E-Mails verschlüsseln: Warum der Versand nicht sicher ist

E-Mails verschlüsseln: Warum der Versand nicht sicher ist

Die E-Mail ist eines der wichtigsten Kommunikationsmittel im Businessbereich. Weit über 90 % aller Unternehmen nutzen Outlook, Thunderbird, Webmail und andere E-Mail-Clients für den internen und externen Daten- und Informationsaustausch. Allein in Deutschland versenden und empfangen Firmen jedes Jahr mehrere Milliarden geschäftliche E-Mails – Tendenz steigend. Dabei ist längst bekannt, dass die E-Mail ohne zusätzliche Schutzmaßnahmen keineswegs eine sichere Kommunikationslösung darstellt. Nicht nur die Industrie, auch die Politik hat auf dieses Problem reagiert. Die europäische Datenschutz-Grundverordnung (DSGVO) fordert geeignete Maßnahmen, um E-Mails zu schützen. Leider sind viele der vorhandenen Lösungsansätze schwer zu installieren und unbequem zu nutzen. Eine gute Alternative bieten hier Anbieter von Plattformlösungen und benutzerfreundliche Ende-zu-Ende-Verschlüsselungen.

Warum ist der normale E-Mail-Versand nicht sicher?

Ein großer Vorteil des Internets ist seine dezentrale Struktur, die eine hohe Ausfallsicherheit garantiert. Doch dieser Aufbau bringt auch Nachteile mit sich. E-Mails durchlaufen auf ihrem Weg vom Absender zum Empfänger viele verschiedene Server von unterschiedlichen Unternehmen rund um den Globus. Dadurch lässt sich die elektronische Post von Unbefugten mitlesen und sogar manipulieren. Hinzu kommen Datenpannen bei Providern und Hackerangriffe auf E-Mail-Server, die das Problem weiter verschlimmern.

Um den E-Mail-Versand sicherer zu machen, entstanden verschiedene Techniken, mit denen sich E-Mails verschlüsseln lassen. Allerdings ist der E-Mail-Verkehr ein mehrgliedriger Prozess und jedes Glied erfordert einen eigenen Lösungsansatz. So ist die Datenübertragung zwischen E-Mail-Programmen wie Outlook und den Mail-Servern der Provider heute fast überall mit der Transportverschlüsselung TSL/SSL abgesichert. Das verhindert jedoch weder den unverschlüsselten Versand der E-Mails zwischen den Mail-Providern noch das ungesicherte Zwischenspeichern der Mails auf den Servern.

Mit Ende-zu-Ende-Verschlüsselungstechniken wie S/MIME (Secure Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) lassen sich die Inhalte von E-Mails verschlüsseln. Jedoch gibt es beim Einsatz dieser Techniken häufig Probleme bei der Usability für Sender und Empfänger.

Welche Risiken gehen Unternehmen ohne E-Mail-Verschlüsselung ein?

E-Mails decken mittlerweile den gesamten Bereich der unternehmerischen Kommunikation ab – von Terminabsprachen und Memos über Verträge und Rechnungen bis zu internen Dokumenten und Strategiepapieren. Sie enthalten eine Vielzahl personenbezogener und sensibler Daten sowie sicherheitsrelevante und unternehmenskritische Informationen. Dem entsprechend zahlreiche und schwerwiegende Risiken drohen durch Datenlecks und Informationsdiebstahl.

Die jüngsten Datenschutzskandale bei Unternehmen wie Facebook zeigen, dass Kunden und Nutzer das Thema zunehmend ernster nehmen. Der Imageschaden durch einen sorglosen Umgang mit persönlichen Daten führt zu Vertrauensverlust und schlussendlich zum Verlust von Kunden. Darüber hinaus können Geschäftsgeheimnisse durch Datenpannen in die Hände von Konkurrenten fallen.

Hinzu kommt, dass es Unternehmen nicht mehr immer freisteht, ob sie ihre E-Mails verschlüsseln.
Die DSGVO verlangt einen weitreichenden Schutz personenbezogener Daten. Hierbei ist die oft zu lesende Behauptung, dass die Verordnung ein unbedingtes Verschlüsseln aller E-Mails fordere, nicht ganz korrekt. Nach Artikel 32 der DSGVO hängt es von Faktoren wie Schutzbedarf, potenziellen Risiken und Umsetzbarkeit ab, ob eine Verschlüsselung erforderlich ist. Das zu entscheiden, kann jedoch juristisch schwierig sein. Um Abmahnungen und Bußgelder zu vermeiden, tun Unternehmen deshalb gut daran, in jedem Fall ihre E-Mails verschlüsseln.

Wie können Unternehmen den E-Mail-Versand sicher gestalten?

Eine sichere E-Mail-Kommunikation lässt sich auf verschiedene Weise einrichten. Bei der Auswahl einer geeigneten Lösung spielt neben der Schutzwirkung auf unterschiedliche Bereiche vor allem der Aufwand für Nutzer und Administratoren eine Rolle. Ebenso entscheidend sind die Implementierungskosten, die bei einigen Ansätzen beträchtlich sind.

Bei der herkömmlichen Client-basierten Verschlüsselung mit PGP oder S/MIME kommen Plugins für Anwendungen wie Outlook zum Einsatz. Sie liefern eine Ende-zu-Ende-Verschlüsselung, sodass die Nachricht über die gesamte Strecke, vom Sender bis zum Empfänger, verschlüsselt ist. Allerdings bürdet dieser Ansatz den Nutzern die komplizierte Verwaltung der kryptografischen Schlüssel auf, was die Usability beträchtlich beeinflussen kann.

Der Verwaltungsaufwand für die Nutzer lässt sich mit einer Public-Key-Infrastruktur (PKI) vermindern. Hier übernehmen zentrale Keyserver den umständlichen Schlüsseltausch. Diese Methode lässt sich auch gut mit einer serverbasierten Verschlüsselung kombinieren. Die Einrichtung der Verschlüsselungs-Gateways und der PKI ist für viele Unternehmen jedoch zu aufwendig und zu teuer. Zudem ist die Strecke zwischen Sender respektive Empfänger und Server ungesichert, was vor allem bei externen Anbietern problematisch ist.

Passwort-basierte Verschlüsselungen gehen einen anderen Weg, indem sie nicht die eigentlichen E-Mails verschlüsseln und versenden. Stattdessen informieren sie den Empfänger per E-Mail über eine ankommende Nachricht und leiten ihn auf eine Webseite um. Der Adressat gibt einmalig ein Passwort an, mit dem ein Server die E-Mail in eine verschlüsselte PDF-Datei umwandelt. Anschließend kann der Empfänger das PDF von der Webseite herunterladen, im PDF-Programm entschlüsseln und lesen. Diese Methode eignet sich ggf. als zusätzliche Maßnahme, wenn E-Mails an externe Partner ohne eigene Verschlüsselungstechnik, zu versenden sind. Der Bedienkomfort für den Sender und den Empfänger ist jedoch auch bei dieser Variante als recht gering einzustufen.

Wie können Anbieter von durchgängigen Verschlüsselungslösungen weiterhelfen?

Alle im vorherigen Abschnitt genannten Lösungen, mit denen sich E-Mails verschlüsseln lassen, sind entweder aufwendig einzurichten, teuer oder haben Schwachstellen bei der Usability. Hinzu kommt, dass einige Methoden keine durchgängige Sicherheit in allen Bereichen garantieren. Als Alternative bieten sich Anbieter von durchgängigen Kommunikationsplattformen an.

Wir bei PIPEFORCE stellen eine zentrale Plattform bereit, die den sicheren Informationsaustausch auf allen Ebenen ermöglicht. PIPEFORCE liefert eine durchgängige, DSGVO-konforme Lösung mit einem einfach zu installierenden und bequem zu nutzenden Outlook-Plugin. Hiermit sind Dokumente mit beliebiger Größe beim Transfer, inklusive Speicherung auf den Servern mit AES-Verschlüsselung, abgesichert. Darüber hinaus besteht die Möglichkeit für sehr sensible Dokumente einen Passwortschutz zu nutzen oder zusätzlich eine Ende-zu-Ende-Verschlüsselung zu aktivieren. Der Austausch von Dokumenten per E-Mail wird dadurch nicht nur sicherer, sondern auch einfacher und für alle Beteiligten bequemer.

Fazit

Kein Unternehmen kommt heute noch um das Thema Datenschutz herum. Die Risiken, die durch eine ungesicherte Kommunikation entstehen, sind vielfältig und können schwerwiegende Folgen haben. Firmen, die ihre E-Mails verschlüsseln, vermeiden rechtliche Schwierigkeiten, Datenverlust und Imageschäden. PIPEFORCE liefert dafür eine sichere, zuverlässige und bequeme Lösung, welche nicht nur den Mitarbeitern eines Unternehmens, sondern auch dessen Partnern und Kunden Zeit und Kosten spart.

Informieren Sie sich jetzt, wie Sie mit PIPEFORCE Ihren Dokumentenaustausch verschlüsseln können, und laden Sie unser kostenloses Whitepaper herunter: