• +49 (0)89 - 45 22 094 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Auch nach dem Inkrafttreten der EU-DSGVO verschlüsseln Unternehmen ihre E-Mail-Kommunikation nicht. Warum eigentlich? Eine Ursache: Transportverschlüsselung wird als ausreichend angesehen. Fälschlicherweise.

Kur der Hinweis: Wenn wir von verschlüsselten E-Mails sprechen, z.B. im aktuellen Praxis-Guide E-Mail-Verschlüsselung, dann meinen wir immer integrierte Ende-zu-Ende-Verschlüsselung.

Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung: Was ist der Unterschied?

Zu viele Unternehmen gehen davon aus, das Transportverschlüsselung ausreicht für die Sicherheit der E-Mail-Kommunikation. Dabei handelt es sich um einen Irrglauben.

Was ist Transportverschlüsselung?

Die in der Transportverschlüsselung genutzte Standardtechnologie, Transport Layer Security (TLS) – in der ersten Version bereits 1994 erschienen – verschlüsselt beim Versand von E-Mails ausschließlich den Übertragungskanal.

 
Was ist Transportverschluesselung?
 

Das bedeutet: Nur auf dem Weg(!) zwischen jeweils zwei SMTP-Servern besteht der Schutz durch Verschlüsselung. Beim Absender und Empfänger liegen die Daten (zumindest kurzzeitig) im Klartext vor.

Das ist in etwa so, wie mit aufgegebenen Gepäckstücken am Flughafen. Während des Fluges ist es unwahrscheinlich, dass etwas mit dem Gepäck passiert. Es befindet sich ja geschützt im Rumpf des Flugzeugs, also während des Fluges nicht erreichbar. Problem: Beim Abflug und bei der Ankunft wiederum, also am Flughafen, kann mit den Gepäck alles Mögliche passieren.

Wenn Sie schon einmal am Flughafen Singapur waren, kennen Sie wahrscheinlich dort die vielen Warnungen vor dem Problem des Drogenschmuggels am Flughafen. Diese Hinweisschilder warnen vor der möglichen Manipulation von Gepäckstücken durch Dritte. Sie sind verantwortlich.

In der Konsequenz sind sich Experten durchweg einig: Für den integren Austausch von Daten und Informationen via E-Mail ist Transport- bzw. Kanalverschlüsselung nicht ausreichend.

Wer es ganz genau wissen will: Die Empfehlungen des BSI zur Verwendung von Transport Layer Security (TLS) lesen Sie in der technischen BSI-Richtlinie BSI-TR-02102-2

Was ist Ende-zu-Ende-Verschlüsselung?

Bei der Ende-zu-Ende-Verschlüsselung ist eine E-Mail nicht nur auf dem Weg des Transports verschlüsselt, sondern darüber hinaus. Von dem einen Ende bis zum anderen Ende, also vom Absender bis zum Empfänger, wird die E-Mail durchgehend geschützt.

 
Was ist Ende-zu-Ende-Verschluesselung?
 

Um beim Bild des Gepäckstücks zu bleiben: Beim Abflug packen Sie Ihr Gepäck in ein Behältnis, das sich erst wieder beim Auspacken öffnen lässt. So kann nicht nur auf dem Flug, sondern auch vorher und nachher kein Vertauschen, keine Einsicht und keine Manipulation stattfinden.

Für das Verschließen und Öffnen, also das Verschlüsseln und Entschlüsseln, ist eine spezielle Technologie erforderlich. Bezogen auf die Kommunikation mit E-Mails handelt es sich dabei um openPGP und S/MIME.

Nur Ende-zu-Ende-Verschlüsselung garantiert in der E-Mail-Kommunikation den Komplettschutz entlang der drei Prinzipien der Informationssicherheit:

  • - Vertraulichkeit,
  • - Integrität
  • - und Authentizität.

Kein Problem, auch diese Begrifflichkeiten sollen kurz erklärt werden. Im Wirrwarr der Cyber-Security-Buzzwords und Fachtermini bemühen wir uns, so gut es geht Klartext zu sprechen.

 

Nur den Kanal verschlüsseln reicht nicht aus. Transportverschlüselung != E-Mail-Verschlüsselung.
 

Daher noch einmal kurz die zentralen Prinzipien der Informationssicherheit in Bezug auf E-Mail-Kommunikation aufgeschlüsselt:

Was bedeutet Vertraulichkeit der E-Mails?

Sie kennen den Werbe-Slogan "E-Mails sind wie Postkarten"? Er dürfte so alt sein wie die erste versendete E-Mail in Deutschland, nämlich in diesem Jahr bereits 35 Jahre. Was er sagen will: Vertraulichkeit ist erst erreicht, wenn die E-Mail ausschließlich für den angegebenen Empfänger zu lesen ist. Von niemand anderen an keiner Stelle sonst.

Vertraulichkeit von E-Mails ist aus unserer Erfahrung unterbewertet. Statt dies technologisch zu lösen, wird sich mit Disclaimern in E-Mails oder Compliance-Vorgaben, welche die Weitergabe und Veröffentlichung untersagen sollen.

Was bedeutet Authentizität von E-Mails?

Unter der Authentizität einer E-Mail wird die technologisch validierte Bestätigung verstanden, dass der angegebene Absender einer E-Mail die Nachricht auch wirklich auf den Weg gebracht hat. Niemand anders. In Zeiten täuschend echter Phishing-E-Mails ist Authentizität ein immer wichtigerer Baustein der Sicherheit.

(s. dazu auch Wie Sie mit DMARC Ihre E-Mails, Ihre Domain und Ihre Marke schützen)

Was bedeutet Integrität der E-Mails?

Integrität steht für die Korrektheit oder Unversehrtheit der E-Mail. Gemeint ist, dass die E-Mail (also Inhalt, Anhänge und Metadaten) nicht verändert wurden auf dem Weg vom Absender zum Empfänger. Insbesondere im Austausch mit Geschäftspartnern, sowie bei sensiblen Daten aber auch aus Imagegründen sollte Integrität höchste Bedeutung haben.

Während mancherorts das offizielle Firmenpapier besonders gesichert verwahrt wird, um nur legitimierte Kommunikation im Namen der Unternehmung sicherzustellen, wird die Integrität der E-Mail häufig außen vor gelassen.





 

Finden Sie heraus, welchen Stand Verschlüsselung in Ihrer Organisation hat und haben sollte: im kostenlosen E-Mail-Security-Audit.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.