Vor mehr als zwei Jahren ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Sie schreibt die Verschlüsselung personenbezogener Inhalte in E-Mails eindeutig vor. Dennoch verzichten viele Unternehmen auf eine Secure E-Mail-Lösung, da ihnen der Aufwand vermeintlich zu hoch ist.
Dabei existieren zuverlässige Lösungen, die es erlauben, spontan und sicher mit jedermann zu kommunizieren, ohne Dokumente erst ausdrucken, kuvertieren und zur Post bringen zu müssen. Woran liegt es also, dass sich die E-Mail-Verschlüsselung noch nicht richtig durchgesetzt hat? Und was genau sollte eine moderne Lösung zur Absicherung des E-Mail-Verkehrs mitbringen? Diese und weitere Fragen beantwortet Ihnen Günter Esch, Geschäftsführer der SEPPmail – Deutschland GmbH, im Interview mit itsecurity-Publisher Ulrich Parthier.
Wie schätzen Sie den bisherigen Umsetzungsgrad der E-Mail-Verschlüsselung ein?
Günter Esch: An dieser Stelle möchte ich auf eine deutschlandweite TeleTrust-Umfrage zur IT-Sicherheit im Home-Office verweisen, die ergeben hat, dass 41 % der Befragten Maßnahmen zur E-Mail-Sicherheit getroffen haben. Die restlichen 59 % haben somit keine Verschlüsselungslösung genutzt. Folglich hat sich die E-Mail-Verschlüsselung noch nicht richtig etabliert. Als die DSGVO wirksam wurde, gab es zunächst viel Bewegung und einen starken Aktivismus, der sich jedoch nicht bis heute fortgesetzt hat. Es entscheiden sich zwar weiterhin Unternehmen für einen sicheren E-Mail-Versand, doch der Hype, endlich etwas zu tun, ist abgeflacht. Dies lässt sich mit der aktuellen COVID-19-Situation vergleichen. Corona kam, es folgte der Lockdown, und die meisten Menschen haben sich an die Hygiene- und Abstandsregeln sowie die Kontakteinschränkungen gehalten, denn das Bewusstsein war da: Es gibt einen gefährlichen Virus. Nachdem nun einige Monate vergangen sind, werden viele wieder leichtsinnig, und das Virus rückt in den Hintergrund, obwohl es nicht weg ist. Eine ähnliche Entwicklung ist auch beim Thema E-Mail-Sicherheit zu beobachten – und das trotz zunehmender Cyberattacken.
Woran liegt es, dass noch immer zahlreiche Unternehmen keine Lösung zur Verschlüsselung von E-Mails verwenden?
Günter Esch: Für alle Nutzer wäre es komfortabel, wenn die Verschlüsselung im Hintergrund erfolgt, ohne dass der gewohnte Arbeitsprozess unterbrochen wird. Doch die dafür benötigten Verschlüsselungsverfahren sind in der Praxis leider noch nicht genug verbreitet. Um also auch mit denjenigen Empfängern geschützt zu kommunizieren, die selbst kein Schlüsselmaterial besitzen, greift man auf die sogenannte Spontanverschlüsselung zurück. Zur E-Mail-Entschlüsselung ist die Eingabe eines Passwortes notwendig, was manche davon abhält, eine Sicherheitslösung einzuführen. In meinen Augen sollte dieser Prozess jedoch kein Problem darstellen, da er dem optimalen Schutz digital verschickter Daten dient. Bei der Anmeldung in anderen Applikationen, zum Beispiel einer Banking-App, tippen wir schließlich auch wie selbstverständlich aus Sicherheitsgründen ein Passwort ein. Warum dann nicht auch beim Öffnen vertraulicher Mails? Hier gilt es, ein neues Bewusstsein zu entwickeln.
Welchen Vorteil hat es, vertrauliche Dokumente verschlüsselt via E-Mail auszutauschen?
Günter Esch: Natürlich zuallererst, dass die übermittelten Daten nicht von unautorisierten Instanzen abgefangen und mitgelesen werden können. Zudem lassen sich so die Richtlinien der DSGVO einhalten. Zusätzlich profitieren die Nutzer davon, dass die digitale Informationsübertragung deutlich schneller erfolgt als der postalische Versand. Wenn es beispielsweise Dokumente wie Untersuchungsergebnisse zu übermitteln gilt, die wichtig für den weiteren Behandlungsverlauf sind, sollten sie zeitnah den Empfänger erreichen. Außerdem steigert sich das Image und die Vertrauensbasis zu Kunden oder Partnern eines Unternehmens deutlich, wenn eine Verschlüsselungslösung genutzt wird.
Was zeichnet eine gute E-Mail-Verschlüsselungslösung aus?
Günter Esch: Eine geeignete Secure E-Mail-Lösung unterstützt alle gängigen Verschlüsselungsverfahren wie S/MIME, OpenPGP, TLS und Domainverschlüsselung. Um auch die Spontanverschlüsselung abdecken zu können, sollten die dazu erforderlichen Technologien implementiert sein. Essentiell ist es, dass die E-Mails komplett ausgeliefert und nicht auf der Appliance zum Download zurückgehalten werden. Darüber hinaus sollten weder eine zusätzliche Softwareinstallation noch ein PDF-Reader notwendig sein, um die E-Mail zu lesen. Damit der Empfänger unmittelbar antworten kann, eignet sich die Einbindung einer Antwortfunktion, über die sich auch eigene Attachments verschlüsselt zurückschicken lassen.
Wie läuft dieses Verfahren zur Spontanverschlüsselung ab?
Günter Esch: Im Falle unseres Verfahrens ist auf der Appliance ein standardisiertes Rule-Set etabliert, das sich auf die Anforderungen des Unternehmens anpassen lässt. Bei dem Standardset markiert der Sender die E-Mail zunächst als vertraulich. Kommt die Meldung auf der Appliance an, prüft diese, ob bereits ein Verschlüsselungsverfahren vorhanden ist. Schlägt keiner der Standardtechnologien an, findet das Verfahren der Spontanverschlüsselung Anwendung. Die E-Mail wird dabei samt Anhängen verschlüsselt und mit einer Trägermail ausgeliefert. Der verschlüsselte Anhang lässt sich durch Eingabe eines Passwortes auf jedem internetfähigen Gerät mit Browser öffnen, um die Nachricht zu entschlüsseln. Dafür stehen verschiedene Passwort-Optionen zur Verfügung.
Die Appliance kann etwa ein Initialpasswort für den Sender erstellen, das der Empfänger über einen zweiten Übertragungsweg erhält. Alternativ gibt es die Möglichkeit eines Einmalpasswortes, für das lediglich die Mail-Adresse und die Handynummer des Empfängers benötigt werden. Daraufhin lässt sich jede E-Mail des Absenders verschlüsseln, und der Empfänger erhält ein einmalig gültiges Kennwort zur Entschlüsselung per SMS. Sollten vertrauliche E-Mails nur selten mit einem Empfänger ausgetauscht werden, besteht zudem die Option des E-Mail-Passworts, das einer spezifischen Mail zugeordnet ist und ohne Registrierung funktioniert. Empfänger, die häufiger verschlüsselte Mails bekommen, können sich beim Versender registrieren und im Anschluss entweder mit oder ohne Login sichere E-Mails empfangen.
Glauben Sie, dass sich die E-Mail-Verschlüsselung zukünftig noch weiter bei den Unternehmen verbreiten wird?
Günter Esch: Sicherlich nicht so schnell, wie es in Hinblick auf die Vorgaben der DSGVO und der Abwehr vor Cyberkriminellen sein sollte. Ich gehe allerdings davon aus, dass sich die Sensibilität in puncto E-Mail-Sicherheit weiterhin verstärken wird. Denn die kriminelle Energie geht genauso wenig weg wie die Bedrohung durch Viren wie COVID-19.
Vielen Dank für das Gespräch!