E-Mail-Verschlüsselung: Warum kein Weg daran vorbei führt
Die Datenschutz-Grundverordnung (EU-DSGVO) gilt seit dem 25. Mai in allen europäischen Ländern. Seit fast zwei Monaten ist die Übergangsfrist abgelaufen. Dennoch stehen etliche Unternehmen mit der Umsetzung noch immer am Anfang.
Was bedeutet die DSGVO konkret für Prozesse in meiner Organisation? Wie wird ausreichender Schutz von betroffenen Daten gewährleistet? Wird E-Mail-Verschlüsselung zur Pflicht?
Update: Erhalten Sie Ihr persönliches Update zum Thema E-Mail-Verschlüsselung im CYQUEO-Praxis-Guide und holen Sie sich belastbare Empfehlungen für effektive Umsetzung in der Praxis.
Die vielseitigen Anforderungen überfordern: Unklarheit steht vor Umsetzung. Klar ist: Der Handlungsdruck besteht weiterhin. Rund ein Drittel der Unternehmen in Deutschland sind auch nach dem Ende der Übergangsfrist eigener Einschätzung zufolge nicht DSGVO-konform, so der Gemalto-Report Data Security Confidence Index (DSCI).
Als führendes Kommunikationsmedium nutzen Unternehmen E-Mails: Grob fahrlässig werden höchst sensible Informationen wie Kundendaten, -anschriften oder sogar Kontodaten und vieles mehr geteilt.
Dabei ist E-Mail-Kommunikation nicht sicherer als eine simple Postkarte, wie IT-Sicherheitsexperten seit Jahren predigen. Gleichzeitig steigt die Bedeutung des Angriffsvektors E-Mail – Cyberkriminelle setzen verstärkt auf E-Mails für ihre Machenschaften.
Genau hier setzt die DSGVO an und fordert konsequent die Verschlüsselung personenbezogener Daten, um deren Schutz zu gewährleisten. Ein Blick in den Gesetzestext bringt Klarheit:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Entlang Artikel 32 der DSGVO müssen Verantwortliche mit geeigneten technischen und organisatorischen Maßnahmen (TOM) ein „angemessenes Datenschutzniveau “ bei der Verarbeitung von personenbezogenen Daten gewährleisten. Dazu kommt – gemäß Artikel 32 Abs. 1a) – die Verschlüsselung personenbezogener Daten. Lässt sich daraus ableiten, dass eine verschlüsselte E-Mail-Kommunikation gesetzlich geregelt und für alle Unternehmen verpflichtend ist?
Die Formulierung dieses Artikels lässt Spielraum für Interpretation und einzelfallbezogene Abwägungen.
Unsere Partner und Verschlüsselungsexperte SEPPmail aus der Schweiz kommt zu folgender Einschätzung: Der Artikel 32 der DSGVO fordere ganz konkret die Pseudonymisierung und Verschlüsselung personenbezogener Daten. An dieser Stelle sollte durch Interpretation kein vermeidbares Risiko eingegangen werden
Entsprechend eindeutig ist die Empfehlung seitens SEPPmail: In jedem Fall sollten Unternehmen eine geeignete Verschlüsselungslösung etablieren. Verschlüsselte E-Mail-Kommunikation ist kurz- bis mittelfristig in Zeiten von DSGVO, BDSG und Co. unerlässlich.
E-Mails verschlüsseln um Daten nachhaltig zu schützen
E-Mail-Verschlüsselung schützt sämtliche Daten und Informationen, die tagtäglich im Unternehmen ein- und ausgehen. Damit erhöht sie die firmeninterne IT-Sicherheit.
Gar nicht nur aufgrund der DSGVO (und den drohenden Bußgeldern bei Nichteinhaltung) sollten die Verantwortlichen eine Verschlüsselungslösung für ihre Organisation in Betracht ziehen.
Viele Unternehmen setzen bei ihren Partnern bereits einen verschlüsselten E-Mail-Versand voraus und fordern diesen sogar vertraglich ein. Dies betrifft beispielsweise Geheimhaltungsvereinbarungen, die Vertragsparteien gegenseitig zur Geheimhaltung verpflichten. Hier müssen die Verantwortlichen für die Sicherheit aller vertragsrelevanten Informationen sorgen, um diese vor unberechtigtem Zugriff zu schützen.
Fazit: E-Mailverschlüsselung kommt
Auch wenn es noch Vertreter gibt, die der Meinung sind, dass der Gesetzgeber hier ausreichend Raum für Interpretationen lässt, zeigt die Argumentation, dass an verschlüsselter E-Mail-Kommunikation auf lange Sicht wohl kein Weg vorbeiführt.
Insbesondere mit Blick auf die technisch immer raffinierteren Methoden von Cyberkriminellen lohnt es, die Einführung einer umfassenden Verschlüsselungslösung anzustoßen. Sie sichert die gesamte elektronische Kommunikation im Unternehmen. Sie schützt versendete Daten vor unberechtigten Dritten. Sie minimiert Datenschutzverstöße. Sie steht für einen Haken mehr in der langen Liste der To-Do’s rund um die DSGVO.
Melden Sie sich jetzt kostenlos an für Ihren persönlichen Live-Webcast mit CYQUEO und erhalten Sie Ihr individuelles Update zum Thema E-Mail-Verschlüsselung.
Dieser Artikel basiert auf einem Gastbeitrag von SEPPmail. Wir bedanken uns für die Kooperation.