Mehr Sicherheit durch E-Mail-Verschlüsselung

Hacker interessieren sich besonders für vertrauliche Inhalte. Elektronische Post ist ein großes Sicherheitsrisiko, weil sie sich auf dem Weg von Absender zu Adressat abfangen lässt. Dringen abgezweigte Patente, Verträge oder Rechnungen an die Öffentlichkeit oder werden erpresserisch genutzt, dann drohen hohe Folgekosten und juristische Probleme wegen mangelhaften Datenschutzes. Von negativen Schlagzeilen und peinlichem Imageverlust ganz zu schweigen. Die neue Datenschutz-Grundverordnung erhöht den Handlungsbedarf zusätzlich. Ab Mai 2018 führt sie EU-weit strengere Regeln für den Umgang mit personenbezogenen Daten ein.

Auch interessant: Datenschutz – wie sich Firmen gegen Strafen wappnen

Wer das vermeiden und ungebetene Mitleser von der Lektüre ausschließen will, der sollte auf eine wirkungsvolle E-Mail-Verschlüsselung setzen. Hier drei Hinweise, die es dabei zu beachten gilt:

Hinweis 1: Gute Vorbereitung

Basis für einen funktionierenden Schutz von E-Mails ist das entsprechende Problembewusstsein der Mitarbeiter – quer durch alle Hierarchieebenen. In der Bevölkerung ist das vielfach sogar schon vorhanden. So hat eine Convios-Consulting-Umfrage für Web.de und GMX.de unter 1.006 deutschen Internet-Nutzern ab 14 Jahren ergeben:

  • Mehr als 60 Prozent der Deutschen glauben, dass ihre E-Mails von Geheimdiensten, Hackern oder ihrem Provider mitgelesen werden.
  • 72 Prozent der Deutschen empfinden das Mitlesen ihrer E-Mails als schlimm.
  • Drei Viertel der Deutschen halten E-Mail-Verschlüsselung für wichtig.

Doch nur die Wenigsten ziehen daraus Konsequenzen. Lediglich 26 Prozent gaben an, dass sie ihre E-Mails verschlüsseln. Woran liegt das? Auch das zeigt die Studie. Die häufigsten Gründe, auf eine Codierung zu verzichten, sind:

  • Ist zu aufwendig (38 Prozent)
  • Mangelndes Know-how (37 Prozent)
  • Sicherheitsbedenken (19 Prozent)
E-Mail-Verschlüsselung

E-Mails übertragen oft sensible Unternehmensdaten. Ungesichert sind sie leichte Beute für Hacker und Spione. Dagegen hilft eine wirkungsvolle E-Mail-Verschlüsselung. Mit der bevorstehenden EU-Datenschutz-Grundverordnung/EU-DSGVO) wird der Schutz elektronisch versandter, personenbezogener Daten überdies für Unternehmen jeder Größe zur Pflicht.

Die Umfrage-Ergebnisse sollten Unternehmer und Entscheider alarmieren und zu konsequentem Handeln animieren. Zunächst ist die Frage zu klären, für welche Arten von Mitteilungen die E-Mail-Verschlüsselung gelten soll. Alles, was als vertraulich eingestuft wird, bedarf hier besonderer Sicherheit. Achtung: Nicht nur Menschen verschicken E-Post, sondern auch Programme, teils automatisch. Sie müssen daher auch in die Bedarfsplanung einbezogen werden. Zu berücksichtigen ist auch eine fachgerechte Archivierung. Verschlüsselte E-Mails sind ohne geeignete Schnittstellen kaum in Dokumentensammlungen aufzufinden. Steht die Liste, sollte sie in einer verbindlichen Vereinbarung festgehalten werden.

Hinweis 2: E-Mail-Verschlüsselung wählen

Im nächsten Schritt ist ein Konzept zur Umsetzung gefragt. Das ist in erster Linie ein technischer Aspekt. Abhängig von der Sensibilität der zu verschickenden Daten, können unterschiedlich abgestufte Sicherheitsniveaus sinnvoll sein. Weiter ist zu klären, welche Form der E-Mail-Verschlüsselung sich – auch für die interne Kommunikation – anbietet. In manchen E-Mail-Programmen wie Outlook sind entsprechende Lösungen bereits eingebaut. Unter Umständen kann es hilfreich sein, ein spezialisiertes Beratungsunternehmen hinzuzuziehen.

E-Mail-Verschlüsselung: So geht’s richtig Zum Beispiel das E-Mail-Programm von Outlook bringt eine Verschlüsselungstechnik mit. (© 2018 Shutterstock / Casimiro PT)

Grundsätzlich gibt es zwei Codierungsvarianten:

  • Transportverschlüsselung: Hier werden die Daten durch eine Art gesicherten Tunnel verschickt. Die übliche Technik dahinter heißt Transport Layer Security (TLS), das Prinzip Standort-zu-Standort-Verschlüsselung. Ein Nachteil dieser Lösung ist allerdings, dass der eigentliche Inhalt der Mitteilung unverschlüsselt auf die Reise geht.
  • Inhaltsverschlüsselung: Sie macht die gesendeten Informationen für Dritte unleserlich, allerdings keine Metadaten wie Absender, Empfänger und Betreff. Gängige Verfahren sind S/MIME (Secure/Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy).

Auch interessant: Geschäfts-E-Mail – Tipps für die stilvolle Kommunikation

Wer besonders effektiv seine E-Mails verschlüsseln will, sollte auf eine Kombination von Transport- und Inhaltsverschlüsselung setzen. Dabei ist zu bedenken, dass Absender und Empfänger die gleiche Technik verwenden müssen. Im Idealfall nutzen Unternehmen verschiedene Varianten, um möglichst flexibel bei der E-Mail-Kommunikation zu sein.

Hinweis 3: „Kleinigkeiten“ nicht vergessen

Office 365 von der Telekom

Die Telekom bietet mit Office 365 ein Office-Komplettpaket als praktische Mietsoftware zu einem günstigen Preis. Neben den Office-Klassikern Word, Excel, PowerPoint und Co. zur Nutzung auf Mac/PC, Smartphone und Tablet sorgt eine professionelle E-Mail-Lösung für effiziente Büroorganisation. Dazu steht ein großer Online-Speicher zur zentralen Ablage und gemeinsamen Bearbeitung von Dateien zur Verfügung. Das Ganze wird von der Telekom aus sicheren Rechenzentren in Deutschland angeboten. Und damit das Arbeiten auch über die Distanz effizient funktioniert, rundet die integrierte Konferenzlösung Skype for Business das Angebot ab.

Die E-Mail-Verschlüsselung funktioniert nur dann, wenn sie umfassend eingeführt wird. Deshalb dürfen folgende Aspekte bei Planung und praktischer Anwendung nicht unter den Tisch fallen:

  • Der Versand elektronischer Post ist nicht nur eine Sache stationärer Systeme. E-Mails lassen sich mit Smartphones, Tablets und Notebooks ebenso verschicken. Deshalb sollte die verwendete Codierungstechnik auch mit mobilen Geräten kompatibel sein.
  • Vor allem große Anhänge werden oft von E-Mail-Servern abgewiesen. Die E-Mail-Verschlüsselung muss damit harmonieren.
  • Übliche Abwehrmechanismen wie Antivirensoftware oder Firewalls können verschlüsselte E-Mails oft nicht erkennen beziehungsweise auswerten. Die verwendete Verschlüsselungsmethode muss also mit der internen Datenfluss- und Inhaltskontrolle kooperieren. Andernfalls rutscht Schadcode unerkannt durch.