Virenschutz und Revisionssicherheit So bleiben verschlüsselte Mails einsehbar

Von Marcel Mock

E-Mails sind bei Cyberkriminellen ein beliebtes Transportmedium für Schadsoftware. Deshalb müssen sie für Anti-Viren-Programme und Data-Loss-Prevention-(DLP)-Lösungen lesbar sein, auch wenn sie für den Versand verschlüsselt werden. Zusätzlich gilt es, auch verschlüsselte E-Mails so zu speichern, dass sie sowohl revisionssicher als auch recherchierbar sind. Daraus ergeben sich zumindest auf den ersten Blick Widersprüche.

Anbieter zum Thema

E-Mail-Verschlüsselung birgt ein Problem für die IT-Sicherheit: Ist der Inhalt einer Mail korrekt verschlüsselt, ist er nicht nur für Dritte, sondern auch für Sicherheitslösungen nicht mehr lesbar.
E-Mail-Verschlüsselung birgt ein Problem für die IT-Sicherheit: Ist der Inhalt einer Mail korrekt verschlüsselt, ist er nicht nur für Dritte, sondern auch für Sicherheitslösungen nicht mehr lesbar.
(Bild: sdecoret)

Laut einer Bitkom-Studie kosteten Cyberattacken die deutsche Wirtschaft im vergangenen Jahr rund 223 Milliarden Euro. Neun von zehn der mehr als 1000 befragten Unternehmen räumten ein, seit Anfang 2020 mindestens einmal Opfer eines Angriffs auf ihre IT-Sicherheit geworden zu sein. 83 Prozent der Studienteilnehmer äußerten die Befürchtung, die Attacken würden bis Ende dieses Jahres sogar noch zunehmen.

Auf dem Vormarsch sind vor allem Ransomware-Erpressungen. Dabei verschaffen sich Cyberkriminelle Admin-Rechte, saugen zunächst alle verwertbaren Daten aus den Speichern und sperren die Unternehmen anschließend von ihren eigenen Systemen aus, bis diese eine hohe Summe Lösegeld zahlen. Um die notwendigen Berechtigungen zu erhalten, versenden die Erpresser gern betrügerische E-Mails, die dem Empfänger einen falschen Absender vortäuschen oder Schadsoftware transportieren. Dabei findet laut Bitkom jeder vierte Angriff auf die IT-Sicherheit per E-Mail statt, um menschliche Verhaltensweisen auszunutzen.

Strategische E-Mail-Verschlüsselung

Um Social Engineering und Phishing zu verhindern, müssen Unternehmen alle eingehenden E-Mails auf verdächtige Absender und Inhalte, angehängte Malware, Links oder andere Schadsoftware prüfen. Das geschieht vorzugsweise, bevor die Empfängerin oder der Empfänger die E-Mail öffnen kann. Unverschlüsselte Mails verursachen hier kaum Schwierigkeiten. Aber um E-Mails vor Einblicken Unbefugter zu schützen, werden sie in der Unternehmenswelt zunehmend für Dritte unlesbar gemacht, bevor sie versendet werden.

Vor allem geschäftskritische Informationen, aber auch Daten mit Personenbezug, müssen im Vorfeld des E-Mail-Versands gegen unberechtigtes Mitlesen geschützt werden – aus Eigeninteresse und auch, um der Datenschutz-Grundverordnung (DSGVO) zu genügen. So wird das Thema E-Mail-Verschlüsselung für die Unternehmen neben Anti-Viren-Lösungen und weiteren Security-Maßnahmen zu einem immer wichtigeren Teil ihrer IT-Security-Strategie.

Jedoch widersprechen sich Lesbarkeit und Ende-zu-Ende-Verschlüsselung. Ist der Inhalt korrekt verschlüsselt, ist er nur für den berechtigten Empfänger lesbar. Damit können auch Sicherheitslösungen den Inhalt nicht prüfen. Zwar entschlüsselt das E-Mail-Programm die Nachricht in dem Augenblick, in dem sie geöffnet wird, und erlaubt der beim Empfänger installierten Antivirensoftware, „hineinzusehen“. Da könnte es jedoch bereits zu spät sein, falls die E-Mail auf dem Transportweg manipuliert wurde. Eine Prüfung während des Transports funktioniert nur, wenn das Schlüsselmaterial an der jeweiligen Stelle verfügbar ist.

Ähnliches gilt im Hinblick auf Lösungen für Data Loss Prevention. Sie finden rasch Verbreitung, denn sie gewährleisten, dass keine vertraulichen Daten an externe Empfänger ausgesandt werden, ohne dass dies vom Unternehmen genehmigt wurde. Wenn diese Lösung eine Komponente enthält, die auf den Endgeräten mitläuft, dann weist diese dasselbe Problem wie die lokale Antivirensoftware auf: Es lässt sich nicht immer sicherstellen, dass Bedrohungen während des Transports entdeckt werden. Daher setzen Unternehmen zunehmend auf zentrale Komponenten und gehen weg von Desktop-Lösungen.

Gateway als Lösung

Moderne Encryption-Lösungen nutzen deshalb ein Verschlüsselungs-Gateway, das gewährleistet, dass jede E-Mail vom Sender bis zum Empfänger durchgehend verschlüsselt wird. Dabei betätigt der User nach Verfassen einer E-Mail den nativen Verschlüsselungsknopf des Mail-Clients. Dieser wendet sich anschließend an das Gateway, das ein eigenes Schlüsselpaar aus Public und Private Key erstellt. Den öffentlichen Schlüssel spielt es zurück an den Mail-Client, woraufhin dieser die E-Mail verschlüsselt und absendet.

Auf der anderen Seite der internen E-Mail-Infrastruktur wird die Nachricht am Gateway mit dem privaten Schlüssel des generierten Schlüsselpaares entschlüsselt und trifft dann auf eine DLP-Lösung, die den Inhalt einsehen kann. Wenn alles in Ordnung ist, überlässt sie die E-Mail einem Antiviren-Tool zur weiteren Prüfung. Zum Schluss wird die E-Mail wieder neu verschlüsselt – maßgeschneidert auf die Bedürfnisse des Empfängers, der vielleicht PGP oder S/MIME nutzt oder auch eine Push-Nachricht im HTML-Format vorzieht. Beim E-Mail-Empfang läuft dieser Vorgang dann in der Gegenrichtung ab.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Dadurch, dass das interne Gateway seine eigenen Schlüssel verwendet, lassen sich die Inhalte einsehen, ohne dass sie von außen abgegriffen oder manipuliert werden können. Ein hoher Grad an Automatisierung steigert die Nutzerfreundlichkeit, während gleichzeitig die Fehleranfälligkeit durch den „menschlichen Faktor“ sinkt. Damit ist der oft diskutierte Kompromiss zwischen Sicherheit und Nutzerfreundlichkeit obsolet.

Revisionssicheres Archiv im Zugriff

Verschlüsselte E-Mails bringen mit Blick auf die Archivierung eine weitere Herausforderung mit sich: Aus juristischen Gründen, beispielsweise aufgrund Paragraph 147 der Abgabenordnung, ist es oft nötig, E-Mails – als steuerrechtlich relevante Unterlagen – genau in dem Zustand über mehrere Jahre hinweg zu speichern, in dem sie eingetroffen sind. Handelt es sich dabei um verschlüsselte E-Mails, kann das Unternehmen nur hoffen, dass es sie nie zur Prüfung bereitstellen muss. Denn sie lassen sich nur über Metainformationen wie Absender oder Empfangsdatum suchen. Je nach Menge der Suchergebnisse kann es schwierig bis unmöglich sein, die richtige Nachricht wiederzufinden, da man im Extremfall in viele verschiedene Nachrichten hineingucken und diese dafür einzeln entschlüsseln müsste.

Abhilfe schafft hier ein Proxy, der die Archivierungs-Lösung und das dafür genutzte Journaling unterstützt. Der Proxy ermöglicht es einerseits, verschlüsselte Nachrichten durch Entschlüsselung durchsuchbar zu machen, dabei das Original jedoch nicht zu verändern, so dass die Anforderungen an eine rechtskonforme Archivierung erfüllt sind. Dabei wandert die Original-Mail nicht direkt ins Archiv, sondern wird zunächst, zusammen mit gewissen Metadaten, an eine neue E-Mail angehängt. Der Proxy entschlüsselt dann die verschlüsselte Original-Mail und hängt sie ebenfalls an. Die neue E-Mail wird archiviert und enthält nun weiterhin die Metadaten, sowie zwei Anhänge: die ursprüngliche, verschlüsselte Nachricht und neu auch eine Klartext-Version der ursprünglichen Nachricht, die damit recherchierbar wird. Falls die Original-Mail später einmal zu Beweiszwecken gebraucht wird, lässt sie sich auf diese Weise rasch und unverändert im Archiv wiederfinden.

Über den Autor: Marcel Mock verantwortet bei Totemo die Technologie- und Produkt-Strategie und ist für Technologie-Partnerschaften zuständig. Vor der Mitgründung von Ttotemo war er Head of Software Development bei WebSemantix AG. Marcel Mock hat einen BS in Wirtschaftsinformatik, seine Erfindungen im Bereich E-Mail-Verschlüsselung wurden international patentiert. Als Experte schreibt er regelmäßig für verschiedene Medien und ist Mitglied des Fachgremiums „Information Security“ des schweizerischen Verbands der ICT-Anbieter Swico.

(ID:48116103)