Sicherheitslücke E-Mail schließen

Sicherheitslücke E-Mail schließen

Erfahren Sie, wie Sie in fünf Schritten die wichtigsten Grundlagen für eine sichere und vertrauenswürdige E-Mail-Kommunikation schaffen.

Die Bedrohungslage durch eine unverschlüsselte E-Mail-Kommunikation ist eindeutig: finanzielle Einbußen, juristische Streitigkeiten und nicht zuletzt negative Auswirkungen auf Image und Glaubwürdigkeit. Trotzdem ist die E-Mail weiterhin eine der größten Schwachstellen in der IT-Infrastruktur und Einfallstor für Datenklau und Wirtschaftsspionage. Dabei sind die Verfahren ausgereift, die Standards klar definiert und unabhängige Instanzen für eine externe Unterstützung vorhanden. Anja Pötzsch von der Bundesdruckerei GmbH beschreibt, wie sich in fünf Schritten die wichtigsten Grundlagen für eine sichere und vertrauenswürdige E-Mail-Kommunikation legen lassen.

Schritt 1: Problembewusstsein im Unternehmen entwickeln

„Ich habe ja nichts zu verbergen“ so lautet eines der Hauptargumente, dem Thema E-Mail-Verschlüsselung wenig Aufmerksamkeit zu schenken. Fakt ist, dass 96 Prozent aller deutschen Unternehmen E-Mails für geschäftliche Zwecke nutzen. Zunehmend werden auch vertrauliche und geschäftskritische Informationen übermittelt, wie Rechnungen, Patente und Verträge. Von Cyberkriminalität sind deshalb nicht nur große Unternehmen, sondern auch der Mittelstand erheblich betroffen. Einer Untersuchung der Beratungsgesellschaft PricewaterhouseCoopers (PwC) zufolge wurde 2015 jeder zehnte Mittelständler mindestens einmal Opfer einer Attacke aus dem Internet.

Ein weiterer Irrtum ist die Verwechslung von Internetschutz mit E-Mail-Sicherheit. Firewalls, Virenscanner oder Spamschutz decken die wichtigsten Schutzbereiche der E-Mail-Kommunikation nicht ab. Um das unberechtigte Mitlesen von Mails, das Vortäuschen eines falschen Absenders und Manipulationen der Mail-Inhalte zu verhindern, sind dezidierte Maßnahmen zur Verschlüsselung von E-Mails erforderlich.

Schritt 2: Bedarfsanalyse und Konzeptentwicklung

Während der Bedarfsanalyse werden die Prozesse identifiziert, die für eine E-Mail-Verschlüsselung essentiell sind. Dazu gehört auch die Bestimmung der entscheidenden fünf bis zehn Prozent der Daten, die zu den „Kronjuwelen“ eines Unternehmens gehören. Für sie sind Verschlüsselungsverfahren auf höchstem Sicherheitsniveau zu wählen.

Auf der Basis konkreter Anwendungsfälle erfolgen die Formulierung der Zielsetzung, die Definition geeigneter Verschlüsselungsverfahren und damit zusammenhängend die Auswahl von Software und benötigten Dienstleistungen. Bei der Umsetzung dieses Schritts kann es hilfreich sein, ein externes Consulting in Anspruch zu nehmen.

Schritt 3: Die passende Verschlüsselungslösung auswählen

Im Unternehmensumfeld hat sich das Standardformat S/MIME für die E-Mail-Verschlüsselung fest etabliert. Es basiert auf einem asymmetrischen Verschlüsselungsverfahren mit zwei Schlüsseln. Für Inhalte und Dokumente, die ein sehr hohes Sicherheitsniveau benötigen, empfiehlt sich die clientbasierte Verschlüsselung. Sie ermöglicht die durchgängige Verschlüsselung einer E-Mail während ihrer gesamten Übertragung. Dabei übernehmen die Rechner des Absenders und des Empfängers selbst die Verschlüsselungsaufgaben.

Dokumente mit geringem Schutzbedarf hingegen lassen sich zentral auf einem sogenannten Secure E-Mail Gateway verschlüsseln und entschlüsseln. Die gesamten Verschlüsselungsaufgaben laufen über einen Server automatisiert im Hintergrund ab.

Schritt 4: Zertifikate in die Prozesse integrieren

Bei der zertifikatsbasierten Verschlüsselung wird ein Schlüsselpaar mit einem digitalen Zertifikat gekoppelt, das die Identitätsinformationen des Besitzers beinhaltet (zum Beispiel Name und E-Mail-Adresse). Dadurch besteht die Möglichkeit, den in einer Signatur angegebenen Absender einer E-Mail zweifelsfrei zu identifizieren. Die elektronische Unterschrift auf Basis eines digitalen Zertifikats ist auch Voraussetzung für den Schutz vor unbemerkter nachträglicher Veränderung von E-Mails. All dies findet statt, ohne dass sich die Kommunikationspartner vorher über ein Passwort oder ein anderes Geheimnis verständigen müssen.

Die technische Einrichtung, die zum Ausstellen, Verteilen und Prüfen digitaler Zertifikate dient, wird als Public-Key-Infrastruktur (PKI) bezeichnet. Aufbau und Erhalt einer PKI ist eine komplexe Aufgabe, die viel Zeit und erhebliche Ressourcen in Anspruch nimmt. Deshalb empfiehlt es sich, auf externe Zertifizierungsdiensteanbieter, auch als Trustcenter bezeichnet, zurückzugreifen. Die Lösung „Managed PKI“ der Bundesdruckerei zum Beispiel bietet ein effizientes Zertifikatsmanagement, das die Erstellung, die Verwaltung und die Prüfung digitaler Zertifikate beinhaltet.

Schritt 5: Vertrauensanker nutzen

Trustcenter fungieren in der digitalen Welt als Vertrauensanker, indem sie die Identität einander unbekannter Personen zuverlässig beglaubigen und die entsprechenden Daten sicher verwalten. Gleichzeitig stellen sie die Mittel und die Infrastruktur bereit, um E-Mails zu verschlüsseln und Dokumente zu signieren.

Lust auf ein Spielchen?

Erhalten Sie auf spielerische Art und Weise Tipps zu einfachen Maßnahmen und Verhaltensregeln zur Verbesserung der IT- Sicherheit in Ihrem Unternehmen. Testen Sie ihr Wissen in dem kostenlosen Browser-Game „Sicher im Internet“ vom Sichere Identität Berlin-Brandenburg e.V.

 

Whitepaper

Mehr Informationen rund um das Thema E-Mail-Verschlüsselung finden Sie in unserem kostenlosen Whitepaper „Verschlüsseln und signieren – Der Weg zu einer sicheren und vertrauenswürdigen E-Mail-Kommunikation“.

D-TRUST – das Trustcenter der Bundesdruckerei

Als Full-Service-Anbieter hilft die Bundesdruckerei in allen Fragen rund um die E-Mail-Verschlüsselung – von der Beratung über die Software bis hin zu umfangreichen Dienstleistungen.

Digitale Transformation

In sieben Schritten zum regelkonformen Unternehmen

Digitale Transformation

Sicher, effizient und rechtskonform Digitalisieren

Zwei Drittel der Unternehmen sind nach eigenen Angaben überfordert von den gesetzlichen Regeln zu IT-Sicherheit und Datenschutz. Lesen Sie diese und weitere Ergebnisse der Bundesdruckerei Studie.

Digitale Sicherheit

IT-Sicherheit in der Industrie 4.0

Erfahren Sie, wie Sie IT-Sicherheit in der Industrie 4.0 schaffen können.