Unverschlüsselte E-Mails sind riskant, dafür hat die DSGVO das Bewusstsein geschärft. Allerdings fällt es vielen Unternehmen schwer, eine geeignete E-Mail-Verschlüsselung für die datenschutzkonforme Kommunikation einzuführen. Klare Kriterien helfen, eine praxistaugliche Lösung auszuwählen.
Der Blick in zwei Studien zeigt, dass sich die E-Mail-Verschlüsselung in Unternehmen verbreitet, wenn auch langsam. So ermittelte der „SicherheitsMonitor 2016 Mittelstand“ von „Deutschland sicher im Netz“ (DsiN), dass unter den kleinen und mittleren Unternehmen (KMU) 17 Prozent Nachrichten verschlüsselten. Zu dem Zeitpunkt verpflichtete das Bundesdatenschutzgesetz deutsche Unternehmen bereits, dies bei Nachrichten mit personenbezogenen Daten zu tun. Seit Frühjahr 2018 gilt die DSGVO, die im Artikel 32 ausdrücklich Verschlüsselung als geeignete Maßnahme bezeichnet, um personenbezogene Daten zu schützen. Im Herbst 2018 fragte die Bundesdruckerei für die „Initiative Mittelstand verschlüsselt!“ nach.
Ein halbes Jahr nach Inkrafttreten der DSGVO wendeten 40 Prozent der Firmen eine Transportverschlüsselung mittels Transport Layer Security (TLS) oder der Vorgängerversion Secure Socket Layer (SSL) an. In dem Fall bauen Absender und Empfänger für den E-Mail-Austausch einen geschützten Tunnel auf. Auf dem Server und im Postfach des Empfängers liegen die E-Mails im Klartext. Rund ein Fünftel der Mittelständler verschlüsselte deshalb zusätzlich mit einer Inhaltsverschlüsselung wie S/MIME (Secure / Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy). Dadurch wird der Inhalt der Nachricht durchgehend verschlüsselt. Zudem zeigte die Umfrage: Sieben von zehn Firmen hatten konkrete Regeln zum Verschlüsseln von E-Mails aufgestellt.
Effektiv das Risiko senken
Ob sich über solche Vorgaben das Risiko von Cyberattacken, Datenverlust und Sicherheitsvorfällen inklusive drastischer Strafen nach DSGVO effektiv senken lässt? Der praxisrelevantere Ansatz liegt sicher in einer E-Mail-Verschlüsselung, die möglichst alle Anwendungsfälle berücksichtigt und Mitarbeiter in ihrem Tun nicht behindert. Wie finden Unternehmen eine solche Lösung? Ganz einfach: Eine Verschlüsselungsanwendung eignet sich in der Praxis, wenn sie diese zehn Kriterien erfüllt:
1. Verwenden von Standards; Kombinieren von Transport- und Inhaltsverschlüsselung
Standards wie OpenPGP, S/MIME und TLS sind verbreitete robuste Verschlüsselungstechnologien. Ihr Einsatz schafft eine einfache Kommunikation mit Kollegen, Kunden und Partnern. Für den höchstmöglichen und durchgehenden Schutz empfiehlt sich, sowohl Inhalt (per S/MIME oder OpenPGP) als auch Übertragung (per TLS) zu verschlüsseln.
2. Alternative Methoden für die externe Verschlüsselung stehen bereit
Für die sichere Kommunikation mit Empfängern, die keine E-Mail-Verschlüsselung im Einsatz haben, muss eine praxistaugliche Lösung verschiedene Optionen bieten. Infrage kommt die Push-Methode, die eine versandte E-Mail in eine verschlüsselte Datei umwandelt, die wiederum an eine neue E-Mail angehängt wird. Bei der zweiten Alternative, der sogenannten Pull-Methode, holt der Empfänger die verschlüsselte Nachricht bei einem sicheren Web-Portal ab.
3. Interne E-Mails werden verschlüsselt
Meist wird angenommen, dass Bedrohungen nur durch externe Faktoren entstehen. Aber auch interne Bedrohungen durch böswillige Insider oder schlichtweg neugierige Kollegen kann niemand völlig ausschließen, weshalb die Verschlüsselung auch innerhalb des Unternehmens greifen muss. Das gilt vor allem bei sensiblem Inhalt, den die meisten Mitarbeiter nicht erfahren dürfen.
4. Zentrale Datenfluss- und Inhaltskontrolle greift
E-Mail-Verschlüsselungs-Lösungen müssen Schnittstellen zu zentralen Systemen der Datenfluss- und Inhaltskontrolle wie Virenscannern, Antispam- oder DLP-Tools (Data Loss Prevention) haben. Die Nachrichten werden dann am sogenannten Verschlüsselungs-Gateway kurzfristig entschlüsselt, damit diese Programme ihre Prüfungen vornehmen können.
5. Anspruch an „höchste Geheimhaltung“
Es müssen bei Bedarf Optionen für die höchste Geheimhaltung verfügbar sein, bei denen die Nachrichten zu keiner Zeit während der Übertragung entschlüsselt werden. In diesen Fällen wiegt die Vertraulichkeit schwerer als die mögliche Bedrohung durch Viren, Spam oder dergleichen. Herkömmliche Gateway-Lösungen reichen hierfür nicht aus, erforderlich ist eine strikte Ende-zu-Ende-Verschlüsselung, bei der die oben erwähnte zentrale Datenfluss- und Inhaltskontrolle entfällt.
6. E-Mails von Business-Applikationen sichern
Diverse Anwendungen für geschäftliche Zwecke verschicken und empfangen unverschlüsselte E-Mails mit personenbezogenen Daten oder Informationen, die Unternehmen geheim halten wollen, um ihre Marge zu schützen. Dazu gehören beispielsweise Lohnabrechnungen von Human-Resources-Systemen oder Lieferscheine und Rechnungen aus dem Customer Relationship Management. Da diese Systeme selbst oft keine Verschlüsselung ihrer E-Mails anbieten, sollte eine Verschlüsselungslösung hier einspringen können.
7. Der Umgang mit großen Anhängen
Benutzer möchten unter Umständen große Dateien mit Kollegen, externen Partnern und Kunden per E-Mail austauschen. Eine Verschlüsselungslösung muss das unterstützen, ohne Mailserver zu überlasten und zu verstopfen.
8. Mobiles Verschlüsseln
Viele Nutzer lesen geschäftliche E-Mails auf dem Smartphone oder Tablet. Deshalb ist es für Verschlüsselungs-Tools unerlässlich, alle Funktionen auch auf Mobilgeräten zu bieten – und zwar nutzerfreundlich. Außerdem sollte die Lösung auf allen mobilen Plattformen funktionieren – ohne dass dafür zusätzliche Apps installiert werden müssen.
9. Plattformunabhängiges Betreiben
Eine Verschlüsselungslösung ist flexibel und zukunftsfähig, wenn sie Anwender nicht an eine bestimmte Technologie oder Plattform bindet. Eine solche „technologieunabhängige“ Anwendung lässt sich sowohl in einer Windows- als auch einer Linux-Infrastruktur sowie in der Cloud und On-Premises betreiben.
10. Anwenderfreundlichkeit steht im Fokus
Die sicherste Verschlüsselung der Welt ist nutzlos, wenn sie sich nicht intuitiv bedienen lässt, denn dann verweigern Mitarbeiter die Nutzung. Daher sollte bei der Auswahl einer Verschlüsselungslösung die Benutzerfreundlichkeit mit an oberster Stelle stehen.