• +49 (0)89 - 45 22 094 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

3 - 5 Minuten Lesezeit

Unternehmen verschlüsseln ihre E-Mail-Kommunikation nicht. Auch nach dem Inkrafttreten der EU-DSGVO. Warum eigentlich? Unsere Vermutung: Die Transportverschlüsselung von E-Mails wird als ausreichend angesehen. Fälschlicherweise, wie wir hier aufzeigen.

Kurz der Hinweis: Wenn wir von verschlüsselten E-Mails sprechen, z.B. in unserem aktuellen Praxis-Guide E-Mail-Verschlüsselung (2019), dann meinen wir immer die integrierte Ende-zu-Ende-Verschlüsselung.

Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung: Was ist der Unterschied?

Verantwortliche für IT-Sicherheit gehen wie selbstverständlich davon aus, Transportverschlüsselung reiche für die Sicherheit der E-Mail-Kommunikation aus. Dabei handelt es sich um einen weit verbreiteten Irrglauben.

Was ist Transportverschlüsselung?

Die in der Transportverschlüsselung genutzte Standard-Technologie, Transport Layer Security (TLS) – in der ersten Version bereits 1994 erschienen – verschlüsselt beim Versand von E-Mails ausschließlich den Kanal der Übertrag. Nicht aber den Inhalt, der übertragen wird.

 
Was ist Transportverschluesselung?
 

Das bedeutet: Nur auf dem Weg(!) zwischen jeweils zwei SMTP-Servern besteht der Schutz durch Verschlüsselung. Beim Absender und Empfänger liegen die Daten (zumindest kurzzeitig) im Klartext vor.

Das lässt sich vergleichen mit einem am Flughafen aufgegebenen Gepäckstück. Während des Fluges ist es unwahrscheinlich, dass etwas mit dem Gepäck passiert. Es befindet sich schließlich geschützt im Rumpf des Flugzeugs. Also während des Fluges nicht erreichbar. Das Problem: Beim Abflug und bei der Ankunft wiederum (um im Bild zu bleiben: also am Flughafen) kann mit den Gepäck alles Mögliche passieren.

Waren Sie schon einmal am Flughafen in Singapur? Dann kennen Sie möglichherweise die vielen Warnungen vor dem Problem des Drogenschmuggels am Flughafen. Zahlreiche Hinweisschilder warnen vor der möglichen Manipulation von Gepäckstücken durch Dritte. Wenn etwas gefunden wird, sind Sie verantwortlich.

Was bedeutet das für E-Mails? Experten sind sich einig: Für den integren Austausch von Daten und Informationen via E-Mail ist Transport- bzw. Kanalverschlüsselung nicht ausreichend.

Wer es ganz genau wissen will: Die Empfehlungen des BSI zur Verwendung von Transport Layer Security (TLS) lesen Sie in der technischen BSI-Richtlinie BSI-TR-02102-2

Was ist Ende-zu-Ende-Verschlüsselung?

Bei der Ende-zu-Ende-Verschlüsselung ist eine E-Mail nicht nur auf dem Weg des Transports verschlüsselt, sondern darüber hinaus. Von dem einen Ende bis zum anderen Ende, also vom Absender bis zum Empfänger, wird die E-Mail durchgehend geschützt.

 
Was ist Ende-zu-Ende-Verschluesselung?
 

Bleiben wir bei unserem Gepäckstück am Flughafen: Beim Abflug packen Sie Ihr Gepäck in ein sicheres Behältnis, das sich erst wieder beim Auspacken öffnen lässt. Dadurch stellen Sie sicher, dass nicht nur auf dem Flug, sondern auch bereits vorher und nachher definitiv keine Einsicht und keine Manipulation stattfinden kann.

Für das Verschließen und Öffnen – also bei E-Mails das Verschlüsseln und Entschlüsseln – ist eine spezielle Technologie erforderlich. Bezogen auf die Kommunikation mit E-Mails handelt es sich dabei um openPGP und S/MIME.

Nur Ende-zu-Ende-Verschlüsselung garantiert in der E-Mail-Kommunikation den Komplettschutz entlang der drei Prinzipien der Informationssicherheit:

  • - Vertraulichkeit,
  • - Integrität
  • - und Authentizität.

Kein Problem, auch diese Begrifflichkeiten sollen kurz erklärt werden. Im Wirrwarr der Cyber-Security-Buzzwords und Fachtermini bemühen wir uns, so gut es geht Klartext zu sprechen.

 

Nur den Kanal verschlüsseln reicht nicht aus. Transportverschlüselung != E-Mail-Verschlüsselung.
 

Daher noch einmal kurz die zentralen Prinzipien der Informationssicherheit in Bezug auf E-Mail-Kommunikation aufgeschlüsselt:

Was bedeutet Vertraulichkeit der E-Mails?

Sie kennen den Werbe-Slogan "E-Mails sind wie Postkarten"? Er dürfte so alt sein wie die erste versendete E-Mail in Deutschland, nämlich in diesem Jahr bereits 35 Jahre. Was er sagen will: Vertraulichkeit ist erst erreicht, wenn die E-Mail ausschließlich für den angegebenen Empfänger zu lesen ist. Von niemand anderen an keiner Stelle sonst.

Vertraulichkeit von E-Mails ist aus unserer Erfahrung unterbewertet. Statt dies technologisch zu lösen, wird sich mit Disclaimern in E-Mails oder Compliance-Vorgaben, welche die Weitergabe und Veröffentlichung untersagen sollen.

Was bedeutet Authentizität von E-Mails?

Unter der Authentizität einer E-Mail wird die technologisch validierte Bestätigung verstanden, dass der angegebene Absender einer E-Mail die Nachricht auch wirklich auf den Weg gebracht hat. Niemand anders. In Zeiten täuschend echter Phishing-E-Mails ist Authentizität ein immer wichtigerer Baustein der Sicherheit.

(s. dazu auch Wie Sie mit DMARC Ihre E-Mails, Ihre Domain und Ihre Marke schützen)

Was bedeutet Integrität der E-Mails?

Integrität steht für die Korrektheit oder Unversehrtheit der E-Mail. Gemeint ist, dass die E-Mail (also Inhalt, Anhänge und Metadaten) nicht verändert wurden auf dem Weg vom Absender zum Empfänger. Insbesondere im Austausch mit Geschäftspartnern, sowie bei sensiblen Daten aber auch aus Imagegründen sollte Integrität höchste Bedeutung haben.

Während mancherorts das offizielle Firmenpapier besonders gesichert verwahrt wird, um nur legitimierte Kommunikation im Namen der Unternehmung sicherzustellen, wird die Integrität der E-Mail häufig außen vor gelassen.





 

Finden Sie heraus, welchen Stand Verschlüsselung in Ihrer Organisation hat und haben sollte: im kostenlosen E-Mail-Security-Audit.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.