Riskante Kommunikation

E-Mail-Verschlüsselung und andere Sicherheitsrisiken

| Autor / Redakteur: Dr. Eike Schmidt / Peter Schmitz

E-Mail-Verschlüsselung soll die Unternehmens­kommunikation absichern, aber auch dieses Verfahren bringt einige Nachteile mit sich.
E-Mail-Verschlüsselung soll die Unternehmens­kommunikation absichern, aber auch dieses Verfahren bringt einige Nachteile mit sich. (Bild: gemeinfrei)

Nach wie vor sind ausgerechnet Top-Manager für Sicherheitsthemen oft nicht richtig sensibilisiert und versenden vertrauliche Daten noch unverschlüsselt, das zeigen aktuelle Studien. Doch selbst wenn Anwender auf vermeintlich sichere Kommunikationswege wie die E-Mail-Verschlüsselung setzen, lauern noch versteckte Gefahren.

Cyberangriffe sind für Industrieunternehmen längst Alltag. Laut einer Studie des Branchenverbands Bitkom wurden in den vergangenen zwei Jahren 68 Prozent der deutschen Firmen – also mehr als zwei Drittel – Opfer von Sabotage, Datendiebstahl oder Industriespionage. 84 Prozent konnten sogar beobachten, dass die Anzahl der Attacken im selben Zeitraum zugenommen hat . Die Gesetzgeber, sowohl auf Landes- als auch auf Europaebene, haben auf diese Entwicklung längst reagiert, fordern die Verschlüsselung von Daten beispielsweise in der EU-Datenschutz-Grundverordnung sowie der EU-Know-how-Schutz-Richtlinie.

Allerdings gehört nach wie vor gerade der unverschlüsselte E-Mail-Versand in den Vorstandsabteilungen vieler Firmen zum Arbeitsalltag – auch für vertrauliche Dokumente. Dieser bietet jedoch viel Angriffsfläche für Cyberkriminelle, da die Nachrichten meist zwischen den verschiedensten Servern hin- und hergeroutet werden, die sich darüber hinaus meist in unterschiedlichen Ländern befinden. Das stellt ein perfektes Szenario für sogenannte „Man in the middle“-Angriffe dar, bei denen sich Hacker in die Kommunikationswege einklinken und unbemerkt Daten abgreifen können. Doch selbst ohne ausgeklügelte Angriffsstrategie können beim unverschlüsselten Mail-Verkehr leicht Informationen in falsche Hände geraten. Denn grundsätzlich können diese Nachrichten von jedem mitgelesen werden, man muss nur wissen, wonach man sucht. Sie sind also nicht sicherer als Postkarten, die ebenfalls jederzeit vom Postboten gelesen werden können.

Um diese Risiken zu minimieren, hat sich in den letzten Jahren die E-Mail-Verschlüsselung immer mehr durchgesetzt. Doch auch dieses Verfahren bringt einige Nachteile mit sich – und teilweise sogar massive Sicherheitslücken.

EFAIL als Einfallstor

Es zeigt sich allerdings immer wieder, dass auch aktuelle Verfahren zur E-Mail-Verschlüsselung nicht vollständig gegen „Man in the middle“-Angriffe geschützt sind. Das hat die im Mai 2018 bekannt gewordene EFAIL-Sicherheitslücke gezeigt. Diese hatte es Cyberkriminellen ermöglicht, eine E-Mail auf dem Versandweg abzufangen und zu manipulieren. Dabei konnte die Verschlüsselung ganz einfach umgangen werden, indem die Anhänge verändert und so der Inhalt der Nachrichten im Klartext ausgelesen wurde. Von EFAIL waren bis zu entsprechenden Updates die Verschlüsselungs-Plugins nahezu aller gängiger Mailprogramme betroffen, also beispielsweise Thunderbird, Apple Mail oder Outlook.

Schlüssel müssen getauscht werden

Bei OpenPGP s/MIME werden jeweils Schlüsselpaare samt Passwörtern für den jeweils verwendeten Mail-Account erstellt. Dabei gibt es jeweils einen privaten und einen öffentlichen Schlüssel, der auf einem Server abgelegt wird. Der Empfänger muss dabei ebenfalls ein Schlüsselpaar erstellen und einen öffentlichen Key hochladen. Das nennt sich dann asymmetrische Verschlüsselung.

Dieser Vorgang muss mit jedem externen Kommunikationspartner separat durchgeführt werden. Es wird also ein gewisses technisches Grundverständnis verlangt, das jedoch bei vielen Mitarbeitern nicht oder nur unzureichend gegeben ist – was in der Folge zu Nachlässigkeiten und dadurch Sicherheitslücken führen kann. Außerdem ist das komplizierte Verfahren eher weniger geeignet, wenn nur einzelne E-Mails ausgetauscht werden sollen.

Fehlende Revisionssicherheit

Ein weiterer Nachteil der Verschlüsselung mittels OpenPGP und s/MIME ist, dass sich die Absicherung rein auf den Daten- und Informationsaustausch beschränkt. Sobald sich die Daten auf den jeweiligen Rechnern der Kommunikationspartner befinden, sind sie jedoch nicht mehr innerhalb der „sicheren Zone“. Heißt: Jeder, der die Mails bekommt, hat die darin befindlichen Informationen für immer – und kann sie im Folgenden auch unverschlüsselt an Dritte weitergeben oder auf nicht abgesicherten Datenträgern abspeichern. Der Kontrollverlust ist also vorprogrammiert. Außerdem wird die Nachricht auf den jeweiligen Mail-Servern im Klartext abgelegt, ist also bei gezielten Cyberangriffen leichte Beute. Sämtliche Verfahren zur E-Mail-Verschlüsselung erfüllen demnach nicht die regulären Compliance-Anforderungen zum Schutz sensibler Daten und Informationen. Denn sie bieten weder eine volle Kontrolle über die Zugriffe, noch sind sie revisionssicher.

Data Governance mit digitalem Tresor

Angesichts dieser Nachteile setzen daher immer mehr Unternehmen auf virtuelle Datenräume –hochsichere Plattformen zum sicheren, kontrollierten Informationsaustausch. Innerhalb dieser können Daten gespeichert, ausgetauscht, bearbeitet und je nach Bedarf für weitere ausgewählte Personen freigegeben werden. Als zentrale Funktion zur Informationssicherheit bieten diese Lösungen umfangreiche Maßnahmen, um vertrauliche Dokumente jederzeit zu kontrollieren, beispielsweise mit einem digitalen Wasserzeichen oder Information-Rights-Management, das die Dokumentenberechtigung soweit einschränken kann, dass ein Dokument zwar geöffnet, aber weder gedruckt noch gespeichert werden kann. Darüber hinaus werden alle Datenzugriffe revisionssicher dokumentiert, man sieht also zu jeder Zeit, wer Zugang zu welchen Informationen hat. So kann die Data Governance in Unternehmen effektiv umgesetzt werden.

Ein Unternehmen, das bereits auf diese Art des Informationsaustauschs setzt, ist die Schweizer Großbank Credit Suisse. Diese hat sich zum Launch eines neuen Fonds-Produkts für einen virtuellen Datenraum von Brainloop entschieden, um vertrauliche Kundeninformationen hochsicher und vor allem Compliance-konform auszutauschen und zu bearbeiten. Um dabei sicher zu stellen, dass auch wirklich nur die jeweils berechtigten Personen Zugang zu den vertraulichen Dokumenten haben, gibt es innerhalb des Systems einen separaten Datenraum für jede einzelne Transaktion – der darüber hinaus auch noch eigene Nutzerberechtigungen aufweist. Auf diese Weise ist ein sicherer und vor allem nachvollziehbarer Informationsaustausch sowohl mit internen als auch externen Mitarbeitern und Partnern gewährleistet – und erfüllt sämtliche gesetzlichen und internen Richtlinien.

Über den Autor: Dr. Eike Schmidt ist CTO der Brainloop AG.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45790658 / Kommunikation)