Suchen

Sichere E-Mail-Kommunikation TeleTrusT-Leitfaden zur E-Mail-Verschlüsselung

| Redakteur: Peter Schmitz

Die TeleTrusT-Arbeitsgruppe "Cloud Security" hat eine umfangreiche Informationsbroschüre zu E-Mail-Verschlüsselung erstellt. Die Publikation einschließlich illustrierter Handlungsanleitungen richtet sich sowohl an IT-Experten als auch einschlägig IT-Interessierte.

Firmen zum Thema

E-Mail-Verschlüsselung ist längst nicht mehr so komplex, wie häufig angenommen.
E-Mail-Verschlüsselung ist längst nicht mehr so komplex, wie häufig angenommen.
(Bild: gemeinfrei / Pixabay )

Kommunikation über E-Mail mit Kunden und Geschäftspartnern gehört zum Tagesgeschäft der meisten Unternehmen und Organisationen. Viele Nutzer wissen allerdings nicht, dass die Versendung einer E-Mail dem Transport einer Postkarte durch Unbekannte entspricht. Nur 60 Prozent der E-Mails werden transportverschlüsselt (SSL) übertragen. Der Anteil verschlüsselter E-Mails (PGP oder S/MIME) geht sogar gegen Null.

Jedes zweite Unternehmen in Deutschland und Österreich hatte dagegen bereits einen konkreten Spionageangriff auf ihre EDV-Systeme oder zumindest Verdachtsfälle zu beklagen. Dabei handelt es sich vor allem um Hackerangriffe sowie um abgefangene elektronische Kommunikation: In Deutschland stellten 41,1 Prozent, in Österreich 40,0 Prozent derartige Aktivitäten fest. Doch nur ein Bruchteil setzt auf Verschlüsselung.

Es waren unter anderem diese Zahlen aus der Studie „Industriespionage 2014 – Cybergeddon der Wirtschaft durch NSA & Co.?“, die die TeleTrusT-Arbeitsgruppe „ Cloud Security“ zum Anlass nahm, einen Leitfaden zur E-Mail-Verschlüsselung zu veröffentlichen. Der mehr als 70 Seiten umfassende Leitfaden erläutert E-Mail-Verschlüsselungs- und Signaturmechanismen, legt Funktionsweise, Relevanz und technischen Hintergrund der E-Mail-Verschlüsselung dar und gibt konkrete Handlungsempfehlungen.

„Da die Kommunikation per E-Mail in zahlreichen Organisationen und Unternehmen Kommunikationsmittel Nummer Eins ist, ist die Verschlüsselung von E-Mails einer der wesentlichen Schritte in der Kommunikationssicherheit“, sagt Patrycja Tulinska, Geschäftsführerin der PSW Group. Der Anbieter von E-Mail-Zertifikaten ist als Mitglied der Arbeitsgruppe „Cloud Security“ an der Publikation beteiligt. „E-Mail-Verschlüsselung macht aus einer für alle lesbaren Postkarte einen versiegelten Brief, den nur der berechtigte Empfänger lesen kann“, betont Tulinska und sagt weiter: „E-Mail-Verschlüsselung ist wichtig, weil zum einen bestimmte Daten und Informationen schlichtweg geheim gehalten werden sollen. Zum anderen müssen Compliance-Richtlinien erfüllt werden. Mit der Datenschutz-Grundverordnung macht der Gesetzgeber auch konkrete Vorgaben zum Umgang mit personenbezogenen Daten.“

So zeigt die neue TeleTrust Publikation unter anderem Technologien auf, die das Verschlüsseln von E-Mails ermöglichen. Vorgestellt werden praxisnahe Lösungen, etwa die Verschlüsselung direkt im Client des Anwenders sowie alternative Gateway-Lösungen. „In Zeiten von Schwachstellen wie Efail, Industriespionage und Hackerangriffen stellt die verschlüsselte Übertragung von E-Mails einen immens wichtigen Baustein zur IT-Sicherheit dar. Nur verschlüsselte Kommunikation kann als sicher und vertrauenswürdig angesehen werden“, betont Tulinska und ergänzt: „Da gängige E-Mail-Programme die Verschlüsselung unterstützen und mit Gateway-Lösungen der Aufwand nicht beim User, sondern in der IT-Abteilung liegt, gibt es auch keine Ausreden: E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.“

Peter Hansemann, Leiter des TeleTrusT-Arbeitskreises "Mail Security": "Ungeachtet der wachsenden Nutzung von Messengern bleibt E-Mail trotz aller Sicherheitsdefizite das meist genutzte Medium der elektronischen Kommunikation. TeleTrusT bietet mit der nunmehr 3. Auflage des Leitfadens zur E-Mail-Sicherheit eine praxisorientierte Handreichung für Unternehmen, aber auch für private Anwender, um ihre E-Mail-Kommunikation sicherer zu gestalten."

Bei der Verschlüsselung über den E-Mail-Client des Users können E-Mail-Zertifikate auf einem Token oder als Softkey vorhanden sein. So lässt sich die Verschlüsselung Ende-zu-Ende realisieren. Die E-Mails liegen auch auf dem Mailserver sowie im internen Unternehmensnetz immer verschlüsselt vor. Die E-Mail-Verschlüsselung über S/MIME wird von gängigen E-Mail-Programmen wie Outlook unterstützt, während für PGP in aller Regel zusätzliche Programme benötigt werden. Für Verschlüsselungs-Gateways wird hingegen zentral konfiguriert, welche E-Mails ausschließlich verschlüsselt übertragen werden. Entsprechende Prozesse innerhalb der IT-Administration nehmen die Komplexität der Verschlüsselung dem einzelnen User ab. Ein Gateway kann sicherstellen, dass bestimmte Kommunikation grundsätzlich verschlüsselt wird, außerdem lassen sich Mail-Inhalte vor dem Verschlüsseln und nach dem Entschlüsseln auf Malware oder kritische Inhalte prüfen.

„Welcher dieser Ansätze im rechtlichen, organisatorischen und technischen Kontext für welches Unternehmen geeignet ist, muss jede Organisation für sich entscheiden. Denkbar ist auch ein Mix: Bestimmte Mitarbeiter verschlüsseln am Client, die restliche Belegschaft nutzt die Verschlüsselungsfunktion des Gateways“, rät Patrycja Tulinska.

(ID:46404751)