

Für die fehlende Verschlüsselung von E-Mails gibt es verschiedene Gründe: Rund zwei Drittel (65 Prozent) der Internetnutzer geben in der genannten BITKOM-Umfrage an, sich mit Programmen zur E-Mail-Verschlüsselung nicht auszukennen. Bei 59 Prozent setzt der Kommunikationspartner keine entsprechende Software ein. Ein Viertel (24 Prozent) hält Verschlüsselung grundsätzlich für zu aufwändig.

Damit bei E-Mail-Verschlüsselung endlich der Durchbruch gelingt, müssen Unternehmen Lösungen suchen, die sich einfach bedienen lassen, einen hohen Verbreitungsgrad bzw. geringe Voraussetzungen haben und möglichst keinen zusätzlichen Aufwand beim Nutzer oder im Unternehmen erzeugen.

Viele Wege führen zur E-Mail-Verschlüsselung

In Anbetracht der Möglichkeiten muss man erst einmal feststellen, dass es nicht die E-Mail-Verschlüsselung als solches gibt, sondern verschiedene Verfahren. Ein Grund für die geringe Verbreitung von E-Mail-Verschlüsselung liegt auch in der Mannigfaltigkeit der Verschlüsselungsmethoden begründet, denn Absender und Empfänger einer verschlüsselten E-Mail müssen jeweils das Verfahren des anderen beherrschen und unterstützen.

OpenPGP zum Beispiel nutzt zur Verschlüsselung und Entschlüsselung von E-Mails vom Nutzer erstellte Schlüsselpaare. Der öffentliche Schlüssel muss ausgetauscht werden, damit der Absender diesen zur Verschlüsselung nutzen kann. Möglich ist auch eine Veröffentlichung des Public Keys auf der Firmen-Webseite oder in zentralen Verzeichnissen. Der Empfänger verwendet seinen geheimen Private Key zur Entschlüsselung.

S/MIME hingegen setzt bei der E-Mail-Verschlüsselung auf X.509-Zertifikate, die durch Zertifizierungsstellen ausgegeben werden, und ist nicht mit OpenPGP kompatibel. Sender und Empfänger müssen also beide das gleiche Verfahren nutzen, OpenPGP oder S/MIME.

Schlüsselverwaltung

Zur Verwaltung der Schlüssel oder Zertifikate betreiben Unternehmen oft eine PKI (Public Key Infrastructure). mit denen ein nicht unerheblicher Aufwand verbunden ist.

Bei der identitätsbasierten E-Mail-Verschlüsselung (Identity Based Encryption, IBE) wird die E-Mail-Adresse des Empfängers als öffentlicher Schlüssel genutzt, ein Schlüsselaustausch zwischen Sender und Empfänger ist deshalb überflüssig. Dafür müssen beide Kommunikationspartner aber die gleiche Lösung im Bereich IBE unterstützen.

Alternativ können E-Mails auch auf Basis von Passwörtern ver- und entschlüsselt werden, ohne dass eine PKI notwendig ist. Allerdings muss das Passwort dann auf einem separaten, sicheren Weg übermittelt werden. Zudem entscheidet die Passwortstärke über die Sicherheit der E-Mail-Verschlüsselung.

Die genannten Verfahren werden in verschiedenen Verschlüsselungsprodukten umgesetzt, die dabei unterschiedliche Ansätze verfolgen, wie eine Verschlüsselung im Mail-Client, eine serverbasierte Verschlüsselung oder eine Verschlüsselung als Cloud-Dienst.

1. Verschlüsselung im E-Mail-Client

Die meisten E-Mail-Programme, darunter Microsoft Outlook und Mozilla Thunderbird, unterstützen eine Verschlüsselung mit S/MIME und können E-Mail-Zertifikate importieren. Zusatzprogramme wie GnuPG, Enigmail und das vom BSI beauftragte Gpg4win ergänzen die S/MIME-Funktionen der E-Mail-Clients um eine Verschlüsselung nach OpenPGP. Trotzdem tun sich viele Anwender erfahrungsgemäß damit schwer und halten den Aufwand für die Einrichtung für zu hoch.

Alternativ bieten zahlreiche Anwendungsprogramme wie zum Beispiel Office-, PDF- und ZIP-Lösungen eine Passwortverschlüsselung an. Diese Verschlüsselung betrifft dann aber nur den Dateianhang und nicht die komplette E-Mail, mit der die verschlüsselte Datei verschickt wird.

Auch für Smartphones und Tablets gibt es Apps zur E-Mail-Verschlüsselung, zum Beispiel my Secure Mail als separaten E-Mail-Client oder totemomobile PushedPDF Reader, mit dem Empfänger die E-Mails entschlüsseln und bearbeiten können, die über das totemomail Encryption Gateway als verschlüsselte PDF-Datei verschickt wurden.

2. Verschlüsselung bei Web-Mail

Web-Mail-Dienste wie die Outlook Web App unterstützen keine Verschlüsselung mittels S/MIME, sondern verschlüsseln mit TLS/SSL. Deshalb können zum Beispiel Outlook-Anwender und Nutzer von Outlook Web App keine S/MIME-verschlüsselten E-Mails austauschen.

Bereits vor der eingangs genannten Initiative „E-Mail made in Germany“ haben Web-Mail-Anbieter wie Gmail.com eine Verschlüsselung über SSL angeboten bzw. automatisch aktiviert. Bei Web-Mail handelt es sich allerdings um Cloud-Lösungen, bei denen nicht nur der Transport der E-Mail, sondern auch die E-Mail-Speicherung in der Cloud gesichert und dem deutschen oder europäischen Datenschutz entsprechend behandelt werden muss.

T-Online, Gmx.de und Web.de verweisen auf ihre Rechenzentren in Deutschland und damit auf die Anwendung des Bundesdatenschutzgesetzes. Da kaum ein Unternehmen nur Web-Mail-Dienste einsetzt, kann diese Form der E-Mail-Verschlüsselung nur eine Ergänzung sein.

3. Zentrale Verschlüsselung am Gateway

Unternehmen, die die E-Mail-Verschlüsselung zentral auf ihren Servern oder mit einer selbst betriebenen Appliance durchführen, müssen zwar in die E-Mail-Sicherheit investieren. Sie entlasten aber den einzelnen Nutzern von den Verschlüsselungsaufgaben, die Administratoren von lokalen Installationen und stellen durch eine automatische Verschlüsselung sicher, dass die Nutzer nicht doch vertrauliche E-Mails ungeschützt versenden.

Lösungen wie Reddox MailSealer, XnetSolutions SX-MailCrypt, Zertificon Z1 SecureMail Gateway, SeppMail Secure E-Mail Gateway, GBS iQ.Suite Crypt, totemomail Encryption Gateway und XiTrust Business Server helfen Unternehmen dabei, verschiedene Nutzergruppen in die E-Mail-Verschlüsselung zu integrieren: Nutzer mit S/MIME-Verschlüsselung, solche mit OpenPGP-Verschlüsselung, Web-Mail-Nutzer und mobile Nutzer.

Je nach Gateway-Lösung gibt es zusätzliche Module, um die Strecke zwischen zentralem Verschlüsselungsdienst und dem einzelnen Mail-Client und innerhalb des Firmennetzwerks abzusichern, wie zum Beispiel totemomail Internal Encryption.

4. E-Mail-Verschlüsselung aus der Cloud

Unternehmen, die ein eigenes Verschlüsselungs-Gateway aus Personalgründen nicht betreiben können oder eine externe Lösung aus anderen Gesichtspunkten bevorzugen, finden entsprechende Cloud-Lösungen für die E-Mail-Verschlüsselung.

Gerade kleine und mittlere Unternehmen finden durch Cloud-Lösungen einen leichteren Zugang zur E-Mail-Verschlüsselung, da die Administrationsaufwände reduziert werden können. Beispiellösungen sind der E-Mail-Verschlüsselungsservice von Antispameurope, Secure Cloud MailEncryption, Gateguard Encryption Service und Ubique Technologies IntelliSecure.

Ganz ohne Administrator geht es aber auch bei der E-Mail-Verschlüsselung aus der Cloud nicht, denn die Nutzer müssen in jedem Fall eingerichtet, Nutzerkonten vergeben und gepflegt werden. Wie bei allen Cloud-Lösungen kommen Anwenderunternehmen zudem um die sogenannte Auftragskontrolle nicht herum, insbesondere um die Prüfung des Sicherheits- und Datenschutzkonzeptes des Cloud-Anbieters.

(ID:42283341)